Vorige week bleek dat een man in Leeuwarden slachtoffer was van een brute woningoverval. De daders waren uit op zijn wallets en mishandelden de man tot hij ze prijsgaf. Ongetwijfeld een nachtmerriescenario en reden tot kopzorgen voor menig bitcoiner. Daarom bieden we een aantal tips over hoe je jezelf tegen dit soort aanvallen kan beschermen.

Bitcoins zijn digitaal en daarom is ligt het voor de hand dat veel aandacht uitgaat naar het beschermen tegen digitale risico’s zoals hackers of virussen. Gelukkig biedt een hardware wallet in veel gevallen bescherming tegen dat soort high tech-dreigingen.

Andere en meer low tech-dreigingen krijgen vaak minder aandacht. Denk aan het verlies van wallets en seed phrase-backups als gevolg van water- of brandschade. Of, zoals in Leeuwarden, als gevolg van de beruchte ‘$5 dollar wrench attack’.

$5 dollar wrench attack

De $5 dollar wrench attack ontleent zijn naam aan het feit dat je heel ver kan gaan in het digitaal beveiligen van je wallets, maar dat die bescherming soms geheel te omzeilen is door een slachtoffer simpelweg met een goedkoop stuk gereedschap te bewerken totdat hij of zij de wallets prijsgeeft. Dat is ongeveer wat er in Leeuwarden gebeurde.

Bron: XKCD

Een schrijnend drama, hoe je het ook wendt of keert. Toch zijn er manieren om je ook tegen dit soort aanvallen te beschermen. Hieronder geven we een aantal veiligheidstips die je daarvoor kan inzetten.

Privacy

De beste manier om jezelf te beschermen is door te zorgen dat je geen doelwit wordt. Vertel daarom aan zo min mogelijk mensen dat je bitcoin bezit.

Vertel ook nooit hoeveel bitcoin je hebt. Als je thuis duizenden euro’s in een oude sok bewaart vertel je dat immers ook niet aan iedereen. Misschien zijn je bezittingen nu nog niet zoveel waard en acht je het risico daarom niet zo groot, maar overweeg of dat ook zo is als de prijs over een paar jaar misschien veel hoger is. Als je eenmaal hebt verteld hoeveel je hebt kan je dat in de toekomst niet meer ongedaan maken.

Vertel bij voorkeur ook niet wanneer je hebt gekocht, want dan weet men ook ongeveer welke prijs je hebt betaald. Met een klein beetje voorkennis over jou en een indicatie van je inkoopprijs, kan immers een inschatting worden gedaan over hoeveel je mogelijk hebt. Vaak liggen die inschattingen ook nog eens te hoog; men denkt van bitcoiners al gauw dat ze rijk zijn.

Risico spreiden

Stop niet al je eieren in één mand. Overweeg je bitcoins over meerdere wallets te verspreiden en bewaar de back-ups op verschillende plaatsen, zodat je in geval van verlies niet alles in één keer kwijt bent.

Ga daarin echter niet te ver(!), want hoe meer wallets en back-ups je verstopt hoe ingewikkelder het ook voor jezelf is om alles fatsoenlijk te beveiligen en te onthouden. Het risico van verlies door gebruikersfouten is in veel gevallen nog altijd veel groter dan het risico van een fysieke aanval. Zoek daarom de juiste balans.

Lokwallets & passphrases

Sommige bitcoiners bewaren een kleiner bedrag op een wallet die als lokwallet dient. In het geval van een beroving kan je die prijsgeven. Als het bedrag overtuigend genoeg is dan nemen de daders er wellicht genoegen mee en zoeken ze niet verder naar een eventuele andere wallet. Zorg ervoor dat het er als een doodnormale wallet uitziet en stop er niet te weinig in, hoe jammer het ook is als je het kwijtraakt. Je eigen veiligheid en gezondheid zijn nog altijd meer waard.

Diverse hardware wallets bieden de mogelijkheid om verborgen extra wallets aan je seed phrase te koppelen met behulp van ‘passphrases’. Daarbij voeg je een extra zelfgekozen woord toe aan je seed phrase, waarmee je een totaal andere wallet benadert. Het is voor aanvallers niet zichtbaar of je zo’n extra wallet gebruikt.

Je kan ze bij de bovenstaande lokwallet-strategie gebruiken. De standaardwallet vul je dan bijvoorbeeld met een kleiner bedrag en een groter bedrag bewaar je in een geheime wallet die voor buitenstaanders onzichtbaar is. Soms kan je ook meerdere geheime wallets aanmaken, dat maakt het voor aanvallers helemaal lastig om te weten of er nog meer buit te behalen is.

Multisig

Als je niet in staat bent om de fondsen te verplaatsen dan kan een kwaadwillende je daartoe ook niet dwingen. Veel bedrijven en kapitaalkrachtige bitcoiners gebruiken daarom multisig-oplossingen om hun bitcoins te beveiligen.

Normaal gesproken ondertekent één bitcoinwallet om bitcoins van een bitcoinadres te versturen, maar bij multisig zijn er meerdere ondertekeningen nodig. Een beetje zoals bij een kluis die alleen met twee of meer sleutels is te openen. Een kwaadwillende kan een potentieel slachtoffer daardoor niet zomaar dwingen om de fondsen prijs te geven, want er is ook nog ondertekening van anderen nodig.

Casa

Bitcoinbedrijf Casa specialiseert zich in kant-en-klare multisig oplossingen om je fondsen tegen diefstal en woningovervallen te beschermen. Neem eens een kijkje op hun website.

