Hardware Wallet Review: BitBox 02

Il mondo delle crypto è pericoloso – i malintenzionati sono ovunque, e hanno un'abbondanza di strategie per rubare i fondi degli utenti. Stabilire una strategia per proteggere i tuoi asset dovrebbe essere la tua massima priorità.

Hardware Wallet Review: BitBox 02

Quando si tratta di bitcoin, un'archiviazione valida è di fondamentale importanza.

Il rischio di subire un furto dei propri fondi non è raro e stabilire una strategia per proteggere i propri asset dovrebbe essere la massima priorità.

Oggi esistono molteplici opzioni di archiviazione, ciascuna con i suoi compromessi in termini di sicurezza e usabilità. I principianti tendono ad affidarsi agli exchange. Queste piattaforme rappresentano spesso la prima esperienza di acquisto e custodia delle crypto, ma costringono di fatto gli utenti a riporre ancora una volta la fiducia in un soggetto terzo. Il cliente, infatti, non ha né tecnicamente, né sostanzialmente il controllo dei suoi asset e se l'exchange viene hackerato o messo offline, corre il rischio di non poter più recuperare in nessun modo i propri fondi.

Bitcoin nasce, tuttavia, per essere uno strumento di libertà e come tale deve essere custodito autonomamente e in modo sicuro. Del resto, lasciaresti mai il tuo diritto più importante nelle mani di qualcuno che sai essere vulnerabile?

Ecco perché a un exchange è sicuramente da prediligere un wallet non custodial. Ne esistono di tre tipi: i software wallet, da installare su pc o come app per cellulari e browser; i paper wallet, che sono semplici fogli su cui è stampata la tua chiave pubblica e la tua chiave privata e, infine, gli hardware wallet, detti anche signing device, che sono dispositivi elettronici offline protetti da crittografia avanzata, garantita da componenti e standard di sicurezza particolarmente elevate.

Cos'è una chiave privata?

Per comprendere al meglio perché l'hardware wallet è una scelta obbligata per la custodia del nostro valore dobbiamo fissare alcuni concetti fondamentali.

Il primo è dato dalla tua chiave privata, che è la firma che devi utilizzare per poter effettivamente spendere i tuoi asset. Di fatto, si comporta proprio come una chiave fisica. Se qualcun altro riesce ad impossessarsene, può rubare i tuoi asset. Se perdi la chiave, perdi l'accesso alle tue monete, perché in un contesto decentralizzato non esistono pulsanti per il ripristino della password o per fare il reverse della transazione.

Le chiavi private devono essere tenute al sicuro da qualsiasi agente malevolo e dalla possibilità di perderle.

Conservare le tue chiavi, quindi, non è semplice. L'opzione più diffusa è quella che prevede di scrivere queste stringe di numeri e lettere su un semplice pezzo di carta e poi di conservarle in cassaforte. Ma esistono altri metodi, che si preoccupano ad esempio di assicurare la conservazione nel tempo e, quindi, fanno ricorso a supporti di materiale differente come il metallo.

Cos'è un hardware wallet?

Gli hardware wallet sono dispositivi progettati appositamente per conservare chiavi private in sicurezza. Sono considerati più sicuri degli wallet desktop o smartphone, principalmente perché non si connettono a Internet in nessun caso. Queste proprietà riducono notevolmente i vettori di attacco a disposizione dei malintenzionati, in quanto questi non possono manomettere il dispositivo da remoto.

Un hardware wallet valido garantisce che le chiavi private non lascino mai il dispositivo. In genere, vengono conservate in uno spazio speciale nel dispositivo che non consente la rimozione, o in alcuni casi vengono generate in una memoria differente da quella di sistema che può essere esportata e conservata in un luogo diverso da quello del hardware wallet.

Dato che gli hardware wallet sono offline in ogni momento, devono essere usati insieme ad un altro dispositivo. In particolare, il modo in cui sono progettati rende possibile inserirli in un PC o in uno smartphone senza alcun rischio di fuga della chiave privata e da qui, grazie all'interazione con il software, è possibile visualizzare il proprio saldo ed effettuare con facilità una transazione.

Quando l'utente crea una transazione, la invia all'hardware wallet (v. figura 1 nel diagramma sotto). La transazione, tuttavia, non è ancora completa: deve essere firmata dalla chiave privata nel dispositivo. All'utente verrà chiesto, cioé, di confermare che l'importo e l'indirizzo e, solo a quel punto, la transazione viene firmata e rispedita al software (v. figura 2), il quale la trasmette al network della criptovaluta (v. figura 3).

come funziona un hardware wallet

Perché dovresti usare un hardware wallet?

I software wallet che archiviano chiavi private su computer o smartphone connessi a internet lasciano i fondi degli utenti vulnerabili a una vasta gamma di attacchi. I malware possono rilevare attività legate alle crypto su questi dispositivi e prosciugare i fondi dei titolari.

Diversamente un hardware wallet è simile a un caveau impenetrabile con un piccolo slot. Quando l'utente vuole creare una transazione che il network accetterà, la spinge dentro a questo slot. Immagina che, dall'altro lato dello slot, un elfo faccia delle magie crittografiche che firmano la transazione. L'elfo non lascerà mai il caveau, perché non ci sono porte, e non può passare attraverso lo slot. Tutto quello che può fare è ricevere le transazioni e rispedirle indietro. Il che significa che gli hardware wallet offrono sicurezza in quanto le chiavi private non lasciano mai il dispositivo e sono custodite offline.

Se poi qualcuno riuscisse a mettere le mani sul tuo hardware wallet, potresti comunque contare su una protezione aggiuntiva sotto forma di codice PIN e sul fatto che spesso i dispositivi si resettano nel caso in cui una combinazione errata venga inserita un certo numero di volte.

