Кейсы 19 сентября 2018

Опасный криптотрейдинг: как киберпреступники угрожают виртуальным сбережениям и биржам

Далее

В условиях многофакторной неопределенности на рынках, которую породил блокчейн, криптотрейдинг — торговля цифровыми валютами — остается массово доступным инструментом заработка. Львиная доля сделок по обмену виртуальных денег происходит на централизованных онлайн-биржах. Прочность их защиты регулярно испытывают хакеры. Впрочем, эти площадки учатся эффективнее оборонять свои активы и отсекать недобросовестных пользователей. Генеральный директор Cointoco.in Дамир Латыпов специально для «Хайтека» рассказал об угрозах на крипторынке и современных методах защиты своих виртуальных сбережений.

 

Криптобиржи — приманка для киберпреступников

Летом 2018 года общая капитализация мирового крипторынка оценивалась в сумму около $300 млрд, что эквивалентно 1,5% от ВВП США за 2017 год — неплохой результат для сферы, которой десять лет назад даже не существовало. В силу высокой волатильности криптовалют торговля ими — распространенный способ заработка в индустрии. Бизнес-показатели платформ, которые служат для торговли и конвертации одних виртуальных денег в другие (а также в обычные, фиатные), тому подтверждение. У одной только биржи Binance, входящей в число флагманов отрасли, дневной объем торгов в пересчете на доллары достигает $1,7 млрд. Крупнейшие биржи со специализацией на цифровых активах выручают за год до $1 млрд на комиссионных отчислениях — те обычно не превышают нескольких десятых процента. Падает биткойн или растет, трейдер все равно найдет, из чего извлечь выгоду.

 

 

Биржи, в особенности классические, централизованные, подвержены многочисленным рискам, равно как и те, кто прибегает к их услугам. Согласно исследованию Центра изучения альтернативных финансов при Кембриджском университете, 73% бирж хранят средства клиентов у себя, при этом только 23% доверяют пользователям самим управлять личными ключами. Такая концентрация «цифрового капитала» и ненулевая вероятность найти в сервисе лазейку манят киберпреступников. Некоторые из них достигают своих преступных целей.

 

 

 

 

Каждый человек станет сам себе банком: цифровой мир отказывается от посредников между бизнесом и клиентом

 

 

 

 

Факты хищения денег с криптобирж не единичны. В 2014 году Mt. Gox, тогда еще крупнейшая из них, разорилась и закрылась из-за того, что с нее было украдено около 740 тыс. биткойнов — около 6% от всех добытых на тот момент. Из аналогичных происшествий, имевших место недавно, заслуживает внимания взлом южнокорейской Coinrail с предположительным ущербом в размере $40 млн.

Атаки на биржи часто не только бьют по благосостоянию и репутации самих компаний и по кошелькам их клиентов, но и сбивают котировки криптовалют и портят имидж молодой индустрии в целом. В 2016 году сразу после взлома биржи Bitfinex, в ходе которого средства были похищены исключительно из биткойн-кошельков, курс старейшей криптовалюты просел на 22%. Слабых мест у бирж хватает — к сожалению, ни одну из них нельзя сравнить с неприступной крепостью.

 

 

Где у криптобирж бывают уязвимости

Пока популярнее всего в криптомире централизованные биржи (CEX). Но именно они и являются наиболее уязвимыми к хакерским атакам. При всех недостатках системного характера у CEX выше ликвидность, они дают возможность совершать операции в парах с фиатными деньгами, а в дополнение предусматривают широкую функциональность для трейдеров. Поэтому индустрия до сих пор не перешла на децентрализованные сервисы (DEX), хотя они становятся все более востребованными.

Взломать могут как саму биржу CEX, так и ее отдельных пользователей. Обычно преступники прощупывают почву заранее и перебирают разные варианты в расчете на то, что какой-нибудь да выстрелит.

 

 

 

 

Прайсинг, трекинг, скоринг, биллинг и другие технологии, которые двигают российский бизнес

 

 

 

 

Источником опасности способен оказаться сам цифровой актив, который является предметом обмена или вовлечен в процесс. В силу особенностей — не всегда даже недостатков — программного решения. В частности, согласно опубликованному в минувшем феврале исследованию, из миллиона смарт-контрактов на Ethereum около 34,2 тыс. потенциально уязвимы.

