Onlangs zagen we in onze mailbox een abonnee van ons die voor een flink bedrag is gehackt. Heel erg om te horen en we hopen dat dit de laatste keer is. Reden dat we meer prioriteit hebben gegeven aan deze blog: hoe beveilig je jouw cryptomunten.
— Laatste update dateert van mei 2022 —
Om meteen met de deur in huis te vallen. Het gevaar om je crypto’s te verliezen kan uit 4 verschillende hoeken komen: 1) het internet, 2) de fysieke wereld, 3) de blockchain (smart contracts) en 4) wanneer je heen gaat.
We gaan al deze manieren bespreken en hoe je deze zo veel mogelijk onschadelijk kan maken. Voordat we dat doen, wil ik eerst dat je weet hoe cryptomunten precies worden bewaard.
— Download onze laatste Praktische Crypto Cursus, voor alle crypto tips, inclusief beveiliging —
Iedereen die cryptomunten beheert, heeft een public key en een private key.
Deze keys beheren jouw crypto’s die op de blockchain staan. Voor jou is het de taak om de keys te beheren.
De public key kan je vergelijken met een mailadres en de private key met het wachtwoord van je mailadres. De public key is nodig zodat anderen weten waar ze jou crypto’s naartoe kunnen sturen. De private key is nodig zodat jij crypto’s naar anderen kan versturen.
Het is dus enorm belangrijk dat niemand anders (die je niet vertrouwt) toegang heeft tot je private key. Hier draait dit artikel dus om. Zorgen dat jij jouw private key zo goed mogelijk beschermt.
De bescherming van je private key kan je zelf in de hand nemen. Je kan het echter ook uitbesteden.
In cryptoland heb je de keuze om je investering zelf te bewaren of bij een broker te stallen (vergelijk dat met geld bij de bank). In dit artikel gaan we dieper in op de verschillen. Het kan handig zijn om deze eerst even door te lezen voordat je hier verder gaat.
Hier focussen we ons op beveiliging bij eigen beheer. Wij kiezen voor eigen beheer, omdat:
Nu wil ik meteen zeggen: eigen beheer betekent niet dat je een broker hoeft uit te sluiten. Want een broker heeft zeker voordelen. Zo maak je met een broker gebruik van een beveiligingsprotocol van een miljardenbedrijf.
De eerste tip die ik hier wil geven: kies altijd met een gedeelte van je vermogen voor eigen beheer en stal een gedeelte bij een broker (of brokers).
Er is dus niet één manier het beste is. Want beveiliging gaat vaak ten koste van gebruiksvriendelijkheid. Zo is een broker bijvoorbeeld erg veilig, maar wordt je uitgesloten van de blockchain en kan je niet yield farmen.
Welke afweging het beste is, ligt aan jouw situatie.
Als je met 1.000 euro in crypto zit of voor een klein percentage van je vermogen, dan hoef je niet de beste beveiliging te hebben. Zit je met er met een miljoen of al je vermogen in, dan kan je wel weer beter voor het veiligste gaan.
Het veiligste kost meer geld en levert vaak in op gebruiksvriendelijkheid. Je moet voor jezelf deze afweging maken.
We gaan nu in op de 4 zwakke plekken die je hebt als je jouw crypto’s zelf beheert:
Het internet gaat gepaard met hackers. Hackers zijn online dieven en willen via het internet jouw cryptomunten stelen. Dit kunnen ze op twee manieren doen: achter je private key komen of je crypto’s laten sturen naar hun adres (phishing attack).
Dit laatste is iets dat veel mensen vergeten: via malware (computervirus) kunnen hackers in jouw computer komen en je wallet zo manipuleren dat je denkt een normale transactie te doen, maar eigenlijk een transactie naar de hacker stuurt.
Deze aanval werd laatst pijnlijk duidelijk. Hugh Karpes, de oprichter van de grootste DeFi verzekeraar, werd voor miljoenen dollars gehackt in zijn persoonlijke wallet. In deze video vertelt Karpes hoe het hem gebeurde.
