Кейсы 8 июня 2020

Как защитить криптоактивы: практики KYC, segregated-счета и «горячие» кошельки

Далее

Популярность криптовалют продолжает расти, причем как для инвесторов и частных лиц, так и для организаций. Криптоактивы могут использоваться для хранения средств и расчетов, в том числе трансграничных. И поэтому они привлекают всё больше внимания и самих пользователей, и злоумышленников, которые хотят украсть чужие средства. Технический директор международной криптобиржи CEX.IO Дмитрий Волков рассказывает об основных видах мошенничества в криптоиндустрии и методах защиты активов криптобизнеса.

Многие люди считают, что блокчейн гарантирует валютам нового поколения защиту и пользоваться криптоактивами даже безопаснее, чем обычными деньгами. С одной стороны, это действительно так. Но в то же время объемы хищений в этой сфере достигли столь значительных показателей, что игнорировать их просто нельзя. По данным исследования bitcoin.com мошеннические схемы, связанные с криптовалютами, приводят к потерям примерно на $9 млн в день. По итогам 2018 года профили угроз для владельцев крипты включали в себя фишинг (13%), внезапное прекращение деятельности (13%), кражу (17%), взлом (22%) и, безусловно, обман — на него приходится 30% всех потерь. При этом масштабы атак увеличиваются с каждым годом: исследователи Reuters сообщили, что за девять месяцев 2019 года потери, связанные с мошенничеством в криптовалютах, составили $4,4 млрд, и это при том, что за весь 2018 год в сфере криптоактивов было украдено $1,7 млрд. Таким образом, количество атак и объемы ущерба стремительно растут из-за увеличения популярности самих криптовалют.

Специфика отрасли накладывает свой отпечаток на характеристики атак и методы защиты от действий киберпреступников. И если вы хотите работать с криптоактивами, нужно учитывать три направления возможных угроз:

Финансовые угрозы, возникающие при заключении сделок, проведении операций с платежами и торговле криптовалютой.

Юридические угрозы, связанные с манипуляцией правом, шантажом и претензиями контролирующих органов в разных странах.

Технические угрозы, то есть фактические атаки на сам блокчейн или ваши онлайн-ресурсы, препятствующие совершению действий с криптоактивами.

Финансовые угрозы

Особенность работы с криптоактивами заключается в том, что единственным подтверждением вашего владения средствами является доступ к виртуальному кошельку. Как только вы отправили средства контрагенту, получить их обратно будет невозможно, и эта особенность активно используется злоумышленниками.

Мошенничество с банковскими картами

Суть мошенничества. В банковской системе всё происходит иначе, поэтому в последнее время участились случаи мошенничества, связанные с использованием банковских карт. Например, когда клиент совершает покупку криптоактивов с оплатой банковской картой, он сразу получает приобретенную криптовалюту. Но после вывода средств с кошелька человек подает в банк заявление о том, что он не совершал этой операции. Обычно деньги остаются зарезервированными на счету клиента и переводятся не сразу, поэтому банк может легко отменить такую транзакцию, особенно если у него нет оснований не доверять клиенту. У подобного поведения клиента может быть две причины: либо он сам мошенник и хочет заполучить ваши деньги, либо его карту или ее данные действительно украли и средства забрал себе кто-то другой.

Методы защиты. Необходимо заручиться доказательствами и аргументами, что владелец карты действительно совершал операцию. Для этого нужно проверять плательщика различными способами, включая обязательное использование 3DS. Практики KYC (Know Your Client) также включают в себя селфи с документом, банковской картой и даже распиской о намерении совершить операцию с банковской картой. В качестве дополнительной меры вы можете заморозить средства на виртуальном кошельке, пока деньги не поступят вам на счет. Но нужно учитывать, что период, на протяжении которого клиент имеет право оспорить транзакцию в своем банке, может быть достаточно большим и достигать 1–3 месяцев.


Знай своего клиента (KYC) — термин банковского и биржевого регулирования для финансовых институтов и букмекерских контор, а также других компаний, работающих с деньгами частных лиц, означающий, что они должны идентифицировать и установить личность контрагента, прежде чем проводить финансовую операцию.

Это требование распространяется на получение разумно полных сведений о контрагентах-юридических лицах, характере их бизнеса и отдельных хозяйственных операций, для обеспечения которых проводится финансовая операция.


Торговля криптовалютой

Суть мошенничества. Сделки при работе с криптовалютой подвержены большому риску, особенно если речь идет о крупных суммах. Нельзя быть на 100% уверенным в том, что деньги поступят на счет, когда вы отправите криптовалюту, и наоборот. Более того, уже разработаны схемы, когда контрагент присылает адрес кошелька, на котором есть крупная сумма, но на самом деле он ее не контролирует. Уведомление SWIFT о наличии денежной суммы на счете также может быть уловкой в более сложной мошеннической схеме.

Методы защиты. Если вы покупаете или продаете криптовалюту, нужно обязательно убедиться в том, что продавец действительно хочет совершить сделку и у него есть средства, которыми он может распоряжаться. Для этого можно провести тестовый платеж и обменяться небольшими суммами. Однако наиболее надежным методом остается обращение к посредникам с escrow-счетами, которые получают и хранят активы обеих сторон и гарантируют успешное завершение сделки.

Ненадежные посредники

Суть мошенничества. Хорошо, когда другие компании берут на себя проведение транзакций и сами занимаются проверкой контрагентов. Но всё это имеет смысл, только если вы уверены в посреднике намного больше, чем в контрагенте. Большие суммы или постоянный поток платежей в криптовалюте создает риск того, что посредник, который что-то вам должен, просто исчезнет или решит объявить себя банкротом, становится очень весомым.

