Взломы криптовалютных бирж

Последняя хакерская атака на японскую криптовалютную платформу «Coincheck» стала большим ударом для крипто сообщества – мало того, что пользователи биржи в общей сложности потеряли порядка $500 млн, так еще и крипто-сообщество теперь очень опасливо относится к обещаниям криптовалютных операторов по поводу высокого уровня безопасности.
Результатом стало учреждение японскими компаниями одной организации, состоящей из 16 лицензированных криптовалютных брокеров, которая будет не только характеризоваться саморегулированием, но и самостоятельно ликвидировать возможные попытки взломов. Инициатива была выдвинута 5 марта, a спровоцировал ее стремительный рост количества крипто-мошенников, умело манипулирующих термином «блокчейн» ради собственной выгоды.
В то время, как многие торговые платформы, разработчики криптовалют и владельцы крипто-кошельков игнорируют все чаще возникающие проблемы с безопасностью, количество новостей об «ограблениях века» и огромных убытках крипто-инвесторов растет сумасшедшими темпами.

Материал проанализирован по фактам нашумевших атак и посвящен именно теме злоумышленников криптоиндустрии и способам обеспечить собственную безопасность.

Растущий интерес хакеров к рынку криптовалют

Как сообщается в отчете «Group-IB», характеризующийся одним из наиболее высоких уровней кибербезопасности, проекты в блокчейн-индустрии становятся настоящей «золотой жилой» для всех профессиональных хакеров и мошенников. По усредненным данным, один стартап может подвергаться разного рода атакам порядка 100 раз. Криптовалютные биржи международного уровня, к слову, подвергаются таким атакам так же часто, правда, суммы убытков значительно больше.
Известный участник рынка Южной Кореи, платформа «Youbit», пережила волну хакерских атак в апреле и декабре прошлого года. Первая атака принесла с собой убытки на 4 000 монет BTC, a вторая лишила компанию порядка 17% активов и стала причиной ее закрытия. A вот известный провайдер оборудования для майнинга «NiceHash» подвергся атакам злоумышленников в конце 2017 года и понес убытки на $80 млн.
В начале текущего года хакеры смогли вывести из известной японской платформы «Coincheck» на свои счета 523 млн токенов NEM, - общая стоимость монет на момент взлома составляла около $534 млн.
Злоумышленники также посещали «Bithumb, Mt.Gox» и ряд других известных компаний.
Как отметил гендиректор «SEC ConsultServices», общее количество хакерских вмешательств на торговые платформы резко подскочило именно в периоде активности интереса к цифровым активам и когда они начали двигаться вверх – киберпреступники никак не могли проигнорировать факт того, что в конце 2017 года цена одной монеты биткоина достигла отметки в $20 000.
Как вышло так, что наиболее инновационное открытие 21 века – блокчейн – остается столь уязвимым для кибератак? В чем его слабое место?

Во-первых, техники многих криптовалютных бирж очень часто забывают о том, что приставки «крипто» и «блокчейн» не являются гарантией безопасности. Гендиректор "SEC Consult Services" отметил, что разработчики игнорируют необходимость высокого качества кода сети или же ее архитектуры, при том что именно эти два аспекта могут послужить причиной серьезной уязвимости. Кроме того, по его словам, особое внимание стоит уделять вопросам безопасности смарт-контрактов, ведь зачастую разработчики ожидают, что сама структура блокчейна уже гарантирует ее. При этом специалисты забывают о том, что использование генераторов якобы случайных чисел не добавляет какой-либо защиты, - алгоритм берет данные из сети биткоина или же каких-либо других криптовалют.
В прошлом месяце было проведено исследование, по результатам которого выяснилось, что из 1 млн доступных смарт-контрактов сети ETH уязвимыми оказались порядка 34 000. Группа специалистов из Колледжа Лондона проверила свою теорию на 3 000 смарт-контрактов сети Ethereum и выяснила, что почти в 89% исследованных объектов были обнаружены различного рода ошибки, что, при удачных для мошенников условиях, могло стать причиной кражи монет на сумму, эквивалентную $6 млн.

Согласно статистике, наиболее часто злоумышленники используют тактики фишинга и DDos атак.