Een bekend voorbeeld is de 2-van-de-3 multisig strategie. Daarbij zijn er drie sets met private keys en zijn fondsen alleen te versturen als er met tenminste twee van de drie wordt ondertekend. Geen van de drie verschaft op zichzelf toegang en als één van de drie ten prooi valt, dan zijn er nog altijd twee andere sets met private keys die volledige toegang bieden.

Multisig contracten zijn zo groot en ingewikkeld te maken als je zelf wil. Je kiest zelf hoeveel sets met private keys er bestaan en hoeveel ondertekeningen minimaal nodig zijn. Je kan bijvoorbeeld ook een 3-van-de-5 multisig adres aanmaken, of desnoods een 10-van-de-20.

Je fondsen zijn daarmee behoorlijk goed beveiligd, maar mogelijk introduceer je ermee wel extra risico voor jezelf. Het kan immers even duren voordat kwaadwillenden daadwerkelijk geloven dat je niet in staat bent om de fondsen prijs te geven. Overweeg daarom een document bij te houden waarin je de strategie toelicht, zodat je daarmee eventuele kwaadwillenden kan tonen dat je niet ter plekke een smoes verzint.

Locatie

Als je jouw seed phrase niet thuis bewaart, dan heeft een aanvaller die een woningoverval uitvoert een probleem. Het maakt een succesvolle aanval aanzienlijk meer risicovol omdat kwaadwillenden meer tijd kwijt zijn en zich moeten verplaatsen, waardoor de kans toeneemt dat ze op camerabeelden zichtbaar zijn of andere sporen achter laten.

Een notaris of een kluisje bij de bank kunnen mogelijk geschikte opslaglocaties zijn. Hoe verder de locatie verwijderd is van je huis, hoe moeilijker het voor de aanvallers is.

Als je jouw seed phrase op zo’n plek bewaart, overweeg dan wel dat een medewerker in theorie jouw kluisje zou kunnen openen. Misschien is het daarom goed om je seed phrase in meerdere delen ‘op te knippen’ en de delen op verschillende plaatsen te bewaren. Dat biedt nog een extra veiligheidslaag. Het beste doe je dat opdelen niet zelf, want aan de hand van één deel van een seed phrase kan een slimme aanvaller de rest achterhalen. Gebruik daarom bij voorkeur zoiets als Shamir’s Secret.

Timelocks

Je kan ervoor zorgen dat jouw bitcoinwallet alleen toegankelijk is op bepaalde momenten. Een kwaadwillende die op het verkeerde moment komt vist dan buiten het net.

Voor technische gebruikers biedt Bitcoin de mogelijkheid tot timelocks. Daarbij stort je de fondsen op een bitcoinadres, dat via een smart contract zodanig beperkt is dat de bitcoins alleen zijn te versturen als er aan de voorwaarden is voldaan. Zo’n voorwaarde kan zijn dat de bitcoins alleen tussen block X en block Y verstuurd kunnen worden, maar daarbuiten niet. Pas wel op dat je geen fouten maakt en de fondsen per ongeluk permanent versleutelt, want ook dan is de blockchain genadeloos betrouwbaar.

Een meer eenvoudige manier is om je seed phrase ergens te bewaren waar de toegang beperkt is. Bijvoorbeeld in een kluisje bij de bank. Een kwaadwillende moet dan niet alleen wachten tot de bank open is, maar je profiteert aanvullend ook van de beveiligingsmaatregelen die de bank heeft getroffen.

Thuisbeveiliging

Als je waardevolle bezittingen thuis bewaart, ongeacht wat voor soort bezittingen dat zijn, dan is het waarschijnlijk een goed idee om na te denken over de beveiliging van je huis. Er zijn in Nederland diverse bedrijven die zich in huisbeveiliging specialiseren, waar je abonnementen kan afsluiten voor onder andere anti-inbraakpreventie, een alarm of een panic button-noodschakelaar. Zulke bedrijven schakelen bij nood de politie in.

Een camerasysteem kan ook helpen. Dat schrikt af en de beelden kunnen in het geval van diefstal de instanties helpen bij de opsporing. Als je de camerabeelden niet thuis opslaat en de toegang beperkt, dan zijn ze voor de daders ook buiten bereik.

Tot slot

$5 wrench attacks zijn verontrustend en het is goed om na te denken over de risico’s, maar laat jezelf niet gek maken. Recente onderzoeken schatten dat er bijna een miljoen mensen in Nederland zijn die bitcoin bezitten en het aantal incidenten is in verhouding zeer gering. De meeste bitcoiners bezitten bovendien slechts een klein beetje en gezien de risico’s maakt dat de kosten/baten-berekening van een willekeurige aanval niet erg aantrekkelijk.

Vaak is er bij fysieke aanvallen dan ook meer aan de hand. Daders weten meestal precies waarvoor ze komen, omdat ze via anderen of het slachtoffer zelf voorkennis hebben opgedaan of omdat de plotselinge rijkdom van het slachtoffer is gaan opvallen.

Opsporingsdiensten zijn daarnaast steeds beter in het opsporen van criminelen en gestolen fondsen. Transacties op de blockchain zijn namelijk publiekelijk inzichtelijk en gestolen bitcoins zijn daardoor vrij eenvoudig te volgen. Blockchain-analysebedrijven bieden daar speciale software voor aan, waar veel opsporingsdiensten gebruik van maken. Ook bitcoinbrokers en exchanges gebruiken zulke middelen om criminele geldstromen te detecteren en blokkeren.

Voor criminelen is het daardoor zeer moeilijk om gestolen bitcoins te anonimiseren of wit te wassen – zelfs de meest technische en kundige bitcoiners zullen dat beamen.



Digitale dreigingen komen relatief vaker voor, maar gelukkig kan je jezelf daar grotendeels tegen beschermen met behulp van hardware wallets. Hier lees je er meer over.