Facciamo un po’ di chiarezza.
Il mondo delle criptovalute diventa ogni giorno più vasto, ed ogni giorno nuovi aspiranti investitori, spesso guidati da influencer, youtuber, instagramiani, twitteriani e tiktokiani vari, si approcciano a comprare di tutto e di più, ma sanno veramente cosa stanno facendo?
Senza scendere nel tecnico, tech savvy perdonate le bestemmie di questo articolo niubbo-friendly, partiamo dalle basi sui wallet, portafogli in italiano, ovvero dove sono custodite le chiavi di accesso alle crypto(le crypto tecnicamente stanno sulle blockchain, ovvero “ricopiate” sui nodi distribuiti in giro per il mondo), ce ne sono diversi tipi.
Quando vogliamo detenere una certa crypto, abbiamo bisogno di generare un indirizzo, l’equivalente se vogliamo dell’iban della nostra banca, dove poter ricevere la transazione.
Per poter generare un indirizzo, abbiamo bisogno prima di ottenere un wallet, questo viene generato attraverso un algoritmo che prende come base un numero di parole inglesi(ad esempio una serie di 12 o 24, quello che viene chiamato seed, in italiano seme) e ne sputa fuori con il sistema della crittografia a doppia chiave(pubblica e privata), le private keys, ovvero quelle che ci permettono di averne il completo controllo, quindi di spendere le crypto contenute all’interno ma anche di generare delle richieste e quindi riceverne condividendo degli indirizzi che possiamo generare anche ogni volta per ogni transazione, quindi aumentando la riservatezza.
Una differenza importante è se tutto questo lo facciamo noi o lo fa qualcun altro.
Possiamo classificare i wallet in due categorie: Custodial e non custodial.
I primi sono quelli che qualcuno ad esempio un exchange(binance, coinbase, etc.) condivide con noi, loro tengono le chiavi e noi possiamo chiedere che facciano le transazioni, sta a loro poi eseguire, chiederci verifiche e sottostare alle regolamentazioni che il controllore di turno vuole imporre.
Nei wallet non custodial invece facciamo tutto noi e noi siamo responsabili delle chiavi, se le perdiamo(difficile se seguiamo qualche buona norma di backup), nessuno può aiutarci ma allo stesso tempo abbiamo la piena libertà, al pari del denaro contante, nessuno può impedirci di pagare chiunque o bloccarci i fondi per qualche stupida legge di tracciam..ehm ehm “antiriciclaggio ma con l’attenzione alla privacy” 🙂
A livello teorico abbiamo Hot e Cold wallet, i primi sono connessi alla rete, i secondi restano sempre offline e naturalmente sono i più sicuri se non ci esponiamo con comportamenti scorretti.
Hot wallet includono tutti quei software che girano nel browser(es. metamask) o web-wallet vari; mobile wallet e desktop wallet pure a meno che non siano dispositivi sempre disconnessi ed utilizzati solamente per firmare(approvare) le transazioni.
Questi sono potenzialmente vulnerabili a livello di sistema operativo, software utilizzato e comunicazioni, quindi se dobbiamo utilizzarli è bene mantenere solo la quantità di crypto che ci serve, consideriamoli come una carta prepagata, li ricarichiamo quando serve.
Una sicurezza aggiuntiva può essere data da software di virtualizzazione vari(virtual machine, sandbox) con installazioni pulite ed antimalware che controlla/impedisce ai software di interferire tra loro(es. comodo HIPS).
Cold wallet includono tutti quei software o dispositivi che restano scollegati dalla rete, quindi gli hardware wallet(trezor, ledger, le cosiddette “chiavette” etc.) ed i paper wallet(a patto che siano generati offline) custoditi tramite incisioni su metallo o semplice foglio di carta.
Questi sono potenzialmente vulnerabili se l’attaccante ha accesso fisicamente ai dispositivi, quindi è necessario prendere le dovute precauzioni per occultarli.
É bene ricordare infine alcune regole che dovrebbero essere di buonsenso, oggi sempre più raro.
Mai rivelare a nessuno quante crypto e quali abbiamo acquistato, non sono cartaigienicaeuro e simili che ogni anno si deprezzano, se per ipotesi avessimo acquistato una decina di bitcoin qualche anno fa spendendo un migliaio di euro, oggi varrebbero una villetta a schiera, sappiamo cosa succede a chi diventa milionario vincendo al lotto.
Mai rivelare a nessuno le proprie chiavi private o il seed, chi possiede questi, possiede anche la possibilità di ricreare il nostro wallet con tutti i fondi disponibili, non esistono benefattori o centri di supporto ufficiali, nessuno necessita di queste informazioni.
Mai fare affidamento su un unico dispositivo, come ho ripetuto alla nausea a tutti quelli che hanno perso dei dati, bisogna sempre fare una copia di backup, meglio due o tre e anche in luoghi diversi: gli hard disk si rompono, le schede si guastano, ci può essere un terremoto, la casa può prendere fuoco, il cellulare può esplodere.
Mai lasciare file sensibili sul cloud, si tratta pur sempre del “pc di qualcun altro” e se questo qualcun altro domattina decide di aprirci i file o fare una scansione alla ricerca di password, chiavi etc. lo può fare senza nessun problema, sfido poi a dimostrare che “erano cose nostre” anche i wallet, dato che non sono nominativi.
Mai salvare nulla di importante come password, seed etc. sul cellulare o tramite messaggi, note sparse in giro e nel browser; sono sistemi di qualcun altro, vedi punto precedente.
Usare sempre una forma di crittazione dei file che lasciamo in giro, che si tratti di file compressi con password o di partizioni in cui mettiamo i nostri documenti o anche in extremis un file di office protetto da una password sufficientemente lunga.