Come proteggere le criptovalute

Una delle principali attrattive della criptovaluta rispetto alle tradizionali valute emesse dai governi, come il dollaro statunitense, è costituita dalla sovranità assoluta dei detentori sui propri asset digitali.

Anziché dipendere dagli istituti finanziari per custodire e gestire il trasferimento del valore e la liquidazione delle transazioni, la criptovaluta è espressamente concepita per essere accessibile solo al proprietario del wallet digitale in cui viene conservata.

Questo significa che la criptovaluta non può essere censurata, revocata o congelata da un'autorità centralizzata o da un malintenzionato, purché venga custodita correttamente.

Significa inoltre che i detentori di criptovalute devono farsi carico della responsabilità di tutelare e proteggere da sé il loro patrimonio, cosa tutt'altro che semplice in un settore caratterizzato da furti e perdite accidentali.

Mentre l'acquisto delle criptovalute sta diventando sempre più facile, trovare un metodo di protezione adeguato per gli asset crypto costituisce ancora un problema, soprattutto per gli utenti meno esperti in tecnologia.

Poiché tutti i token di criptovaluta sono asset puramente digitali, non ci sono monete fisiche da accumulare nel caveau di una banca o in una cassetta di sicurezza.

Le chiavi di accesso a tutte le tue criptovalute sono invece memorizzate nei wallet digitali. Solitamente, per proteggere le informazioni relative ai fondi di un utente si utilizzano applicazioni software o dispositivi fisici, simili alle chiavette USB.

Per scoprire di più sui wallet di criptovalute, leggi il nostro articolo Wallet Web3: una guida completa, nel Centro di apprendimento di Kraken.

Prima di illustrare i diversi tipi di wallet disponibili per memorizzare le criptovalute, con i relativi pro e contro, è importante comprendere come funziona effettivamente la protezione delle criptovalute.

Quando viene generato un wallet di criptovalute, vengono creati due codici collegati matematicamente:

• Una chiave pubblica
• Una chiave privata

Queste due chiavi hanno lo scopo di dimostrare la titolarità degli asset conservati nel wallet di criptovalute corrispondente, quando tali asset vengono inviati ad altre persone.

La chiave pubblica viene elaborata tramite un algoritmo crittografico di hashing, per generare l'indirizzo pubblico di un wallet. Tale algoritmo converte la chiave pubblica in un codice alfanumerico di lunghezza fissa, che viene messo a disposizione del pubblico e può essere utilizzato per ricevere le transazioni in entrata, così come un indirizzo di residenza può essere comunicato in tutta sicurezza per poter ricevere un pacco.

Se desideri ulteriori informazioni su questi concetti, puoi leggere l'articolo In che modo le criptovalute usano la crittografia?

La chiave privata è la parte che dimostra la titolarità dei fondi e non deve mai essere condivisa con nessuno, mentre la chiave pubblica può essere condivisa senza problemi. Se la chiave pubblica è come l'indirizzo di residenza, la chiave privata può essere paragonata alla chiave della porta d'ingresso. Solo il proprietario della casa dovrebbe avere accesso a tale chiave, altrimenti chiunque potrebbe entrare e svaligiarla.

Questo significa che, se il proprietario di un wallet di criptovalute perde o dimentica la sua chiave privata, rischia di perdere definitivamente l'accesso ai propri fondi.

Se il dispositivo in cui è stato scaricato il wallet di criptovalute viene perso, rubato o danneggiato, è possibile utilizzare un codice di backup, noto come "frase seed," per ripristinarlo su un nuovo dispositivo. Le frasi seed devono essere generate prima che i dispositivi vengano compromessi e conservate offline, ad esempio in cassaforte (questo aspetto verrà esaminato in dettaglio più avanti).

Come nel caso della chiave privata, chiunque riesca ad accedere alla tua frase seed può duplicare il tuo wallet su un altro dispositivo e prosciugare tutti i fondi.

To safeguard your assets and ensure you don’t fall foul to common crypto-based scams, there are a number of steps you should familiarize yourself with.