In het kort: Karpers opende een word documentje die hij per mail kreeg. Tegelijkertijd met het openen sloop malware zijn computer binnen. Enige tijd later gebruikte hij zijn Metamask die hij in combinatie met z’n hardware wallet gebruikt (check deze video hoe dat werkt). De malware had ondertussen Metamask gemanipuleerd, waarna Karpes bij het versturen van een transactie fondsen naar de wallet van de hacker stuurde.
— Lees hier een volledige review van de Trezor hardware wallet —
Wat kunnen wij hiervan leren?
Wanneer je crypto in eigen beheer opslaat, moet je eigenlijk wel een antivirusprogramma hebben. Zo’n antivirus kan simpele aanvallen afweren.
Een goed antiviruspakket is ook helemaal niet duur: voor 16 euro beveilig je al 3 apparaten voor een jaar.
Als Karpes zijn miljoenen dollars aan crypto op z’n Metamask hard opgeslagen, dan zou malware van de hacker alleen even de private key hoeven te lezen die Metamask in je browser opslaat. De hacker kon dus niet de private key van Karpes achterhalen, omdat hij deze op een hardware wallet had staan.
Wanneer Karpes de gemanipuleerde Metamask pop-up goed had gelezen, had hij gezien dat hij de crypto’s naar een verkeerd adres zou sturen (maar omdat deze gast honderden transacties per dag doet, keek hij hier niet naar).
Het grote voordeel van een private key op een hardware wallet is dus dat deze volledig is afgezonderd van het internet.
Welke hardware wallet is het beste om te gebruiken?
Er zijn twee opties: een wallet van Ledger of een wallet van Trezor.
Zelf gebruik ik de Trezor T wallet. Deze vind ik het makkelijkst werken, omdat het een touchscreenschermpje heeft. Ook is een Trezor wallet de enige werkende optie als je Windows hebt. Het enige nadeel aan de Trezor T is dat het dubbel de prijs is van de Ledger Nano X.
Mocht de prijs een probleem zijn, dan kan je altijd nog voor de Trezor One gaan (het oudere model zonder touchscreenscherm).
Houd deze als vuistregel aan. Je hardware wallet is alleen veiliger omdat de private key nooit in aanraking is gekomen met een apparaat met internetverbinding. Als jij de seed phrase van je hardware wallet op de computer invoert, dan gooi je deze veiligheidsvoorsprong in de prullenbak.
Je moet je seed phrase wel altijd minimaal 1 keer opschrijven als backup. Dit doe je altijd op papier!
De seed phrase is een code van meestal 12 of 24 woorden. Deze reeks woorden geeft je toegang tot je bestaande private key als je de seed phrase invoert in een wallet.
Installeer je Metamask bijvoorbeeld in de Brave browser. In deze browser doe je niets anders dan yield farmen en andere crypto activiteiten. Je mail en andere werkzaamheden doe je vervolgens alleen in Chrome. Op deze manier komt kwaadaardige software veel moeilijker in aanraking met je crypto info dat in een andere browser staat.
Dit is een stap die je niet hoeft te nemen als je een paar duizend euro in crypto hebt. Een aparte computer voor alleen crypto activiteiten geeft je optimale veiligheid. Want op deze computer zal je geen bestandjes hoeven te openen die per mail binnenkomen.
Zorg natuurlijk wel dat je een ‘schone’ computer gebruikt. En niet een oude pc die de hele Pirate Bay heeft gehad. Voor wie een nieuwe computer aan wil schaffen en voor het beste wil gaan? Pak dan een Purism laptop (Linux besturingssysteem).
Een tweede zwakke plek is de fysieke wereld. Je kan bijvoorbeeld vergeten waar je je hardware wallet hebt gelaten (het is maar een apparaatje ter grote van een USB-stick). Het kan ook voorkomen dat je huis afbrand met daarin nog je wallet. Of er wordt ingebroken en je wallet wordt gestolen.