A quel punto, avresti la possibilità di recuperare le criptovalute attraverso una la recovery seed, cioè una frase formata da 12 o 24 parole inglesi di senso compiuto. Gli hardware wallet devono avere un backup in caso di perdita, furto o distruzione. Durante l'inizializzazione, all'utente viene chiesto di registrare la seed phrase – una serie di parole che può essere usata per recuperare i fondi su un nuovo dispositivo. Questa da a chiunque l'abilità di spendere le monete, quindi deve essere trattata come qualsiasi cosa di valore. Si raccomanda agli utenti di scrivere la frase su un biglietto (oppure inciderla nel metallo) e tenerla in un posto privato e sicuro. Inserendo la propria seed phrase in un nuovo hardware wallet potresti ripristinare il tuo wallet come si fa con un semplice backup.

Ecco perché tutti i fondi che non vengono utilizzati attivamente – quelli che non vengono spesi, messi in staking, concessi in prestito o usati nel trading – dovrebbero essere conservati in cold storage. Un hardware wallet offre un mezzo conveniente per raggiungere un livello di archiviazione sicura, anche a chi ha una conoscenza tecnica limitata.

Bitbox 02


In questo approfondimento parleremo della nostra esperienza con Bitbox 02, attualmente disponibile in due versioni, una bitcoin only e e una multicurrency.

Se vi state già chiedendo le differenze tra i due, sappiate che in realtà ce ne sono davvero poche, cambiando essenzialente solo il software opensource che è installato sul dispositivo. Entrambi offrono standard di sicurezza elevatissimi, anche se, matematicamente parlando, vale sempre la regola secondo cui meno un software è complesso, più è sicuro, perché minori sono le probabilità di riscontrare al suo interno dei bug o altri potenziali deficit di sicurezza.

Andiamo però per gradi.

Una volta ordinato, il vostro dispositivo vi arriverà in un packaging curato nei dettagli e ancora una volta tutto ruota intorno alla sicurezza. Il cartone che racchiude il dispositivo è all'interno di una plastica sottovuoto con il sigillo di Shyftcrypto. Questa scelta - di cui abbiamo chiesto le ragioni anche ad alcuni membri del team - è stata presa per permettere ai clienti di verificare in modo immediato che il dispositivo non fosse stato oggetto di manomissione durante il tragitto. Scelta sicuramente unica nel suo genere e che ci sentiamo di premiare a pieni voti.

Aperto l'involucro, il pack che vi troverete fra le mani sarà composto di un manuale di istruzioni, di un device nero lucido, dei laccetti per legarlo, di un adattatore usb-c/usb-a e di una microSD comprensiva di custodia.

Partendo dal device, ciò che colpisce maggiormente è la presenza della USB-C utile per collegare il dispositivo al vostro computer o al vostro smartphone Android (perché purtroppo attualmente l'applicazione per la gestione del wallet è disponibile solo su playstore).

Quindi una chicca. Sapete quanto teniamo ai dettagli, e a noi ha fatto letteralmente impazzire la presenza del gommino a copertura della periferica di comunicazione.

Adesso inserite la microSD all'interno dello slot nel device e collegate il device al dispositivo dove avete installato la suite opensource.

Ora non vi rimarrà che seguire le istruzioni presenti sullo schermo e, in particolare, i comandi attraverso i tasti a sfioramento presenti sul laterale del device. Anche se all'inizio potrà sembrarvi non naturale, interagire con il dispositivo sarà semplice, soprattutto se la posizione delle porte disponibili sul vostro dispositivo.

Una volta creato generato il seed e salvato sulla SD è fondamentale custodire quest'ultima con assoluta parsimonia, perderla significa perdere l'accesso al vostro portafoglio.

Di seguito alcune tabelle esplicative sul confronto con i device più utilizzati in commercio attualmente.

Tiriamo le somme.

Per finire, ci sembra opportuno evidenziare anche come gli hardware wallet abbiano ancora alcuni limiti. Sebbene siano quelli a offrire il miglior rapporto tra sicurezza e usabilità, certamente restano meno pratici di un software wallet e possono essere percepiti come molto scomodi da usare (dato che devono essere utilizzati due dispositivi per inviare fondi).

Inoltre, gli hardware wallet non sono completamente infallibili. Una minaccia fisica contro un utente potrebbe sempre costringerlo a sbloccare il wallet e a renderlo accessibile, mentre malintenzionati esperti potrebbero riuscire a utilizzare il dispositivo se ne ottengono l'accesso fisico. Anche una debolezza nella catena logistica potrebbe compromettere la sicurezza di un dispositivo perché il malintenzionato potrebbe intervenire sul wallet prima che venga consegnato all'utente (ma con BitBox 2 è molto più difficle; v. sopra).

Resta che, a oggi, nessun hack di successo è mai riuscito a recuperare le chiavi private da un dispositivo hardware e soprattutto che, quando vengono segnalate vulnerabilità, i produttori sono generalmente veloci a risolverle.

Non rappresenta - o, almeno, non dovrenne rappresentare - invece, una limitazione il fatto che gli hardware wallet comportino la custodia autonoma e, anzi, molti considerano questo elemento come un vantaggio, in quanto nessuna terza parte è responsabile per la gestione dei propri fondi. Ciò naturalmente significa che se qualcosa va storto l'utente se ne assume il rischio, ma trattasi di un percorso - mentale prima ancora che dettato dall'esigenza - che rappresenta uno degli aspetti fondanti il fenomeno bitcoin, oltre che un obiettivo per chi crede nel percorso della disintermediazione nella trasmissione del valore. E su questo, ci troveremo facilmente tutti d'accordo. In attesa che la tecnologia colmi nel tempo i gap ancora mancanti.