Veiligheid voor je cryptomunten: de ultieme handleiding

Onlangs zagen we in onze mailbox een abonnee van ons die voor een flink bedrag is gehackt. Heel erg om te horen en we hopen dat dit de laatste keer is. Reden dat we meer prioriteit hebben gegeven aan deze blog: hoe beveilig je jouw cryptomunten.

Om meteen met de deur in huis te vallen. Het gevaar om je crypto’s te verliezen kan uit 4 verschillende hoeken komen: 1) het internet, 2) de fysieke wereld, 3) de blockchain (smartcontracts) en 4) wanneer je heen gaat.

We gaan al deze manieren bespreken en hoe je deze zo veel mogelijk onschadelijk kan maken. Voordat we dat doen, wil ik eerst dat je weet hoe cryptomunten precies worden bewaard.

Public en private key

Iedereen die cryptomunten beheert, heeft een public key en een private key.

Deze keys beheren jouw crypto’s die op de blockchain staan. Voor jou is het de taak om de keys te beheren.

De public key kan je vergelijken met een mailadres en de private key met het wachtwoord van je mailadres. De public key is nodig zodat anderen weten waar ze jou crypto’s naartoe kunnen sturen. De private key is nodig zodat jij crypto’s naar anderen kan versturen.

Het is dus enorm belangrijk dat niemand anders (die je niet vertrouwt) toegang heeft tot je private key. Hier draait dit artikel dus om. Zorgen dat jij jouw private key zo goed mogelijk beschermt.

Zelf beheren of uitbesteden?

Deze bescherming kan je zelf in de hand nemen. Je kan het echter ook uitbesteden.

In cryptoland heb je de keuze om je investering zelf te bewaren of bij een broker te stallen (vergelijk dat met geld bij de bank). In dit artikel gaan we dieper in op de verschillen. Het kan handig zijn om deze eerst even door te lezen voordat je hier verder gaat.

Hier focussen we ons op beveiliging bij eigen beheer. Wij kiezen vooral voor eigen beheer, omdat je dan kan yield farmen. Oftewel: een passiefinkomen generen op je crypto’s.

Hierbij wil ik meteen zeggen: eigen beheer betekent niet dat je een broker hoeft uit te sluiten. Want een broker heeft zeker voordelen. Zo maak je met een broker gebruik van een beveiligingsprotocol van een miljardenbedrijf.

De eerste tip die ik hier wil geven: kies altijd met een gedeelte van je vermogen voor eigen beheer en stal een gedeelte bij een broker (of brokers).

Veiligheid en gebruiksvriendelijkheid

Daarnaast wil ik alvast zeggen dat er niet één manier het beste is. Want beveiliging gaat vaak ten koste van gebruiksvriendelijkheid. Zo is een broker bijvoorbeeld erg veilig, maar wordt je uitgesloten van de blockchain en kan je niet yield farmen.

Welke afweging het beste is, ligt aan jouw situatie.

Als je met 1.000 euro in crypto zit of voor een klein percentage van je vermogen, dan hoef je niet de beste beveiliging te hebben. Zit je met er met een miljoen of al je vermogen in, dan kan je wel weer beter voor het veiligste gaan.

Het veiligste kost meer geld en levert vaak in op gebruiksvriendelijkheid. Je moet voor jezelf deze afweging maken.

We gaan nu in op de 4 zwakke plekken die je hebt als je jouw crypto’s zelf beheert:

#1 Het internet

Het internet gaat gepaard met hackers. Hackers zijn online dieven en willen via het internet jouw cryptomunten stelen. Dit kunnen ze op twee manieren doen: achter je private key komen of je crypto’s laten sturen naar hun adres (phishing attack).

Dit laatste is iets dat veel mensen vergeten: via malware (computervirus) kunnen hackers in jouw computer komen en je wallet zo manipuleren dat je denkt een normale transactie te doen, maar eigenlijk een transactie naar de hacker stuurt.