Сокращение “DDos” – отказ в обслуживании – довольно часто мелькает среди новостных заголовков и, так или иначе, вызывает опасение о всех пользователей. Суть такого рода атаки заключается в том, что на сервер отправляется искусственный трафик, в основе которого лежат несколько источников. Цель у всего этого одна – вызвать перегрузку сети и «положить» ее.
Всего лишь нерабочий сервер тоже может стать причиной многомиллионных убытков – за неимением доступа к сети пользователи платформ не имеют возможности пользоваться их услугами, это приводит к застою капитала. Мощнейшая атака такого рода была произведена на серверы биржи «Bitfinex» в конце 2017 года.

Фишинг (phishing) – тактика, функционирующая на основе социальной инженерии. Для начала, злоумышленники создают сторонний сайт, фактически идентичный оригиналу. Далее, задействуют спам-программы, хакеры создают емейл-рассылку писем, копирующих стиль настоящих криптовалютных бирж – здесь используется тонкое копирование логотипов и данных компаний. Зачастую, в таких письмах говорится, что в сети произведено обновление и – иронично, - для того, чтоб обезопасить себя от хакерских атак, клиенту биржи требуется «подтвердить и/или сменить свои данные» для входа в аккаунт.

Цель – вынудить юзера перейти по прикрепленной ссылке и зафиксировать секретные данные на фальшивом сайте.

Совсем недавно клиенты платформы «Binance» подверглись подобной атаке. И, что примечательно, даже при детальном анализе найти различия между оригинальным и поддельным сайтами было не так просто.
В связи с этим, многие специалисты и службы кибербезопасности мантрой повторяют одну-единственную рекомендацию: не нужно хранить все свои сбережения на счетах платформ, - используйте их только для ведения торгов.
Евгений Юртаев, руководитель компании «Zerion», специализирующейся на создании ПО, отметил, что хакерские взломы ICO уже стали чем-то вроде обыденности. По его словам, наиболее часто также применяется «спуфинг.» - тут, у хакеров появляется доступ еще и к «DNS» ресурса и они переводят его на фальшивый доменный адрес. К примеру можно привести биржу «Enigma», когда на фейковом сайте злоумышленники разместили адрес, на который доверчивые пользователи перевели в общей сложности порядка $500 000 в монетах Ethereum.
На последок Юртаев советует не пренебрегать советом о том, что пользователям не стоит хранить большие объемы средств на централизованных площадках, - стоит обратить внимание на множество децентрализованных альтернатив, которые сейчас становятся все более популярными.

Как биржи пытаются обезопасить ваши средства?

Есть один способ минимизировать риски: проводить внутренние и внешние аудиты служб информационной безопасности, постоянно проверять активность участников рынка и не пренебрегать рекомендациями экспертов. К примеру, большинство аудиторов чаще всего пользуются стандартом «CobiT.» (Control Objectives for Information and related Technology).
В основе блокчейна лежит применение смартконтрактов, поэтому обязательно требуется проведение их всеобщего аудита. Отличия его от стандартных аспектов безопасности данных заключаются в критичности системы и количестве задействованных средств. Кроме того, присутствует особая логика функционирования системы.
Для того, чтоб биржа могла гарантировать высокий уровень безопасности своим пользователям, ее представителям необходимо обеспечить защиту самих сервисов. Чаще всего для этого используется двухфакторная аутентификация (2FA) и «холодные» серверы.
Иногда биржи также требуют от пользователей прохождения процесса верификации. К примеру, пользователи «Bittrex» должны предоставить личные данные для возможности вывода своей криптовалюты в объеме до 3 ВТС в сутки.
В случае вывода сбережений объемом до 100 монет в день, от пользователей требуется предоставление копии документа, удостоверяющего личность. Также большая часть активов компании находятся на хранении на «холодных» серверах, то есть не соединенных ни с какими гаджетами или сетью.
Кроме того, имеют место также механизмы «AML» (Anti Money Laundering — предотвращение отмывания денег) и КУС (Know Your Client), что также должны использоваться платформами как обязанность.
Статистика утверждает -на тысячу строк кода приходится как минимум один баг. И нет гарантий того, что эта ошибка не станет причиной краха системы безопасности.
Специалисты из области кибербезопасности уверены, что даже в том случае, если инженеры биржи создадут идеальный код, все равно останутся риски того, что в других проектах сети будут обнаружены слабые места.
В силу того, что любая торговая платформа (и это касается не только криптовалют) в первую очередь «про деньги», очень часто в индустриях встречаются хакерские атаки, основывающиеся на социальной инженерии. Также, как не прискорбно это признавать, но причиной многих потерь зачастую является банальная человеческая невнимательность и небрежность.
Как отмечает Георгий Лагода, обычные пользователи зачастую демонстрируют частые потери «холодных хранилищ», применение простых паролей, использование публичных интернет-сетей для входа на свои «горячие» кошельки, a так же банальное любопытство в отношении неизвестных и подозрительных ссылок.
По итогу, пользователь биржи или сама биржа, которые стали жертвой хищения денег, могут надеяться только на благодетель хакеров, поскольку на данный момент механизмы компенсации средств в крипто-индустрии остаются слишком слабыми. Если банковский счет пользователя будет взломан, банк, предоставляющий свои услуги пострадавшему, обязуется отследить и заблокировать незаконные платежи, тем самым возместив убытки. Что же касается крипто-индустрии, то здесь возмещение похищенных монет либо проблематично, либо же вообще невозможно в силу технических аспектов и конфиденциальности операций.
На этом фоне совершенно невероятной кажется история «криптовалютного Робина Гуда», который по необъяснимым причинам вернул обратно $26 млн в ЕТН на счета ранее взломанной им биржи «CoinDash». Зачастую же, подобного альтруизма от мошенников ожидать не стоит.
Будем надеяться, что криптовалютные биржи приложат максимум усилий для сохранности наших средств и будут учиться на ошибках других. Да и нам, инвесторам, стоит более ответственно относиться к выбору крипто-площадки, учитывая что их количество постоянно растет. Удачи в криптотрейдинге...

