Omówię tu kilka zasad bezpieczeństwa w handlu giełdowym, przechowywania środków i tworzenia portfeli kryptowalutowych. Przed rokiem 2015 dominowały portfele dostępne jedynie z poziomu pełnego klienta danej kryptowaluty, co oznaczało konieczność pobrania wszystkich wcześniejszych bloków aby zaktualizować nasze saldo, ich rozmiar w przypadku Bitcoina sięgał setek GB danych, a pobranie trwało kilka dni. Sam portfel miał niewielki rozmiar do 1 MB i był przechowywany w szyfrowanym pliku wallet.dat. Obecnie znaczna większość krypto aktywów ma lekkie portfele na telefon, PC lub przeglądarkę webową oraz multiportfele, gdzie z jednego ziarna (seed) generujemy adresy i klucze do wielu kryptowalut. Multiportfele mogą być także sprzętowe w postaci pendriva jak Ledger czy Trezor.
Aby zrozumieć mechanikę działania krypto posłużę się najpierw pierwotną metodyką tworzenia portfeli z poziomu clienta core. Przypomnę też, że nasz publiczny klucz, adres ze środkami jest jak numer konta bankowego widoczny dla każdego, a klucz prywatny jak hasło do tego adresu i aby je złamać potrzeba 2^256 kombinacji (tzw. szyfrowanie SHA256). Zgubienie lub kradzież klucza prywatnego oznacza utratę dostępu do środków, co w przypadku konta bankowego nie występuje. W przypadku giełd zcentralizowanych krypto klucze prywatne ma tylko ona, więc w razie upadku środki także tracimy. Dla giełd zdecentralizowanych jest znacznie lepiej bo do wymiany łączymy się zwykle naszym portfelem przeglądarkowym lub sprzętowym.
Metodologia old school client core
A. Bezpieczny Core wallet, pełny lub mini
(Jeśli nie mamy systemu Windows, lub obawiamy się że jest zawirusowany)
1. Tworzymy wirtualny dysk z systemem np. WinXP, używając programu np. Oracle VirtualBox
2. Tworzymy nowy dysk D na naszej maszynie do magazynowania bloków i portfela. (Pełny klient w zależności od waluty potrzebuje od 3 do 30 GB, dla mini portfela np. Electrum wystarczy 100 MB)
3. Możemy też ściągnąć bezpieczny system LinuxLiveCD i uruchomić go z pendriva i tam wygenerować nasz portfel.(opis w dziale B)
(Jeśli jesteśmy pewni, że nasz system Windows jest bezpieczny)
5. Z pomocą programu TrueCrypt (ver. 7.1a na nowsze niema gwarancji bezpieczeństwa) tworzymy nowy plik, który będzie naszym szyfrowanym dyskiem dla klienta kryptowaluty lub mini portfela Electrum. Dla pliku/kontenera na koniec ustawiamy hasło i możemy przejść do emulacji.
(TrueCrypt może nam służyć jedynie do przechowywania tajnych plików portfela i haseł, ukrycie klienta danej kryptowaluty w kontenerze ma za zadanie zamaskować nasz dysk przed osobami postronnymi. Samo szyfrowanie programu jest na tyle mocne, że do dziś NSA go nie złamała)
6. Pu uruchomieniu ukrytego dysku kopiujemy tam oryginalnego klienta (core wallet full lub light) np. Litecoin z głównej strony projektu.
7. Jeśli pobraliśmy pełnego klienta (full core) to warto zmienić lokalizacje pobieranych plików i uruchomić go z wiersza poleceń komendą:
E:\Litecoin\litecoin-qt.exe -datadir=baza
(gdzie baza to nasz folder z portfelem i wszystkimi pobranymi blokami)
Inaczej pliki będą w katalogu: Użytkownicy/AppData/Litecoin-qt
8. Od razu po uruchomieniu klienta zabezpieczamy hasłem nasz portfel. Następnie dla naszego przydzielonego jedynie widocznego klucza publicznego (pozostałe 99 jest ukryte) należy pobrać klucz prywatny, który zapiszemy na kartce. Jednak pamiętajmy, że domyślnie po każdym przelewie wychodzącym nasze monetki będą wędrowały na pozostałe 99 ukrytych adresów których nie widzimy(z założenia ma to zapewnić anonimowość i utrudnić śledzenie transakcji, ale opcję tą możemy wyłączyć są to tzw. adresy reszty). Aby je wrzucić ponownie do adresu głównego wykonujemy przelew wewnętrzny wszystkich widocznych środków na adres domyślny. Jeśli nie wyłączymy adresów reszty to środki po każdym przelewie będą coraz bardziej rozproszone i zamiast jednego klucza prywatnego musimy przechowywać cały plik kluczy do wszystkich adresów wallet.dat. W nowych portfelach deterministycznych gdzie adresy generujemy z poziomu ziarna (seed) ten problem nie występuje, wystarczy zapisać 12 lub 24 unikalne słowa, zamiast trudnego klucza prywatnego.