Deze aanval werd laatst pijnlijk duidelijk. Hugh Karpes, de oprichter van de grootste DeFi verzekeraar, werd voor miljoenen dollars gehackt in zijn persoonlijke wallet. In deze video vertelt Karpes hoe het hem gebeurde.

In het kort: Karpers opende een word documentje die hij per mail kreeg. Tegelijkertijd met het openen sloop malware zijn computer binnen. Enige tijd later gebruikte hij zijn Metamask die hij in combinatie met z’n hardware wallet gebruikt (check deze video hoe dat werkt). De malware had ondertussen Metamask gemanipuleerd, waarna Karpes bij het versturen van een transactie fondsen naar de wallet van de hacker stuurde.

Wat kunnen wij hiervan leren?

1. Sla je private key altijd op met een hardware wallet!

Als Karpes zijn miljoenen dollars aan crypto op z’n Metamask hard opgeslagen, dan zou malware van de hacker alleen even de private key hoeven te lezen die Metamask in je browser opslaat. De hacker kon dus niet de private key van Karpes achterhalen, omdat hij deze op een hardware wallet had staan.

Wanneer Karpes de gemanipuleerde Metamask pop-up goed had gelezen, had hij gezien dat hij de crypto’s naar een verkeerd adres zou sturen (maar omdat deze gast honderden transacties per dag doet, keek hij hier niet naar).

Het grote voordeel van een private key op een hardware wallet is dus dat deze volledig is afgezonderd van het internet.

2. Voer je private key of je seed phrase nooit in op je computer

Houd deze als vuistregel aan. Je hardware wallet is alleen veiliger omdat de private key nooit in aanraking is gekomen met een apparaat met internetverbinding. Als jij de seed phrase van je hardware wallet op de computer invoert, dan gooi je deze veiligheidsvoorsprong in de prullenbak.

Je moet je seed phrase wel altijd minimaal 1 keer opschrijven als back-up. Dit doe je altijd op papier!

De seed phrase is een code van meestal 12 of 24 woorden. Deze reeks woorden geeft je toegang tot je bestaande private key als je de seed phrase invoert in een wallet.

3. Doe je crypto activiteiten in een aparte browser

Installeer je Metamask bijvoorbeeld in de Brave browser. In deze browser doe je niets anders dan yield farmen en andere crypto activiteiten. Je mail en andere werkzaamheden doe je vervolgens alleen in Chrome. Op deze manier komt kwaadaardige software veel moeilijker in aanraking met je crypto info dat in een andere browser staat.

4. Doe je crypto activiteiten op een aparte computer

Dit is een stap die je niet hoeft te nemen als je een paar duizend euro in crypto hebt. Een aparte computer voor alleen crypto activiteiten geeft je optimale veiligheid. Want op deze computer zal je geen bestandjes hoeven te openen die per mail binnenkomen.

Zorg natuurlijk wel dat je een ‘schone’ computer gebruikt. En niet een oude pc die de hele Pirate Bay heeft gehad. Voor wie een nieuwe computer aan wil schaffen en voor het beste wil gaan? Pak een Purism laptop of een laptop van System76 (beide Linux besturingssysteem).

#2 De fysieke wereld

Een tweede zwakke plek is de fysieke wereld. Je kan bijvoorbeeld vergeten waar je je hardware wallet hebt gelaten (het is maar een apparaatje ter grote van een USB-stick). Het kan ook voorkomen dat je huis afbrand met daarin nog je wallet. Of er wordt ingebroken en je wallet wordt gestolen.

Hoe je deze zwakke plekken kan versterken:

1. Schreeuw het niet van de daken

Je wordt pas berooft als iemand weet dat iets bij je te halen valt. Dus als je de kans op een inbraak zo veel mogelijk wil verkleinen, dan is het handig dat je niet op Facebook zet dat je crypto miljonair bent geworden.