Автор: svn1975
Исключительные права на статью принадлежат MMGP.COM

Взломы всегда были и будут. Просто не нужно все в одну корзину кидать.

Конечно рынок инвестирования этот опасный, защищайте и инвестируйте в разные проекты

Пять крупнейших взломов криптовалютных бирж

1. Mt. Gox

Mt. Gox – одна из первых торговых площадок на рынке криптовалют — была впервые взломана в июне 2011 г.

Целью хакеров стал аудиторский аккаунт создателя биржи Джеда Маккалеба, который он сохранил после продажи Mt. Gox Марку Карпелесу. По условиям сделки Маккалеб имел право на часть прибыли Mt. Gox в течение полугода после ее продажи. Аудиторский доступ был нужен Джеду, чтобы следить, как соблюдаются его интересы. Тогда в результате взлома хакерам удалось продать и вывести со счетов около 500 000 BTC.

Mt. Gox была окончательно закрыта в феврале 2014 после исчезновения из депозитария и с кошельков пользователей 850 000 BTC. По словам Марка Карпелеса, биржа была вновь атакована хакерами. Злоумышленники якобы использовали лазейку в одном из протоколов, позволявшую менять идентификаторы транзакций и таким образом дважды продавать один и тот же актив. Как позднее выяснило следствие, взлом действительно имел место. Однако украдено было всего 2000 BTC, т. е. лишь малая часть общих потерь. 200 000 BTC обнаружились в марте 2014 года. Карпелес заявил, что они хранились в электронном кошельке старого формата. Что случилось с остальными активами, установить не удалось. 650 000 BTC так и не были найдены.

Согласно основной версии следствия, средства исчезли со счетов Mt. Gox не в 2014, а в период с июня по ноябрь 2011. Причем, по меньшей мере 80 000 BTC существовали только в виде «депозитных» средств — т.е. в качестве обязательств оператора перед клиентами (т.н. частичное резервирование).
2. BitFloor

В сентябре 2012 был взломан другой старожил криптовалютного трейдинга.

31 августа «легли» серверы биржи. Владелец оператора Роман Штильман объяснил неполадки отключением электричества в датацентре и заверил пользователей, что все их средства в безопасности, а торговля скоро возобновится. Однако некоторые клиенты BitFloor получили уведомление следующего содержания: «вероятно, в результате несанкционированного доступа ваши API-ключи были скомпрометированы». Ночью 4 сентября из системы исчезли 24 000 BTC.

Роман Штильман объяснил инцидент так: хакеры завладели незашифрованной резервной копией ключей от «горячего» кошелька, в котором хранилась основная часть средств пользователй. Копия была сделана при очередном обновлении системы.