As mentioned above, private keys and seed phrases are vitally important pieces of information for accessing and recovering a person’s crypto wallet.

When making copies of this sensitive data, it’s imperative that users manually write the codes down on paper or make use of several metal plate products available for recording crypto keys. These can then be secured in a fireproof or waterproof safe that’s bolted to the floor for maximum protection.

Taking a screenshot, sending phrases or keys to yourself in an email or texting them to a trusted person are common ways people make it easy for cybercriminals to access sensitive crypto information.

For active traders and DeFi users, crypto assets will most likely need to be deposited on to a trading platform or put to work in a DeFi protocol such as a liquidity pool at some point.

Assets held on centralized crypto platforms often sit in online crypto wallets controlled by the underlying platform. This isolates huge amounts of crypto funds in a single place, making them a hot target for hackers.

Billions of dollars have been stolen from crypto trading platform hacks due to poor security measures surrounding these online wallets. While Kraken takes every step possible to keep your funds safe, it’s recommended that users never hold all their funds on any single crypto trading platform.

With DeFi protocols, a user’s assets are held in smart contracts written and deployed by a protocol’s development team. In many instances, smart contracts have been found to contain exploitable loopholes which permit hackers to manipulate them. There have even been cases where fraudulent backdoors have allowed a protocol’s team to make off with users’ funds.

Much like with centralized trading platforms, it’s advisable that DeFi users should only hold a percentage of their digital wealth in any given DeFi protocol to mitigate the risk of fraud or theft.

To add an additional layer of security to your email and crypto accounts, two factor authentication (2FA) is advisable.

2FA is available through Google Authenticator and several other similarly available apps. These apps provide passcodes that self-destruct and renew every 10 seconds or so. Specific codes are linked to each of your accounts and make it increasingly difficult for a hacker to access them.

Like the seed phrases used with crypto wallets, backup codes for these apps can be generated to recover master accounts onto new devices.

Whether you’re actively involved in online forums or speaking to friends in a public setting, it’s recommended crypto holders never disclose their holdings to anyone. 

Telling people you own an amount of crypto can make you a target for criminals. Even a number of high profile Youtube crypto influencers have been targeted by criminals and had their assets siphoned after leaking information regarding their holdings. 

In more extreme examples, individuals have been take hostage and forced to hand over their crypto assets after criminals learned about their holdings.

Le centinaia di wallet di criptovalute attualmente disponibili sul mercato possono essere tutte suddivise in due categorie generali, ovvero:

• Hot wallet
• Cold wallet

I wallet di criptovalute che rientrano in questa categoria sono costantemente connessi a Internet, come nel caso dei wallet di criptovalute basati su browser, quali MetaMask o Coinbase Wallet, o di quelli basati su software, come Exodus. 

Essendo sempre connessi a Internet, gli hot wallet consentono agli utenti di visualizzare i saldi e inviare o ricevere transazioni rapidamente, spesso con un semplice clic.

Tuttavia, questa comodità è accompagnata da problemi di sicurezza intrinseci. 

Solitamente, le chiavi private degli hot wallet sono memorizzate online o nel dispositivo in cui è installato il software. Questo le espone agli attacchi informatici, soprattutto se l'utente finale non adotta le precauzioni necessarie per salvaguardare le informazioni sensibili del wallet.

Nel corso degli anni, abbiamo visto sofisticate e-mail di phishing e altri tipi di truffe che puntavano ad accedere alle chiavi private degli utenti, ad esempio infettandone i dispositivi con malware mirato o creando siti web fittizi per mascherare le piattaforme ufficiali.

I cold wallet sono l'esatto contrario degli hot wallet. Anziché essere costantemente connessi, i cold wallet sono dispositivi fisici che si connettono a Internet solo quando vengono inseriti manualmente in un computer.

Per la maggior parte del tempo, i cold wallet sono completamente disconnessi da qualunque origine Internet, pertanto i criminali devono entrare fisicamente in possesso del dispositivo per poter tentare l'accesso ai fondi che contiene.

