Purtroppo il mondo crypto è infestato da scam e soggetti malintenzionati che sfruttano tecniche sempre più sofisticate per rubare denaro agli utenti meno attenti. È fondamentale seguire alcune regole di sicurezza di base, per evitare che prima o poi una semplice distrazioni si trasformi una perdita irreversibile dei propri fondi.
In questa guida vediamo alcuni consigli per una gestione sicura e consapevole del proprio portafoglio in crypto. Ci soffermiamo in particolare sulle best practices per stare alla larga dagli scam, sui metodi più efficienti per conservare le chiavi private e sugli strumenti più affidabili per ridurre il rischio di incorrere in incidenti. Tutti i dettagli di seguito.
Partiamo innanzitutto dallo specificare che non esiste sicurezza perfetta nel mondo crypto: niente è sicuro al 100% quando si è online, l’unica cosa che possiamo fare è limitare al massimo l’incontro con scam ed eventi di hack. Ahimè, l’errore umano rappresenta spesso la vulnerabilità più sfruttata dai cattivi attore del settore della web3.
Neanche gli sviluppatori più esperti ed i software più collaudati sono esenti da rischi. Infatti bug e vulnerabilità possono nascondersi anche nei sistemi più popolari, con la crescente complessità dei codici che espongo gli utenti ad una superficie d’attacco sempre più ampia.
Ad ogni modo esistono delle tecniche molto utili per ridurre in modo significativo il rischio di perdite, lasciando soltanto una remota possibilità che qualcosa vada storto. Se nel mondo crypto si seguono ogni giorno precise regole in modo diligente, diventa raro incorrere in scam, exploit, malware, altri incidenti legati alla scarsa attenzione operativa.
La prima regola di base per la sicurezza del mondo crypto è evitare di approcciare con progetti scam. Parliamo di un approccio molto semplice a livello tecnico, che non necessita di particolari skills o applicazioni, ma solo di rigore e buon senso. Per prima cosa, ricordiamo ai soggetti più neofiti di non fidarsi MAI di chi promette ritorni esagerati con il minimo sforzo e un basso investimento. In generale, non c’è da fidarsi di chi promette yield, anche se in alcuni casi, come per lo staking su chain Proof of Stake, è previsto un rendimento sicuro. La percentuale però, spesso di pochi punti percentuali, è variabile e non va mai considerata garantita.
Da evitare in ogni modo di seguire canali Telegram che millantano investimenti proficui e sistemi di arbitraggio magici (99% delle volte sono scam). Il più delle volte, se veniamo invitati in un canale senza il nostro consenso, dovrebbe essere buona pratica segnalare e uscire immediatamente.
Un altro consiglio utile per stare lontano dai truffatori è quello di non cliccare NESSUN link che ci viene inviato via mail, nemmeno se il mittente ci sembra legit. Spesso gli scammer utilizzano indirizzi mail simili a quelli ufficiali degli exchange per ingannare l’utente e spingerlo a cadere vittima in operazioni di phishing dove si cedono le proprie credenziali di accesso.
Lo stesso discorso vale per i file che scarichiamo dallo stesso computer in cui custodiamo crypto, a maggior ragione se con wallet non custodial. In linea di massima ci sarebbe da evitare qualsiasi tipo di download da quel dispositivo, poiché anche un file apparentemente innocuo potrebbe contenere malware nascosti.
Allo stesso tempo è opportuno disporre di un solido antivirus, evitare di navigare su siti sconosciuti e non connettersi mai a wifi pubbliche.
Per chi opera su exchange crypto centralizzati come Binance o Coinbase, rafforzare la componente di sicurezza è abbastanza semplice: basta attivare la verifica a due fattori 2FA con app come Authy o Google Authenticator per qualsiasi accesso e richiesta di prelievo. Per chi invece possiede crypto su wallet non custodiali, qui la questione si fa estremamente più delicata.
La gestione della self-custody, sebbene conferisca vantaggi molto importanti sul lato ownership, necessita di alcuni accorgimenti, soprattutto in tema storage delle chiavi private. Come recita il vecchio detto: “Not your keys, not your coins”. Se perdi le chiavi di accesso ai tuoi fondi, non potrai più recuperarli. Se ti rubano le chiavi, con estrema probabilità ti svuoteranno il wallet lasciando solo qualche centesimo.
In particolare, le preoccupazioni più comuni per chi gestisce autonomamente i propri asset riguardano:
Qui la questione si fa complessa: non esiste un metodo universale riconosciuto come il migliore in termini di sicurezza per custodire una chiave privata crypto.
In primis citiamo cosa NON BISOGNA FARE con le proprie seed phrase o chiavi d’accesso: ovviamente mai condividerle ad altri utenti, mai trascriverle in un supporto digitale ( specialmente se connesso ad internet) e mai dire pubblicamente dove si nascondono. Importante anche evitare foto, screenshot o copie salvate su cloud: sono tra le cause più comuni di compromissione e di intrusione di scam.
Molto meglio trascriverle in un supporto metallico, resistente al fuoco, all’acqua e al deterioramento nel tempo. Allo stesso tempo è fondamentale avere più di una copia disponibile, nel caso un supporto andasse perso, anche se questo moltiplica le chance di un furto. Uno scenario ibrido potrebbe essere quello di custodire una copia presso un caveau di sicurezza formalmente riconosciuto, perdendo tuttavia la componente trustless. Un’altro approccio potrebbe essere quello di scrivere solo una parte della seed sul supporto e ricordare a memoria una o più parole.
