Ho scritto questo articolo/racconto 3 anni fa per l'edizione italiana della rivista V***.com . (titolo originale:
La guida di **** per non farti fregare i Bitcoin)
La versione finale non è mai stata pubblicata.
Mi fa piacere condividere con tutti voi questa lettura.
E' estremamente soddisfacente come, nonostante siano cambiate tante cose negli ultimi anni, il bitcoin è rimasto sempre lo stesso
Dopo anni di insistenza anche mio fratello è passato “
al lato oscuro” delle valute elettroniche.
""Basta usare solo i classici sistemi di pagamento, perchè non usare invece i bitcoin? ""
Dopo aver utilizzato bitcoin ed altre criptovalute per diversi anni (a breve saranno 5)*, mi sono reso conto che quello che era un hobby in realtà era qualcosa di più di un hobby.
Ed ora arriviamo al motivo di questo articolo, ovvero alcuni aspetti fondamentali su come conservare i propri bitcoin.
Perchè mio fratello per alcuni giorni ha tenuto i propri bitcoin senza rispettare tutte le regole di sicurezza “standard” che un “proprietario di bitcoin” dovrebbe adottare.
Furti ed hacking in questo settore sono purtroppo quasi all’ordine del giorno, come in qualsiasi attività economica che coinvolga del denaro.
Alcuni casi davvero clamorosi hanno conquistato anche
la tv generalista in prima serata:
Altri un po meno clamorosi come lo scam che ha coinvolto
BTER (per assurdo questa piattaforma continua ad operare, il sottoscritto è stato vittima di di questo furto e ha ricevuto solo l’8% di quanto perso)* insegnano una grande lezione:
mai depositare bitcoin su di un sito esterno perchè non si ha la certezza di essere gli unici proprietari della chiave privata.Avete mai avuto la sensazione che qualsiasi azione effettuata sul vostro computer potrebbe compromettere per sempre gran parte delle vostre finanze?
Da passare le giornate a “spendere un sacco di denaro in shopping online” a “disperarsi per non poterlo mai più recuperare”?
Credetemi, la sola possibilità del rischio è qualcosa che rende davvero paranoici, non ti fa più visitare siti porno (lol
), non utilizzi chiavette degli amici, fai attenzione pure a quanto tempo passi on line, a che siti visiti, con chi parli, che cosa racconti di te.
Tutti quanti abbiamo letto le
classiche guide.
Nel passato si sono verificati alcuni casi davvero “pazzeschi”, esempi di come la genialità umana possa spingersi oltre e riuscire a fregare bitcoin (ed anche altre criptovalute).
Come il
malware che inserisce in automatico un altro indirizzo al posto di quello desiderato.
Una truffa da
"Man in the middle", anzi in questo caso “
Man in the browser”, un problema evidenziato di frequente nella community come fonte di frodi.
O il
trojan che ha rubato 25.000 btc ad un utente della prima ora mascherandosi come programma per minare bitcoin (ovvero il processo che permette la creazione di nuova moneta e garantisce la sicurezza della rete stessa).
Anche ai nostri giorni continuano* ad avvenire questi furti, ne è una prova
questo simpatico servizio che in cambio dei vostri benemeriti “bitcoin gold” (un’altra versione del bitcoin nata negli scorsi mesi in seguito ad una vera e propria “scissione”) in realtà utilizzava le chiavi private degli utenti (ignari ovviamente) per
fregare i loro bitcoin, quelli "buoni"
, creati da Satoshi Nakamoto il 3 gennaio del 2009.
Proprio ieri (6 Gennaio 2018)* è stata evidenziata una falla nel wallet di Electrum e quindi torniamo ad un altro grande mantra.
L’unico modo per avere i bitcoin sicuri e tenerli su una chiave privata che non permette immediatamente di spendere i propri bitcoin.
Un po come avere un lingotto da un chilo messo in un forziere a 10 metri sotto terra, piuttosto che tenere tante monete d’oro nel proprio portafoglio che portiamo in giro e usiamo quotidianamente per spender denaro.
A meno che ... speriate anche voi di imbattervi in un
“buon samaritano” che rimanda indietro la cifra rubata.
Purtroppo negli ultimi anni il settore ha avuto una impennata di attacchi
ransomware dove gli utenti venivano minacciati a pagare una somma in btc per sbloccare i propri pc. Lo stesso tipo di attacco nel momento in cui colpisse un pc che tiene un wallet tecnicamente bloccherebbe ugualmente tutto.
Credo proprio che questa sorta di mancanza di informazioni a riguardo o in generale di sottovalutare il problema della sicurezza online abbia portato e porti tanti utenti o anche siti famosi a correre dei rischi. Alla fine hai a che a fare solo con sconosciuti. Non puoi fidarti di nessuno quando effettui transazioni a distanza non sei nemmeno sicuro di fare affari con la persona che dice di essere!
In questo caso la chiave privata, dando accesso a una serie di "diritti" sulla blockchain, diventa una vera e propria prova di "identità".
Per assurdo lo svantaggio di avere a che fare con sconosciuti si trasforma in un vantaggio unico: la fiducia non risiede più nel singolo utente ma nell'intera rete blockchain. Un sistema decentralizzato, dove non esistono "amministratori", ma tutti sono allo stesso livello, contribuendo in maniera differente.
Ecco perchè una semplice stringa alfanumerica, può immagazzinare
informazioni infinite, in maniera sicura, senza affidarsi a terze parti.
Credete che questa innovazione non possa avere un valore a sua volta
infinito?