Ma se da un lato questa caratteristica li rende notevolmente più sicuri degli hot wallet, dall'altro l'esecuzione dei trasferimenti risulta molto più complicata.

I principali produttori di cold wallet sono Ledger e Trezor. 

Come regola generale, i cold wallet devono essere acquistati direttamente dal produttore ufficiale, perché sul mercato secondario si trovano dispositivi manomessi che hanno già determinato varie perdite di fondi.

La conservazione della criptovaluta in un wallet non garantisce la protezione completa degli asset. A causa della loro natura redditizia e non regolamentata, le criptovalute costituiscono una vera e propria calamita per hacker e truffatori.

Molto spesso, per sventare le minacce dei criminali informatici è sufficiente adottare alcune semplici misure.

Informarsi sugli indicatori tipici delle truffe più comuni costituisce il metodo più efficace per combattere le frodi basate su crypto.

La maggior parte delle truffe messe in atto nel settore segue uno di questi schemi tipici:

• Criptovalute in omaggio: questo tipo di truffa è molto diffuso sulle piattaforme più popolari, come Twitter e Youtube. Solitamente vengono creati falsi profili che sfruttano l'immagine di un personaggio famoso e influente per dichiarare di raddoppiare automaticamente tutta la crypto depositata in un determinato indirizzo wallet. In realtà i truffatori requisiscono i fondi depositati nel wallet e non restituiscono alcun asset agli utenti.
  
  Vengono configurati anche ulteriori account con profili falsi di persone che fingono di aver "effettivamente" raddoppiato i propri asset grazie allo schema, per aumentare la credibilità della truffa.
• E-mail di phishing: nell'era digitale le perdite di dati non sono certo una novità, e nel corso degli anni abbiamo assistito a numerosi incidenti di questo tipo subiti da aziende basate sulla criptovaluta. Ledger, OpenSea e Celsius Network, solo per fare qualche esempio, hanno tutte subito una violazione che ha consentito a terze parti di accedere ai dati personali dei clienti.
  
  In seguito a una fuga di dati come gli indirizzi e-mail, gli utenti interessati vengono spesso bombardati da messaggi provenienti da fonti apparentemente ufficiali, che chiedono loro di reinviare i dati sensibili o di fornire le credenziali di login. In alcuni casi vengono inclusi anche collegamenti nocivi, per infettare il dispositivo dell'host con malware che attacca i wallet di criptovalute.
• Schemi Ponzi: a causa della loro natura volatile, le criptovalute costituiscono un veicolo di investimento estremamente interessante per i trader in cerca di opportunità per "arricchirsi velocemente". Sono pertanto emersi numerosi schemi Ponzi che sfruttano questa strategia, offrendo tassi di rendimento elevatissimi in cambio di un impegno minimo o nullo da parte dell'investitore.

Mentre alcune piattaforme sono facilmente distinguibili come truffe, altre sono caratterizzate da un aspetto estremamente professionale, al punto da sembrare perfettamente legittime a un occhio inesperto.

Prima di effettuare un investimento, in criptovaluta o di qualsiasi altro tipo, tutti dovrebbero effettuare controlli di due diligence basati su una semplice lista di controllo che include domande come "Il team della piattaforma può essere identificato facilmente?", "Sono disponibili canali su LinkedIn o altri social media?", "Il meccanismo utilizzato dalla piattaforma per generare i rendimenti elevati promessi viene descritto esplicitamente nel sito web?", "È possibile prelevare denaro dalla piattaforma?".

Bitconnect, che un tempo era una delle dieci criptovalute più importanti, è un famoso esempio di schema Ponzi basato su crypto, che ha ingannato migliaia di investitori fra il 2016 e il 2018, rubando asset per un valore di oltre 2 miliardi di dollari. Nonostante il sito web convincente e i promotori a contatto con il pubblico, il suo team di base non è mai stato identificato e il suo "bot di trading automatico" non è mai stato utilizzato per generare profitti nel modo descritto.

Ready to take the next step in your crypto journey with the trusted and transparent trading platform? Create your account to buy and sell crypto with Kraken today.