9. Aby pobrać klucz prywatny lub dodać nowy adres z klucza prywatnego należy najpierw nasz portfel odbezpieczyć czasowo używając komendy w konsoli naszego klienta:
walletpassphrase <hasło> <czas>
(gdzie czas podajemy w sekundach 300 powinno wystarczyć)
importprivkey <klucz-prywatny> true/false
(komendą dodajemy adres do portfela, w zależności czy ma być rescan dajemy opcję true czyli prześledzenie jeszcze raz wszystkich bloków. Inaczej naszych monetek nie zobaczymy od razu w portfelu, rescan nastąpi po ponownym otwarciu pełnego klienta)
dumprivkey <klucz-publiczny>
( komenda posłuży do pobrania klucza prywatnego z naszego publicznego który mamy w portfelu
10. Ogólnie wszystkie starsze kryptowaluty (2011-2015) są oparte na kodzie bitcoina i litecoina więc każdy klient i procedury będą takie same. Nowoczesne kryptowaluty po roku 2015 do tworzenia portfeli lub multiportfeli zwykle wykorzystują ziarna seed, a pobieranie klucza prywatnego wygląda inaczej i jest prostsze.
B. Bezpieczny adres portfel offline
1. Tworzymy płytę Linux LiveCD
2. Uruchamiamy ją bez dostępu do internetu
3. Z pendrive’a uruchamiamy aplikację do generowania adresów: brainwallet.github.com-master (jest to apka napisana w javascript odpalamy ją z pliku index.html)
Możemy w niej wygenerować adres automatycznie lub dzięki brainwalletowi. Ale uwaga o ile brainwallet jest lepszy bo możemy zapamiętać go w głowie. To nasz ciąg musi być unikalny nie wystarczy przepisać strony tekstu z jakiejś książki ale dodać kilka znaków specjalnych typu duże litery kropki przecinki dolary cyfry. np. 87040312052..alamakotaitenkotjestslepy….86040312041 (Gdzie liczby to pesel nasz i naszej partnerki a kropki w środku to numer domu). Były przypadki kradzieży gdy ktoś przepisał kilka linijek książki w afrykańskim języku.
4. Zapisujemy nasz klucz publiczny (adres do wpłat) i klucz prywatny (losowy lub wygenerowany z brainwalleta posłuży nam do importowania naszego klucza do portfela w przyszłości). Można zrobić kilka kopi kartek każdą ukryć w innym miejscu np. sejfie, skrytka w banku, zakopać pod drzewem. Zamiast kartki można także wygrawerować nasz klucz na stalowej blaszce, co ochroni ją przed zniszczeniem (ogień, woda).
5. Gdy dokonamy przelewu na nasz adres, stan naszych monet i transakcji możemy sprawdzić z poziomu przeglądarki. Aby znaleźć stronę da danej waluty należy w google wpisać block explorer + nazwa krypto. Dla Litecoina będzie to np. Litecoin Explorer dla Ethereum Ethereum Explorer dla BTC Bitcoin Explorer
Gdy postanowimy przelać nasze monetki na giełdę lub dodać do portfela możemy pobrać pełnego klienta i skorzystać z komend w poradzie A. Lub dla bitcoina i litecoina skorzystać z mini portfela np. Electrum, jest to znacznie szybsze bo w ciągu 5 min możemy już mieć środki na giełdzie. Pełny klient to rozmiar 30 GB dla BTC i 8 GB dla LTC pobieranie całego od początku to od 16 h do 3 dni, raczej zdecydowanie za długo jeśli chcemy sprzedać na szczycie bańki liczy się każda minuta.