Методы защиты. Например, вы можете выбирать себе в партнеры только те компании, которые работают под контролем какого-либо регулятора и обладают лицензией на ведение операций с валютными активами — MTL (Money Transmitter license) или EMI (Electronic Money Institution). Услуги таких посредников стоят дороже, но работающие с криптой компании выбирают их в том числе по причине репутационных преимуществ: многие клиенты предпочитают проводить расчеты и платежи только через доверенные платформы.

Если высокие комиссии неприемлемы, можно пойти другим путем и изучить юрисдикцию, в которой работает компания-посредник. Так вы сможете проверить, с какой компанией имеете дело и есть ли возможность судиться с ней в случае обмана. Для постоянного потока платежей полезно внести депозит со стороны контрагента на ваш криптокошелек либо договориться о хранении средств на segregated-счете в банке. Тогда даже в случае банкротства посредника ваши активы не пропадут.


Сегрегированный счет обеспечивает отделением денежных средств клиента от денег брокера и других клиентов, таким образом в случае «падения» брокера клиент не страдает. По правилам SFA деньги, находящиеся на несегрегированных счетах, брокер может использовать в своих целях, а клиент имеет статус кредитора.


Юридические угрозы

Регулирование криптовалют отличается в разных странах. В одних государствах они приравнены к традиционным валютам, в других вообще не регулируются, а в третьих запрещены. При этом в ряде регионов предъявляются высокие требования к защите пользовательских данных.

Суть мошенничества. На вас всегда могут пожаловаться в какой-то контролирующий орган либо просто шантажировать, ссылаясь на локальные положения законов. В последнее время мошенники всё чаще требуют выкуп, угрожая штрафом. Особенно популярна эта тема в Европе, где с 2018 года действует достаточно запутанный регламент работы с персональными данными GDPR. Санкции за нарушение GDPR установлены серьезные, а многие компании так и не уверены до конца, соответствуют они всем требованиям или нет.


Методы защиты. Исключить эти риски можно за счёт организации собственного юридического департамента либо квалифицированной юридической поддержки в странах ведения бизнеса. Так или иначе при обслуживании клиентов из разных регионов обязательно убедитесь, что вы можете соблюдать законы и нормативы и ваша деятельность не окажется убыточной из-за возможных штрафов.

Технические угрозы

Впрочем, не стоит недооценивать и техническую сторону работы с криптовалютами. Поскольку мы говорим о цифровых активах, у злоумышленников всегда есть возможность попробовать свои силы в хакерских атаках, которые помешают вам вести бизнес или могут привести к краже средств.

DoS-атаки

Суть мошенничества. Самый простой способ остановить любой цифровой бизнес — сделать сайт недоступным. Для этого, как правило, используются DoS-атаки (Denial of Service). При запуске атаки к вашему сайту или ресурсу направляется огромное количество запросов, которые «забивают» канал, и реальные пользователи не могут получить доступ к сервису. Подобные атаки ведут к репутационным потерям, а также мешают вести бизнес в текущий момент времени, лишая вас прибыли каждую минуту.


DoS (от англ. Denial of Service — «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести ее до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ будет затруднен.


Методы защиты. Защититься от DoS-атак можно при помощи специальных сервисов фильтрации трафика, которые предоставляются большинством провайдеров связи и хостинга. Также можно заказать защиту у специализированной компании и активировать ее по требованию — именно в тот момент, когда на вас происходит атака. Не помешает и регулярный аудит ИТ-инфраструктуры и поиск уязвимостей, через которые технически можно «обрушить» ваш сервис.

Кража ключа

Суть мошенничества. Наконец, прямая угроза криптоактивам — это пропажа ключа от кошелька компании. Если злоумышленник завладеет приватным ключом, ничто не помешает ему перевести все деньги на другой счет. Кража ключа может произойти из-за непосредственной хакерской атаки либо при помощи фишинга, когда хакеры манипулируют доверием сотрудников, что последние фактически сами открывали доступ к кошельку. Не исключены и случаи инсайдерских атак, когда недовольный или только что уволенный сотрудник помогает взломать защиту и украсть ключи от криптоактивов.

Методы защиты. Существуют разные методы защиты от этой угрозы. Например, сегодня многие компании используют множественную цифровую подпись, которая не дает провести транзакции без одобрения сразу несколькими людьми. Другой метод — использование концепции «горячего» и «холодного» кошельков. Ваш активный кошелек всегда подвержен максимальной опасности, потому что через него вы принимаете или проводите платежи. Чтобы минимизировать риски, не стоит хранить в таком «горячем» кошельке слишком большие суммы. Вместо этого основные фонды лучше размещать в «холодном» кошельке, который находится на устройстве без постоянного подключения к интернету. Такой подход не сложно реализовать, в частности для повышения уровня безопасности биржа CEX.IO всегда хранит средства своих клиентов в «горячем» и «холодном» кошельках.


В отличие от работы с банковскими счетами, обращение с криптоактивами требует особого подхода. Операцию между блокчейн-кошельками нельзя ни отменить, ни обжаловать, а пропавший ключ означает потерю всех криптоактивов, связанных с ним.

Именно поэтому работа с криптовалютами требует аккуратного отношения к активам и постоянного контроля ситуации как с технической, так и с юридической стороны.

Тем не менее, если вы используете проверенные временем схемы защиты, тщательное оцениваете риски и применяете современные системы безопасности, расчеты и инвестиции в криптовалютах открывают дополнительные возможности для бизнеса, особенно при международной экспансии и трансграничных расчетах.


Читайте также:

Астрономы нашли планету, похожую на Землю. Она вращается вокруг звезды, похожей на Солнце

Посмотрите на снимки самого глубоководного осьминога в истории наблюдений. Он живет на глубине в 7 тыс. метров!

Новая технология позволила рассмотреть самых странных существ океана