Бывают и бреши непосредственно в защите платформ. Причем у многих криптобирж наблюдаются сходные проблемы. Например, согласно исследованию провайдера защитных решений NormShield, у девяти из 25 площадок, чью деятельность он проанализировал, защита на уровне CDN находится на низком уровне — то есть защита сетей распространения контента, какие используются сегодня всеми глобальными интернет-сервисами.

 

 

Игроки типа CEX, даже пережившие многое и считающиеся надежными, совершают досадные ошибки в рамках механики своей работы. Некоторые из них держат средства клиентов на так называемых горячих кошельках. Такие хранилища «крипты» удобны для того, чтобы быстро совершать транзакции, но до них бывает легче добраться ворам. Тогда как «холодный», без доступа в сеть, кошелек, который на аппаратном уровне обычно представляет собой флешку или жесткий диск, заметно безопаснее. Соответственно, если биржа стабильно держит на балансе заметную (больше 15–20%) часть средств в «горячих» хранилищах, получив к ним доступ, преступники с высокой долей вероятности смогут разорить ее.

Лазейку киберпреступники находят и в аккаунтах обычных пользователей. По результатам исследования Dashlane, более 70% ведущих криптобирж разрешают клиентам задавать слабые пароли. Лучше подарка для вора не придумать.

Лишиться контроля над своими персональными данными, а далее и над финансовыми потоками (в том числе чужими) могут и сотрудники сервисов. Европейская Bitstamp получила в 2015 году существенный урон из-за того, что ее администратора обвели вокруг пальца с помощью фишинга.

 

 

Всех опасностей не предусмотреть, но биржи стараются обезопасить себя и своих клиентов как могут.

Как биржи оберегают себя и своих пользователей

Руководству и инженерам по безопасности криптобирж не дано предугадать все атаки, которые на них обрушатся. Однако они могут предусмотреть потенциальные узкие места и принять превентивные меры.

• Правильная механика работы и партнерство с коллегами по цеху.

Соблюдение простых правил помогает заметно укрепить «обороноспособность» проекта.

Представитель Coinrail после взлома, случившегося в середине 2018 года, констатировал: «Подтверждаем, что 70% наших криптовалютных и токен-резервов находилось на момент атаки в „холодном“ хранилище. Две трети украденных средств нам удалось вернуть или „заморозить“ благодаря координации с другими биржами и создателями валют». Неплохой пример того, как работает этот совет.

 

 

 

 

Правительственные криптопесочницы: как освободить финтех от давления закона и защитить потребителей

 

 

 

 

Кроме того, чтобы снизить риск хищения криптомонет и токенов, биржи могут использовать кошельки с несколькими подписями. Также стандартом де-факто становится применение аппаратных модулей безопасности HSM для доступа к «холодным» хранилищам. Наконец, что касается защиты пользовательских аккаунтов, крупнейшие площадки делают ставку на двухфакторную аутентификацию.

 


 

Аппаратный модуль безопасности (hardware security module, HSM) — физическое вычислительное устройство, позволяющее формировать, хранить и управлять цифровыми ключами. Применяется в любом приложении, использующем цифровые ключи. Так как все криптографические операции выполняются непосредственно самим модулем, это позволяет снизить нагрузку на используемые сервера приложений.

 


 

• Киберзащитные решения. Подразумевается не только учет соображений безопасности при построении и изменении архитектуры сервиса, а также применение специализированного софта (антивирусного, анти-DDoS и прочего), но и, например, наем «белых хакеров» для проведения тестов на проникновение — так поступают в Kraken и других биржах.

Сюда входит обучение сотрудников основам кибербезопасности. Тонкостей, которые им следовало бы освоить, множество. Так, техническому персоналу бирж не рекомендуется отвечать на письма или решать другие административные задачи на тех же компьютерах и в тех же сетях, где осуществляются транзакции с криптовалютами.

• Страхование. Метод, особенно популярный в тех странах, где государственное регулирование криптовалют пошло не по запретительному пути, а с учетом потребностей рынка. В первую очередь — в Японии. Так, в Mitsui Sumitomo Insurance придумали страховку для клиентов биржи bitFlyer, покрывающую случаи ущерба вследствие кибератак, неправомочного доступа к активам, сбоев ПО, различных ошибок, мошеннических действий на стороне администрации биржи.