Metodologia nowoczesna
A. Portfele webowe
Obecnie najczęściej wykorzystuje się portfel przeglądarkowy Metamask, obsługuje on kryptowaluty oparte o kodowanie Ethereum Virtual Machine. Do którego należą waluty: Ethereum, Polygon, Binance Smart Chain, KCC, Fantom, Avalanche oraz wszystkie tokeny zbudowane w tych sieciach (standard ERC20). Na sieci BSC czy ETH istnieje także wiele tokenów natywnych będących odpowiednikiem oryginalnych coinów ale pisanych w innej technologii np. Bitcoin, XRP, Litecoin. Jest to ogromna zaleta bo pozwala nam na przechowywanie i wymianę swapową na zdecentralizowanych giełdach monet zbudowanych na różnych niekompatybilnych ekosystemach. Zaletą walut i tokenów zgodnych z EVM jest to, że możemy mieć je wszystkie na jednym adresie publicznym Ethereum, aby je wyświetlić w Metamasku musimy się połączyć z odpowiednią siecią (za pierwszym razem musimy dodać nazwę sieci, adres URL i ID łańcucha). Aby przerzucić tokeny między sieciami korzysta się z mostów (bridge). Aby wygodnie przejrzeć zawartość naszego adresu głównego z wszystkich sieci można posłużyć się stroną Ape Boards. Do prześledzenia szczegółów transakcji stosuje się explorator bloków etherscan.io (dla Ethereum), bscscan.com (dla BSC), polygonscan.com (dla Polygon). Do przejrzenia aktualnych par walutowych na zdecentralizowanych giełdach w sieciach EVM stosuje się narzędzie dextools.io. Mamy tam bezpośrednie linki to giełd i szczegółów transakcji.
Tworzenie konta Metamask opiera się o wygenerowanie ziarna(seed phrase), są to od 12 do 24 losowe wyrazy z anglojęzycznego słownika pisanego w standardzie BIP39 i Hierarchical Deterministic (HD) mamy tam 2048 wyrazów. Możemy też wpisać ręcznie klucz prywatny lub ziarno wygenerowane w innym portfelu, lub połączyć się z pomocą portfela sprzętowego. Multiportfele są kompatybilne ze sobą ale mogą mieć inną ścieżkę wyprowadzenia gałęzi drzewa (Derivation Path) i tu mamy także kilka standardów najczęściej BIP44, BIP49. Ziarno pozwala nam wyprowadzić wiele miliardów adresów i kluczy prywatnych do różnych walut, a ich powtórzenie u kogoś innego jest praktycznie niemożliwe. Do zabawy i konwersji standardów polecam stronę iancoleman.io(oczywiście lepiej zrobić to w trybie offline z bezpiecznego komputera)
Frazę 24 wyrazowego ziarna można dodatkowo wzbogacić o jeszcze jedno słowo/hasło (passphrase) które mamy w głowie co oznacza, że nawet kiedy ktoś odnajdzie nasz seed to nie dojdzie do naszej gałęzi z kluczami prywatnymi. Opcję tą mają głównie portfele sprzętowe, w praktyce możemy mieć wiele ukrytych ścieżek znanych tylko dla nas.
B. Portfele sprzętowe
Portfele te charakteryzują się największym bezpieczeństwem i funkcjonalnością, są dość rozbudowane pozwalają łączyć z portfelami webowymi i mini portfelami desktopowymi.
Obsługują większość popularnych kryptowalut na rynku. Najważniejsze co musimy zrobić to zapisanie ziarna seed wygenerowanego przy pierwszym uruchomieniu i jego ukrycie, potem wystarczy sam PIN. W razie zgubienia czy kradzieży nasze nasze ziarno pozwala przywrócić dostęp do środków z poziomu innego urządzenia. Główna wada to cena zwykle 300-500 zł, te tańsze mają ograniczoną pamięć co oznacza konieczność wielokrotnego instalowania mini apek do każdej waluty. Należy je kupować u zaufanego dystrybutora, bądź bezpośrednio u sprzedawcy, najpopularniejszy jaki mogę polecić to Ledger Nano S Plus.
Złote zasady bezpieczeństwa
0. Pierwsze kroki, podstawy podstaw bezpieczeństwo, jak zacząć
1. Nie trzymamy wszystkich monet na jednej giełdzie, w przypadki gotówki mamy nieco większe szanse na odzyskanie środków. Ryzyko utraty bitów i pieniędzy z giełdy jest zawsze. W czasie mojej przygody w ciągu 7 lat upadły trzy polskie giełdy bidextreme, bitcurex, bitmarket i wiele zagranicznych jak japońska mt.gox, Cryptsy, btc-e, Cryptopia. Środków po wielu miesiącach nikt nie odzyskał mimo śledztwa i pozwów sądowych. Częste ataki hakerskie na giełdy to norma zwykle mają one fundusz rezerwowy na pokrycie strat i tzw. cold wallet z wykorzystaniem klucza multisignature gdzie do wypłaty środków potrzeba 3 niezależnych zaufanych stron. Ale to też może nie wystarczyć bo jak np. właściciel dużej kanadyjskie giełdy QuadrigaCX upozorował własny akt zgonu i wszystkie środki przepadły.
