Нещодавно я бачив досить абсурдний випадок, хочу розповісти про це, щоб попередити всіх.

Користувач раніше зареєстрував обліковий запис на одному з провідних бірж через гаманець SafePal. Тоді політика була лояльною, і без підтвердження особи можна було нормально користуватися. Він перевів кошти для інвестування та встановив пароль для виведення, все виглядало досить безпечно.

В чому проблема? Мнемонічна фраза випадково потрапила в руки сторонніх. Як правило, акаунти на біржах і гаманці на блокчейні відрізняються, витік мнемонічної фрази не повинен призвести до втрати монет. Але цього разу ми потрапили в пастку — платформа згодом примусово вимагала від усіх користувачів пройти процедуру ідентифікації.

Саме в цей період хтось, використовуючи витік меморизаційних слів, увійшов до його облікового запису, перш ніж завершив процедуру ідентифікації (причому, звичайно, не використовуючи свої дані), і, заодно, змінив пароль на виведення. Коли справжній власник облікового запису зрозумів, що сталося, він виявив, що вже "легально" заблокований зовні.

Ця справа жахає: мнемотехніка спочатку призначалася для управління активами на ланцюгу, а тепер навіть централізовані рахунки можуть бути захоплені. Як тільки правила платформи змінюються, безпекові вразливості старих рахунків будуть посилені. Пароль на виведення виглядає як перешкода, але після провалу на етапі ідентифікації особи жоден пароль не буде корисним.

Поради для всіх: управління мнемонічними фразами не можна недооцінювати, навіть якщо ви вважаєте, що це лише обліковий запис біржі; на нові правила платформи потрібно реагувати в першу чергу, не залишайте простору для маневру іншим; старі облікові записи, які не пройшли верифікацію, слід якомога швидше доповнити сертифікаційною інформацією, не чекайте, поки щось трапиться, щоб потім шкодувати.