 

 

Эта форма защиты от самых разных эксцессов вообще приживается в криптосреде. Компания Kingdom Trust, специализирующаяся на хранении цифровых активов, застраховала свои резервы от кражи или потери вследствие стихийных бедствий на респектабельном рынке страхования Lloyd’s of London.

Кстати, хранение цифровых активов (подобно тому, что предлагает Kingdom Trust) — способ безопасно распорядиться, а в некоторых случаях и приумножить накопления в «крипте». Подобные услуги предоставляет, к примеру, японская биржа Bitbank — в этом случае биржа «одалживает» валюту у клиента и выплачивает за пользование деньгами от 3 до 5% годовых. По похожему принципу работает криптодепозит и у нас в Cointoco.in.

• Децентрализация. Хотя на сегодняшний день на рынке доминируют централизованные биржи, будущее, возможно, за p2p-системами. Главная претензия к первым заключается в том, что будучи частью блокчейн-мира, сами они работают не по принципам блокчейна, а значит, соответствующий уровень прозрачности процессов для них недостижим. По мнению Дэвида Ли, автора «Справочника по цифровым валютам», в ближайшие пять-десять лет основная торговля криптовалютами переместится на децентрализованные площадки.

 

 

Как биржи верифицируют пользователей

Добропорядочной бирже с далеко идущими планами жизненно необходимо поддерживать здоровую обстановку в пуле клиентов. В частности, стараться не допускать на платформу потенциально «вредоносные элементы».

У флагманских платформ, таких как Kraken и Coinbase, принята градация по полноте верификации: чем достовернее и детальнее информация о пользователе, тем больше у него прав (выше лимиты по объему операций, доступно больше торговых пар).

 

 

 

 

Trade-to-Mine: как биржи привлекают трейдеров в условиях падения рынка

 

 

 

 

На крупнейших централизованных биржах для полноценного трейдинга необходимо проходить идентификацию наподобие банковской, с классическими KYC и AML. Хотя не все площадки тщательно подходят к процедурам проверки клиентов. Скажем, на ShapeShift реализована по-настоящему обезличенная конвертация криптовалют, что, как замечают авторы обзора MWR InfoSecurity, создает подходящие условия для отмывания цифровых активов, добытых нечестным путем. Чтобы запутать следы, хакеры используют также анонимную монету Monero и другие инструменты.

 


 

KYC, know your customer — с англ. «Знай своего клиента» — идентификация и установление личности клиента для проведения финансовой операции. В процедуру входит получение полных сведений о юридических лицах, характере их бизнеса и отдельных хозяйственных операций. Такая практика препятствует отмыванию денег, финансированию терроризма и уклонению от уплаты налогов.

AML, anti-money laundering — с англ. «Борьба с отмыванием денег» — создание эффективной системы борьбы с отмыванием денег при участии органов законодательной, исполнительной и судебной власти, правоохранительных органов, подразделений финансовой разведки и контрольно-надзорных органов, включая Центральный банк.

 


 

Однако у серьезных игроков крипторынка, которые учатся на своих ошибках, «охранные контуры» бывают изощреннее, чем у иных традиционных финансовых институтов. Чтобы завести на такой бирже официальный счет, требуется аргументированно доказать свою благонадежность: предоставить фото документов, сообщить бирже информацию о стране пребывания и предоставить этому документальные подтверждения, в некоторых случаях — указать информацию об источниках заработка и работодателе.

 

 

Меры на первый взгляд драконовские, зато они объективно мешают проникать на площадку волкам в овечьей шкуре. Скажем, если некто собрался отмыть кругленькую сумму через криптобиржу, он десять раз подумает, регистрироваться ли на ней с раскрытием своих персональных данных.

Без централизованных торговых бирж современный криптомир вообразить трудно. Помимо всего прочего, они дают десяткам тысяч энтузиастов возможности для заработка и обеспечивают движение цифрового капитала. И в конце концов составляют важную систему в «организме» блокчейна. Постепенно такие площадки проходят через болезни роста, характерные для индустрии в целом, и вырабатывают адекватные окружающим условиям методики защиты.