Hoe je deze zwakke plekken kan versterken:
Je wordt pas berooft als iemand weet dat iets bij je te halen valt. Dus als je de kans op een inbraak zo veel mogelijk wil verkleinen, dan is het handig dat je niet op Facebook zet dat je crypto miljonair bent geworden.
Het kan ook voorkomen dat je vergeet waar je je hardware wallet hebt gelaten. Deze man had bijvoorbeeld zijn wallet met 280 miljoen dollar aan crypto bij het vuil gegooid. Als hij zich aan deze tip had gehouden, hoefde hij nooit meer te werken.
Bewaar altijd je seed phrase op meerdere plekken. Bijvoorbeeld thuis en op je werk en/of bij familie. Zo kan je je crypto’s nog altijd achterhalen als je hardware wallet weg is.
Stel je wallet is weg maar je hebt je seed phrase nog. Dan moet je een nieuwe wallet aanschaffen en bij de opstart van de nieuwe wallet importeer je dan de bestaande seed phrase. Vervolgens geeft die nieuwe wallet je crypto bezittingen weer.
Het nadeel aan een seed phrase is wel dat iedereen die de seed phrase kan zien makkelijk toegang heeft tot je crypto’s.
Deze zwakke plek kan je met twee maatregelen onschadelijk maken:
1) Schaf een backup hardware wallet aan
Op deze tweede hardware wallet voer je je seed phrase alvast in en heb je dus direct toegang tot je private key wanneer je de pincode van je hardware wallet invoert.
Het voordeel van zo’n backup wallet is dat je direct toegang hebt tot je cryptomunten wanneer je je eerste hardware wallet kwijtraakt of wordt gesloten. Daarnaast geeft de backup wallet niet je seed phrase open en bloot weer. Dus mocht iemand je backup wallet tegenkomen, dan heeft deze niet direct toegang tot je crypto’s.
Je kan deze methode nog eens opvoeren door een derde wallet aan te schaffen. Je hebt dan een wallet voor frequent gebruik, een wallet op een andere vertrouwde plek en een wallet die je thuis in een kluis stopt. Een kluis geeft je dus ook zeker extra beveiliging in de fysieke wereld.
2) Deel je seed phrase in stukken
Wanneer iemand jouw 12 of 24 geheime woorden vindt, kan deze persoon direct toegang krijgen tot jouw private key en crypto’s als hij de woorden in een wallet invoert.
Het kan daarom heel slim zijn om je reeks woorden door 2 of door 3 te delen. De verschillende stukken met woorden sla je dan op verschillende plekken op. Natuurlijk wel slim om even te noteren wat deel 1, 2 en 3 van de reeks woorden is.
Als yield farmer heb je met een extra zwakke plek te maken: smart contracts. In de Ethereum wereld is het mogelijk om je crypto’s in financiële applicaties te plaatsen. Vergelijk het met geld dat je bij een bank zet, maar dan volledig digitaal. Deze financiële applicaties (ook wel DeFi genoemd) bestaan uit smart contracts.
Een smart contract kan dus jouw crypto’s beheren. In dit geval ben je afhankelijk van een smart contract. Dit gaat in veruit de meeste gevallen goed. Maar het kan ook voorkomen dat oprichters van een DeFi applicatie scammers blijken te zijn en een smart contract zo programmeren dat ze de fondsen uit het contract kunnen halen en jou bestelen.
Ook zou het kunnen zijn dat een techneut goede bedoelingen heeft, maar een smart contract net niet goed genoeg programmeert en voor een hacker een mogelijkheid laat om te hacken. Dit kan zelfs de beste teams ter wereld overkomen.
Een laatste zwakke plek hier is een phising smart contract (of token). Het kan voorkomen dat je naar Uniswap wil gaan. Je komt op een site uit die precies op Uniswap lijkt, alleen met een net iets andere URL. Bijvoorbeeld https://app.unisswap.org/. In plaats van de juiste https://app.uniswap.org/.