2. Bewaar op verschillende plaatsen

Het kan ook voorkomen dat je vergeet waar je je hardware wallet hebt gelaten. Deze man had bijvoorbeeld zijn wallet met 280 miljoen dollar aan crypto bij het vuil gegooid. Als hij zich aan deze tip had gehouden, hoefde hij nooit meer te werken.

Bewaar altijd je seed phrase op meerdere plekken. Bijvoorbeeld thuis en op je werk en/of bij familie. Zo kan je je crypto’s nog altijd achterhalen als je hardware wallet weg is.

Stel je wallet is weg maar je hebt je seed phrase nog. Dan moet je een nieuwe wallet aanschaffen en bij de opstart van de nieuwe wallet importeer je dan de bestaande seed phrase. Vervolgens geeft die nieuwe wallet je crypto bezittingen weer.

Het nadeel aan een seed phrase is wel dat iedereen die de seed phrase kan zien makkelijk toegang heeft tot je crypto’s.

Je kan er ook voor kiezen om je seed phrase op één plaats te bewaren. Thuis bijvoorbeeld (in een kluis). Daarnaast kan je een tweede hardware wallet aanschaffen waarop je de seed phrase al hebt ingevoerd en zo hier al toegang hebt tot je private key. Deze tweede wallet kan je dan op je werk of bij een hele goede vriend plaatsen.

Voordeel hieraan is dat je veel sneller toegang hebt tot je crypto’s, maar iemand anders geen toegang heeft. Iedereen die je seed phrase ziet, heeft in principe wel toegang tot je crypto’s.

Naast een tweede geeft een derde hardware wallet met geïmporteerde seed phrase nog een extra beveiliging. Je hebt dan een wallet voor frequent gebruik, een wallet op een andere vertrouwde plek en een wallet die je thuis in een kluis stopt. Een kluis geeft je dus ook zeker extra beveiliging in de fysieke wereld.

Je kan hier nog een stap verder gaan. Je kan je seed phrase ook door 3 delen. In dat geval bewaar je op verschillende plekken verschillende delen van je seed phrase. Alleen jij weet vervolgens waar de 3 delen liggen en houdt misschien nog een cruciaal deel van de code alleen voor jezelf. Het kan hier ook nog handig zijn dat je steeds een stukje overlap houdt, zodat je altijd makkelijk de volgorde kan achterhalen.

3. De Ethereum wereld: smartcontracts

Als yield farmer heb je met een extra zwakke plek te maken: smartcontracts. In de Ethereum wereld is het mogelijk om je crypto’s in financiële applicaties te plaatsen. Vergelijk het met geld dat je bij een bank zet, maar dan volledig digitaal. Deze financiële applicaties (ook wel DeFi genoemd) bestaan uit smartcontracts.

Een smartcontract kan dus jouw crypto’s beheren. In dit geval ben je afhankelijk van een smartcontract. Dit gaat in veruit de meeste gevallen goed. Maar het kan ook voorkomen dat oprichters van een DeFi applicatie scammers blijken te zijn en een smartcontract zo programmeren dat ze de fondsen uit het contract kunnen halen en jou bestelen.

Ook zou het kunnen zijn dat een techneut goede bedoelingen heeft, maar een smart contract net niet goed genoeg programmeert en voor een hacker een mogelijkheid laat om te hacken. Dit kan zelfs de beste teams ter wereld overkomen.

Een laatste zwakke plek hier is een phising smart contract (of token). Het kan voorkomen dat je naar Uniswap wil gaan. Je komt op een site uit die precies op Uniswap lijkt, alleen met een net iets andere URL. Bijvoorbeeld https://app.unisswap.org/. In plaats van de juiste https://app.uniswap.org/.

In het geval je dan een token gaat swappen via de verkeerde site, zal je er niets voor terug krijgen.

Ook kan het voorkomen dat je swapt tegen een neppe token, die lijkt op een echte maar niets waard is.