Come evidenziato prima, il browser, il proprio pc, insomma
qualsiasi cosa che possa ricondurre direttamente alla chiave privata o non ci dia l’esclusiva proprietà, espone le proprie cryptovalute ad una serie di rischi sempre crescenti.
Uno dei modi più semplici ed alla portata anche dei meno esperti per generare un indirizzo in maniera sicura richiede un pc “pulito” e la creazione di un wallet offline. Il concetto di pc "pulito", si può anche ottenere scaricando e creando una chiavetta ad hoc dove utilizzeremo il sistema Linux (
come ubuntu usb) .
In generale, per tutte questa serie di operazioni, quando volete essere sicuri di cosa state utilizzando, utilizzate sempre la
funzione per verificare l’originalità di un file (anche per verificare i file scaricati in generale come la stessa immagine live di tails o ubuntu).
Fate attenzione in questo passaggio, un dispositivo compromesso vanifica qualsiasi tentativo di mantenere alti standard di sicurezza.
In sostanza creare un portafoglio offline significa creare una serie di indirizzi con la chiave privata relativa senza doversi connettere alla rete durante o dopo la creazione del portafoglio.
Il punto fondamentale é la casualità con cui le nuove chiavi private vengono generate. É preferibile scegliere software che permettono di aumentare l'entropia richiedendo l'intervento dell'utente in fase di creazione tramite il movimento del mouse o la pressione di tasti a casaccio.
Quindi generate sempre la chiave privata in maniera casuale.
https://bitcointalk.org/index.php?topic=2488493.0 In questo topic sono raccolti alcuni test, che hanno permesso di violare degli account che avevano scelto una chiave privata in maniera non casuale.
Una volta generato il nuovo portafoglio é essenziale avere a disposizione una o più copie di backup.
Puoi eseguire questo backup in qualsiasi modo se ci pensi. L’informazione è una semplice stringa di caratteri, alfanumerica. Puoi utilizzare anche dispositivi hardware (su
google shopping è possibile vedere già alcuni esempi) oppure sbizzarrirti con la tua fantasia e memorizzare la chiave privata da qualsiasi altra parte.
E’ necessario fare attenzione a questo passaggio “chiave”
. Fate sempre il backup ogni qualvolta generate un nuovo indirizzo.
In software come electrum il backup non é necessario perché gli indirizzi vengono generati da un unico "seed" per cui é sufficiente copiare questo all'inizio. Nel momento in cui però aggiungerete una chiave privata “esterna” al seed, dovrete sempre fare il backup perchè non verrebbe generata nuovamente.
Oltre agli hardware wallet che abbiamo visto prima, si può utilizzare anche la
bip38, ovvero 1 password che decripta la chiave privata per sbloccare i fondi.
Puoi lasciare copie del tuo paper wallet a amici fidati / parenti / deposit box, a patto che non sappiano la password, e custodire quella password in un posto tuo privato pero' comunque accessibile in casi estremi
Oppure se il vostro livello di sicurezza e di crypto monete, ha raggiunto un certo livello potete optare per
Glacier Protocol, una serie di passaggi che richiedono tempo e denaro ma che garantiscono una protezione praticamente totale da qualsiasi minaccia al vostro portafoglio btc sia durante la creazione che durante la fase di backup e conservazione.
Personalmente non mi sento di raccomandare alcun sito online in particolare come un sito più sicuro di un altro. Certamente un sito appena nato ha in più la mancanza di fiducia della comunità e non è detto che possa effettuare delle truffe anche ricevendo pochi fondi.
Ricordate che quando non avete la proprietà di quella chiave privata, tecnicamente non siete in realtà proprietari dei vostri bitcoin: li avete affidati a qualcun altro che purtroppo come insegna la storia, li esponete sempre a rischio di hacking e frodi.
E per quanto un sito possa essere ritenuto “attendibile” nel tenere i vostri bitcoin, in ogni caso esponete i vostri fondi ad una serie di falle, un po come avere una cassaforte a cui si aggiungono delle serrature per aprirla.
Ne è la prova la truffa già descritta in precedenza “
Man in the Browser”
Nel caso in cui non riusciate a farne meno, ed abbiate ben capito tutta questa serie di passaggi (nds e sapete benissimo cosa state facendo) potete utilizzare un
software open source per generare direttamente online il vostro indirizzo pubblico bitcoin.
In definitiva il miglior metodo può essere riassunto con una semplice creazione di un wallet offline da un pc “pulito” (praticamente qualsiasi wallet - software btc è in grado di generare un indirizzo senza essere online!), una password che protegge l’indirizzo (bip38), salvataggio della chiave privata su 1 o più chiavi usb (o perchè no puoi anche scriverla su un pezzo di carta o un dispositivo hardware) e sei sicuro di aver generato un indirizzo praticamente inviolabile.
L’unica informazione che potrai utilizzare sarà una semplice stringa di numeri e lettere un po come
12c6DSiU4Rq3P4ZxziKxzrL5LmMBrzjrJX questo!
Per quanto possa sembrare qualcosa di banale, questa stringa di caratteri e numeri è il primo indirizzo utilizzato da Satoshi Nakamoto per ricevere dei bitcoin.
(nota: bitbollo preferisce non rivelare il metodo con cui ha conservato i propri bitcoin ed altcoin, ma utilizzando l’articolo come riferimento, è facile intuire quale sia la soluzione intrapresa 
)* questo articolo è stato scritto nel 2017/2018. qui è riportata la versione integrale senza modifiche... ed una formattazione alquanto discutibile 