In questo caso però subentra il rischio di dimenticare la parte memorizzata, specialmente con il passare degli anni o in situazioni di stress.
Per trasmettere le proprie chiavi ad amici o parenti in caso di morte ( non è la situazione più piacevole ma discussa ugualmente) si possono adottare diverse tecniche. È possibile ad esempio dividere la seed in più parti e affidarla alle persone che dovranno perdere parte all’eredità lasciata.
Si può ricorrere in alternativa a soluzioni legali con testamenti crittografici, particolari smart contract o custodie fiduciarie. Ugualmente, rimane aperta la possibilità di indicare semplicemente al successore il luogo della custodia, ma questo
comporta però il rischio che l’informazione venga scoperta da terzi o dimenticata ( o peggio abusata prima del dovuto).
Passiamo alle pratiche di buon uso per massimizzare la sicurezza quando si opera attivamente nel settore web3 e si vuole limitare il rischio di scam ed hack. Indicativamente, quando si gestiscono fondi importanti ( l’importo è relativo ) risulta opportuno utilizzare hardware wallet (pennette USB), come Ledger nano X, Trezor e BitBox.
Questi non sono altro che dispositivi di firma che permettono di autorizzare le transazioni senza esporre mai la chiave privata sul dispositivo utilizzato. Le chiavi di accesso rimangono dunque scollegate da internet, riducendo in modo drastico il rischio di furti e compromissioni. È fondamentale però gestire con cura i firmware di questi wallet e comprendere i potenziali rischi di bug ad essi associati.
Oltre all’hardware wallet, per cui bisognerebbe optare per un numero maggiore di unità in proporzione al valore del portafoglio (per diversificare il rischio e avere backup funzionali), ci sono anche altri accorgimenti utili. Quando si naviga spesso nel web3, diventa molto comodo utilizzare un’estensione di sicurezza del browser come Wallet Guard.
Questo strumento analizza in tempo reale le transazioni che stai per firmare, rilevando potenziali minacce come permessi sospetti, phishing o smart contract malevoli. Si tratta in sostanza di un livello di protezione aggiuntivo per chi interagisce frequentemente con nuove DApp.
Infine l’ultimo consiglio in tema sicurezza è quello di revocare i permessi degli smart contract dei protocolli che non si utilizzano più. Ogni volta che si interagisce con una DApp, si concede al protocollo di gestire i nostri fondi per una determinata azione.
Nel caso in cui i contratti venissero compromessi in futuro, i permessi attivi potrebbero risultare un volano di attacco contro il wallet. Per questo è consigliabile rimuovere i permessi da app come Revoke.cash o direttamente da Rabby Wallet.
La procedura completa per recuperare quanto abbiamo perso con Terra Luna e decine di…
Ecco come difendersi dagli scam ed evitare hack o incidenti informatici. Non esiste la…
La gestione degli investimenti in DeFi risulta particolarmente complessa senza uno strumento all-in-one per…
Federal Reserve parla tramite Matusalem: occhio a questi DUE fattori.
Iniziano i buybacks su Aave. Che succedera al prezzo del token AAVE?
Male per gli NFT: volumi di trading ed attività wash in forte calo. Un…
Arriva una proposta di legge in North Carolina. I requisiti però sono molto stringenti.
Bitcoin: anche la Svezia vuole la sua riserva? Arriva la prima lettera.
Il panico dei mercati vi spaventa troppo? Ecco alcune opportunità DeFi per ottenere una…
Vedi Commenti
1) windows fa cagare. Se potete, usate un pc con Linux. Se non conoscete Linux e non volete impararlo comprate un pc da 2-300 euro max e usatelo SOLO per le vostre cripto; ovviamente su questo pc non installate NULLA se non metamask e soci (se proprio vi servono) e il software dell'hardware wallet. No estensioni esotiche (e nemmeno estensioni legittime, che potrebbero sempre venir hackerate), no password salvate in Chrome. Scaricatevi KeyPass e criptate le vostre pass con una password VERA (almeno 30 caratteri alfanumerici)
1b) se volete giocare a Sandbox e fare vaccate varie con le critpo, non fatelo sullo stesso pc su cui avete le "vere" cripto. Non tutte le uova nello stesso paniere
2) buttate nel cesso la 2FA via SMS. La 2FA si va con un software (o hardware) dedicato; fare un sim-swap e leggere i vostri SMS è (purtroppo) molto facile. Versione economica: scaricatevi un programmino per la 2FA e tenetelo su un cellulare scollegato da internet (anche Google Authenticator va bene, finchè tenete il vostro cell lontano da internet). Quando cambiate cellulare non buttate via il vecchio: usatelo come offline 2FA!
3) scrivere la vostra seed phrase TUTTA INSIEME su supporto fisico (carta, acciaio o kriptonite) è una cazzata paurosa. Se vi entrano in casa e la trovano salutate tutto. E' un rischio che volete correre? Come detto nell'articolo, ci sono mille modi: spezzatela, cambiatela, ma non scrivetala esatta tutta insieme. MAI.
4) se avete un hardware wallet, setatte una passphrase (anche chiamata "la 25esima parola"). Fatto questo sostanzialmente la vostra seed phrase non basta più se chi vi vuole fregare i fondi non conosce anche la vostra 25esima parola, che può essere anche lunga 40 caratteri, non deve fare parte delle famose 2048 parole
p.s. "un altro" senza apostrofo