De oplossingen hiervoor:

1. Stop je geld nooit zomaar overal in

Eigenlijk een no-brainer. Ben altijd kritisch of een project wel gaat doen wat het zegt te doen. Of dat het team in ieder geval z’n stinkende best doet om doelen te halen. Het makkelijkste om dit te checken is door te kijken naar het team. Delen de teamleden hun identiteit? Dan is dat een goed teken. En kijk vervolgens welke ervaring men heeft.

Daarnaast zijn goede vragen: hoelang bestaat een project al? En hoeveel kapitaal hebben de smartcontracts in deze tijd beheerd?

Als een smartcontract al voor een paar jaar een paar miljard dollar beheert, kan je er vanuit gaan dat het contract waterdicht is. Anders was er al wel een hacker geweest die had geprofiteerd.

2. Spreid altijd!

Ook al stop je je geld in het beste team ter wereld. Ook zij blijven mensen en mensen kunnen fouten maken. Net als ieder bedrijf failliet kan gaan, zou ieder smartcontract gehackt kunnen worden.

Zorg daarom nooit dat je te veel kapitaal op één plek hebt staan. Voor handigheidjes over weging per project, check dit artikel.

 3. Check of je in de juiste applicatie/token zit

Het komt dus ook voor dat hackers fake applicaties/sites of tokens bouwen. Voor fake applicaties/sites is het zaak om altijd goed de URL te checken. Als je die niet weet, dan kan je naar de site van coingecko.com gaan. Type hier vervolgens de token in die je wil zoeken en op de tokenpagina van Coingecko zie je dan de info van een token, zoals de URL naar de website/applicatie.

Om zeker te zijn dat je niet bij een fake token uitkomt, werk je met tokenlijsten in Uniswap (of Sushiswap). In deze video laat ik je zien hoe je via Sushiswap koopt en je een tokenlijst selecteert. Ook kan je via Coingecko op een tokenpaar klikken, zodat je zeker bij de juiste token uitkomt. Als je de SUSHI token zou willen kopen, ga je bij Coingecko naar deze pagina. En scrol je een stukje naar onder tot je dit ziet:

Je klikt dan bij paar op SUSHI/ETH en je komt bij de applicatie van Sushiswap uit met alvast de SUSHI token ingevuld om te kopen (met Uniswap of andere decentrale brokers werkt dit precies hetzelfde).

4. Crypto doorgeven aan nabestaanden

Tot slot kan het natuurlijk ook zijn dat je overlijdt. Als jij je private key zo goed beveiligd dat niemand anders deze kan achterhalen, dan neem jij je crypto’s mee in je graf.

Wanner crypto’s bij een broker staan, dan moet het mogelijk zijn voor nabestaanden om deze te achterhalen. Je nabestaanden moeten immers in staat zijn om aan de broker te bewijzen dat zij werkelijk jouw nabestaanden zijn.

Bij crypto’s die je zelf beheert, is dit dus niet vanzelfsprekend.

Om dit op te lossen kan je de seed phrase (of pincode van je hardware wallet) met iemand delen die je voor de volle 100% vertrouwt.

Daarnaast kan je de toegang tot je crypto’s ook vastleggen in je testament. Vergeet dan niet om naast je seed phrase ook even de instructies uit te leggen hoe je werkelijk tot de cryptomunten komt.

Mocht je zelf nog goede tips hebben die niet zijn genoemd, dan laat het vooral weten in de comments! Vragen zijn natuurlijk ook altijd welkom.

Volg raja op de voet

Direct zien wanneer Raja een nieuwe kooptip plaatst? Meld je GRATIS aan!

0 Reacties
Inline feedbacks
Bekijk alle reacties

We vinden het jammer dat u stopt...

Weet u zeker dat u uw BeursBits-abonnement wilt stopzetten? Door hieronder op Stopzetten te drukken, maak u uw opzegging definitief.