In het geval je dan een token gaat swappen via de verkeerde site, zal je er niets voor terug krijgen.
Ook kan het voorkomen dat je swapt tegen een neppe token, die lijkt op een echte maar niets waard is.
De oplossingen hiervoor:
Eigenlijk een no-brainer. Ben altijd kritisch of een project wel gaat doen wat het zegt te doen. Of dat het team in ieder geval z’n stinkende best doet om doelen te halen. Het makkelijkste om dit te checken is door te kijken naar het team. Delen de teamleden hun identiteit? Dan is dat een goed teken. En kijk vervolgens welke ervaring men heeft.
Daarnaast zijn goede vragen: hoelang bestaat een project al? En hoeveel kapitaal hebben de smart contracts in deze tijd beheerd?
Als een smart contract al voor een paar jaar een paar miljard dollar beheert, kan je er vanuit gaan dat het contract waterdicht is. Anders was er al wel een hacker geweest die had geprofiteerd.
Ook al stop je je geld in het beste team ter wereld. Ook zij blijven mensen en mensen kunnen fouten maken. Net als ieder bedrijf failliet kan gaan, zou ieder smart contract gehackt kunnen worden.
Zorg daarom nooit dat je te veel kapitaal op één plek hebt staan. Voor handigheidjes over weging per project, check dit artikel.
Het komt dus ook voor dat hackers fake applicaties/sites of tokens bouwen. Voor fake applicaties/sites is het zaak om altijd goed de URL te checken. Als je die niet weet, dan kan je naar de site van coingecko.com gaan. Type hier vervolgens de token in die je wil zoeken en op de tokenpagina van Coingecko zie je dan de info van een token, zoals de URL naar de website/applicatie.
Om zeker te zijn dat je niet bij een fake token uitkomt, werk je met tokenlijsten in Uniswap (of Sushiswap). In deze video laat ik je zien hoe je via Sushiswap koopt en je een tokenlijst selecteert. Ook kan je via Coingecko op een tokenpaar klikken, zodat je zeker bij de juiste token uitkomt. Als je de SUSHI token zou willen kopen, ga je bij Coingecko naar deze pagina. En scrol je een stukje naar onder tot je dit ziet:
Je klikt dan bij paar op SUSHI/ETH en je komt bij de applicatie van Sushiswap uit met alvast de SUSHI token ingevuld om te kopen (met Uniswap of andere decentrale brokers werkt dit precies hetzelfde).
Tot slot kan het natuurlijk ook zijn dat je overlijdt. Als jij je private key zo goed beveiligd dat niemand anders deze kan achterhalen, dan neem jij je crypto’s mee in je graf.
Wanner crypto’s bij een broker staan, dan moet het mogelijk zijn voor nabestaanden om deze te achterhalen. Je nabestaanden moeten immers in staat zijn om aan de broker te bewijzen dat zij werkelijk jouw nabestaanden zijn.
Bij crypto’s die je zelf beheert, is dit dus niet vanzelfsprekend.
Om dit op te lossen kan je de seed phrase (of pincode van je hardware wallet) met iemand delen die je voor de volle 100% vertrouwt.
Daarnaast kan je de toegang tot je crypto’s ook vastleggen in je testament. Vergeet dan niet om naast je seed phrase ook even de instructies uit te leggen hoe je werkelijk tot de cryptomunten komt.
Mocht je zelf nog goede tips hebben die niet zijn genoemd, dan laat het vooral weten in de comments! Vragen zijn natuurlijk ook altijd welkom.
Direct zien wanneer Raja een nieuwe kooptip plaatst? Meld je GRATIS aan!
Weet u zeker dat u uw BeursBits-abonnement wilt stopzetten? Door hieronder op Stopzetten te drukken, maak u uw opzegging definitief.