Почему криптовалютный кошелек Mitilena лучше чем MetaMask?

Всё просто, когда вы подключаете браузерное расширение MetaMask, которое содержит в себе сам кошелек, то происходит интересная вещь.

Каждый вебсайт, который вы посещаете, знает, что на вашем компьютере установлен этот криптовалютный кошелек, вы спросите как? Отвечаю, вот таким маленьким блоком кода:

window.addEventListener('load', function() {

  // Проверить если Web3 объект был внедрён браузером (Mist/MetaMask).
  if (typeof web3 !== 'undefined') {
    // Использовать Mist/MetaMask's провайдера.
    web3js = new Web3(web3.currentProvider);
  } else {
    // Обработать ситуацию, если на компьютере пользователя не установлен web3. 
    // Предложить ему установить его для использования децентрализованного приложения.
  }
});

«Ок. То есть получается, на какой сайт бы я не зашел, он 100% может определить, что у меня установлен данный кошелек?»

Да.

«И что это значит?»

Это значит, что каждому сайту на который вы заходите, вы говорите: «эй, у меня есть криптовалюта и я показываю тебе свой кошелек, он конечно закрыт, но вот он какой красивый, посмотри». Когда вы находитесь на сайте BBC.com понятно, что вам ничего не грозит. Однако вы посещаете разные сайты, и не всем из них можно полностью доверять.

Это можно сравнить с ситуацией, когда вы поздно вечером в криминальном районе, заходите в криминальный бар и достаете у стойки свой кошелек, из которого всем вокруг видны купюры в нём. Да, формально кошелек все еще у вас. Да, формально вас защищает закон. Но в моменте, вы подвергаете себя риску, что кто-то из посетителей, с большим криминальным прошлым уже заприметил вас в этом баре и думает, как бы присвоить ваш кошелек себе, когда вы выйдете из бара.

Показ кошелька — это не факт кражи или ограбления. Это нужно учитывать. Однако это первый риск, который вы сами создаете.
Следующий риск — это посещение опасных мест или опасных сайтов. Это уже второй риск. А риски, как известно, суммируются.

Теперь, дело за удачей, вы косвенно отдаёте судьбу своего кошелька в третьи руки, то есть удаче. Будет ли в баре, при демонстрации вашего кошелька сидеть некто с большим криминальным прошлым и огромной тягой поживиться чьими-то деньгами? Может будет сидеть, а может и не будет. Но от Вас это уже не зависит. Это уже — воля случая.

Тоже самое с сайтом, может какой-то сайт решит и будет иметь техническую возможность провести атаку на ваш кошелек, а может и нет. Однако здесь вы теряете контроль над ситуацией и отдаете контроль на волю случаю.

То есть, подытожив, устанавливая такой кошелек, вы теряете контроль над ситуацией.

«Ок, но мой кошелек зашифрован!»

Короткий ответ: здесь всё не так просто.
Пример: компания Google, которая владеет браузером Chrome на момент 29 декабря 2022 года, когда я пишу эту статью, исправила 9 критических уязвимостей нулевого дня за год. Что такое уязвимость нулевого дня?

«Уязвимость нулевого дня – программная уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы. Для уязвимостей нулевого дня еще не выпущены патчи, что повышает вероятность атаки.»

В компании Google работает 200 000 человек, я не знаю сколько точно человек работает над бразуером Chrome, но я уверен, что очень много. То есть несмотря на это, минимум 9 серьезнейших уязвимостей было найдено Даже в таком продукте, как Google Chrome. Тысячи людей разрабатывают, казалось бы, максимально защищеный продукт, но всё равно время от времени злоумышленники взламывают его. Взламывают так, что Google выпускают патчи безопасности и даже не сообщают что за уязвимость они исправили, потому что есть риск, что пользователей, которые не обновились, достаточно легко взломают, просто прочитав описание исправленной уязвимости.

Отсюда следует, вы должны прекрасно себе отдавать отчет, что в современном мире, взломать можно почти всё. Взламывают даже правительственные сайты и системы.
То есть пока есть что взломать — это будут взламывать, каким бы защищенным не выглядел продукт.

Какая здесь взаимосвязь и что делать?

Сама логика подсказывает здесь взаимосвязь:

Вы сообщаете любому сайту, что на вашем компьютере, есть объект, к которому можно подключиться и этот объект — криптовалютный кошелек.
Хакер по ту сторону, берет ваш этот зашифрованный объект в руки и начинает его простукивать на предмет разных уязвимостей. Провод от этого объекта ведет прямо к вашему криптовалютному кошельку.

Что же делать? Одно из первых правил, достаточно грубое, но достаточно действенное это — изоляция. Если разъединить хакера от объекта вашего кошелька, то ему нечего будет простукивать, не с чем будет играться, нечего взламывать. Нужно убрать эту дорожку, от компьютера хакера к вашему кошельку. Сейчас, если такой кошелек установлен на ваш компьютер, то у вас проложена прямая скоростная дорога от вас к хакеру. Уберите дорогу и нечего ему будет взламывать.
Ниточка по которой проходит соединение должна быть перерезана.

Помните средневековые замки?

Вокруг замка рылся ров с водой, чтобы создать слой изоляции. Невозможно бежать на боевой лошади по воде, придется строить переправу, а она как известно — более уязвима и создаёт эффект бутылочного горлышка.
Также замки строились на возвышенности, затруднение бега наверх в тяжелых доспехах, это тоже слой изоляции. Боец будет резвее махать мечом, когда он отдохнул, а не когда он взобрался на гору и никто не дал ему времени даже отдышаться.

Изоляция как элемент безопасности присутствует везде: тюрьмы, как изоляция опасных элементов от общества. Электрические провода, безопасные районы, стены, заборы, карманы, корабли, кружки — это всё слои изоляции, они повсюду, как составляющая безопасности.

Итак

Если вы всем рассказываете о своём кошельке и даёте объект вашего кошелька каждому желающему, то вы нарушаете один из главных принципов безопасности — изоляцию.

Я думаю, я понятно объяснил главную проблему безопасности кошелька MetaMask, она заложена в самом принципе работы этого кошелька и её невозможно убрать.
Поэтому я лично, никому не советую использовать этот кошелек, если вы храните хоть сколько то значимые для себя суммы в криптовалюте.
Замечу, что это хоть и главная проблема безопасности, но это одна проблема. Существуют и другие, но об этом я напишу в следующих статьях.

Теперь вернемся к кошельку Mitilena, как вы наверно уже поняли, этот кошелек не встроен в браузер и не сообщает каждому сайту, что у вас установлен этот кошелек, соответсвенно здесь соблюдается изоляционный принцип безопасности и вы получаете кошелек намного более безопасный. У кошелька Mitilenа есть и другие очень серьезные бонусы к безопасности построенные на изоляции, такие же, которые применяются в военных и правительственных организациях, но об этом я расскажу в следующих статьях.

Веб сайт кошелька Mitilena, базовая версия — бесплатная. Если вы захотите приобрести премиум подписку, введите промокод MarekHruska, чтобы получить скидку 25%.

Marek Hruska

29 декабря 2022