2. Monetki długookresowe trzymamy na adresach których znamy klucz prywatny lub seed i mamy jego zapis na kartce, w szyfrowanym pliku lub grawerze na stalowej blaszce. W razie utraty portfela na dysku czy pendrive’a możemy odtworzyć nasze bitki z kartki. Pendrivy bywają zawodne. Program TrueCrypt ver. 7.1a, nadaje się bardzo dobrze do przechowywania małych plików i haseł. Pliki zabezpieczone programem TruCrypt można przechowywać w chmurze. Warto mieć klika kopi w różnych miejscach, oraz przekazać procedurę przywracania środków zaufanym osobom. Pełnego klienta najlepiej instalować na zewnętrznym dysku HD-USB 100-400GB, większość walut ma jednak wygodne lekkie miniporfele. Virtualizacja Windows raczej zbędna.
3. Uważajmy na mało znane portfele online z poziomu przeglądarki lub mini aplikacji na telefon, tam trzymamy małe ilości, albo na krótki okres. Portfele pobieraj jedynie z oficjalnych stron projektów których adresy www znajdziesz na coinmarketcap . Nie korzystaj z portfeli dających pseudo lokaty.
4. Aby uchronić się przed phishingiem czyli fałszywymi linkami do giełd czy projektów, nigdy nie klikaj w reklamy, czyjeś linki czy wiadomości e-mail.
Korzystaj tylko z linków z oficjalnych stron i kanałów dostępnych na coinmarketcap.com. Najprościej w przeglądarce ustawić sobie ulubiony pakiet zakładek i korzystać tylko z nich.
5. Optymalnie do wejścia/wyjścia w kryptowalut można używać polskiego Bitbaya (Zonda) lub kantoru, następnie przerzucić krypto na Binance i inne większe giełdy. Z giełd wypłacać na sprzętowy portfel prywatny lub przeglądarkowy Metamask. W przypadku tokenów erc20 budowanych na sieci Ethereum transferowe opłaty giełdowe mogą być dość wysokie nawet 10$ więc do wymiany pomiędzy giełdami scentralizowanymi warto tymczasowo zamienić je na waluty o znacznie mniejszych kosztach transferu jak LTC lub XRP. Do wpłat i wypłat walutowych warto też korzystać z konta Revolut.
Sam Revolut także pozwala na wygodne, szybkie i proste zakupy kryptowalut, gdzie nie musimy martwić się o ich przechowywanie, przelewanie i tworzenie portfela (Niemożna ich wypłacić, widzimy tylko saldo po aktualnej wycenie). Jest to dobre dla początkujących ale wiąże się ze sporą opłatą nawet 1-4%, co i tak jest konkurencyjne wobec kantorów.
6. Zwracaj uwagę na głębokość rynku na danej parze walutowej, zwykle wystarczy dobowy volumen na poziomie 1 mln $. Pamiętaj o zjawisku flash crash czyli lawinowym spadku kursu. Szczególnie kiedy grasz na płytkiej giełdzie z lewarem, bo to oznacza ryzyko utraty całej pozycji.
7. Sensownie dywersyfikuj swoje portfolio, czyli np. 50% środków w pewne projekty o mocnych fundamentach (BTC, ETH, XRP, ADA, DOT), 30% też w mocne ale młodsze i bardziej ryzykowne (BNB, GRT, UNI, SOL, ATOm, AVAx), 20% w nowinki o wysokim ryzyku ale też i potencjale do wzrostów x100. Część środków warto także przetrzymywać w DeFi.
8. Rób zakupy w okresach nudy po spadkach -80% -90%, wykorzystując także metodę regularnych zakupów DCA i uśredniania kosztów. Sprzedawaj co najmniej połowę po wzrostach x10, przy x30 upłynnij 90% lub wszystko, aby uniknąć opodatkowania wychodź do stablecoinów, te także dywersyfikuj. Korzystaj z długoterminowych wskaźników jak EMA200 na wykresie tygodniowym lub MVRV-ZScore.
Aktualizacja czerwiec 2022