Штильман сообщил клиентам, что ищет возможности возместить ущерб через продажу доли сторонним инвесторам. Часть потерянных средств действительно была компенсирована, однако весной 2013 банковский оператор биржи в США ликвидировал ее счет, и BitFloor закрылась.
3. Poloniex

Жертвой третьего крупного взлома стал Poloniex. Атака случилась 4 марта 2014.

Точную сумму ущерба компания не сообщает. Однако из заявлений владельца оператора Тристана Д'Агоста можно понять, что хакеры вывели со счетов около 12% от общего объема средств трейдеров или 97 BTC. Детали ограбления в изложении Д'Агоста выглядят так: Хакер обнаружил, что если одновременно разместить несколько запросов на вывод средств, они все будут обработаны примерно в одно и то же время. В результате, хотя баланс кошелька уйдет в минус, записи в реестре будут подлинными. Соответственно, запросы будут автоматически обработаны и выполнены.

The hacker discovered that if you place several withdrawals all in practically the same instant, they will get processed at more or less the same time. This will result in a negative balance, but valid insertions into the database, which then get picked up by the withdrawal daemon.

Скриншот с форума
Детали ограбления в изложении Д'Агоста

Вскоре после взлома торги на бирже были приостановлены. Оператор объявил, что счета всех пользователей будут «обрезаны» на 12.3%.

Таким образом Poloniex распределила убытки на всех пользователей, избежав панического вывода средств, в результате которого часть трейдеров (а именно 12.3%) могла полностью лишиться своих монет. Poloniex работает по сей день. Д'Агоста заявил, что все потери были полностью компенсированы, а усовершенствованный алгоритм вывода денег не позволяет обрабатывать запросы при отрицательном балансе счета.

Тем не менее, пользователи сообщают, что хакерские атаки на отдельные счета продолжаются:

Источник 1: reddit.com

Источник 2: bitcointalk.org
4. Bitstamp

4 января 2015 года хакеры атаковали словенскую биткоин-биржу Bitstamp. Торги на площадке были приостановлены когда выяснилось, что был взломан один из операционных «горячих» кошельков. Хакеры похитили 19 000 BTC (на тот момент примерно $5 000 000).

Как показало расследование, за несколько недель до инцидента многие сотрудники Bitstamp подвергались фишинговой атаке. Файлы с вредоносным ПО были умело замаскированы под личные электронные письма и сообщения в Skype. Жертвой социального инжиниринга стал сисадмин Лука Кодрич. Молодой человек загрузил файл, присланный, как он считал, организацией, в которую он собирался вступить. Вскоре после инцидента оператор заморозил транзакции, повесив на сайте следующее объявление.

Bitstamp продолжает работать по сей день. Оператору удалось вернуть доверие пользователей, ужесточив меры безопасности: для доступа к кошельку теперь требуется мультиподпись (цифровая подпись нескольких лиц).
5. Bitfinex

Второе место по масштабам ущерба принадлежит Bitfinex. Нападение произошло в августе 2016 года. Сумма похищенного - 120 000 BTC (около $72 млн. на тот момент). В этот раз хакерам удалось воспользоваться уязвимостью в архитектуре системы мультиподписи. В случае Bitfinex для одобрения транзакции требовалось три ключа — два хранились у самой биржи, еще один – у компании BitGo, специализирующейся на безопасности блокчейн-платформ. Задачей BitGo было верифицировать все исходящие транзакции Bitfinex. Таким образом Bitfinex могла сократить объем средств в «холодном» хранении (на «холодных» кошельках), упростив процесс обработки заявок. Хакеры смогли обмануть алгоритмы BitGo, заставив ее одобрить списания средств. Как им удалось это сделать, так и осталось загадкой. BitGo официально сообщила, что их собственные серверы атакованы не были.

В качестве компенсации пострадавшим пользователям Bitfinex выпустила токены, которые конвертировались в доллары согласно графику выплат. На сегодняшний день большинство инвесторов вернули потерянные средства. Bitfinex продолжает работу и числится среди лидеров объемам сделок в паре BTC/USD.
Биржи защищаются

Наученные горьким опытом, биржи стали гораздо серьезнее относиться к безопасности. Продвинутая защита от взломов сегодня — один из главных инструментов построения репутации. Большинство операторов используют как минимум одну, а чаще несколько антихакерских систем. Самая простая и самая распространенная — двухфакторная авторизация.> Этот метод контроля широко практикуется в традиционном online-банкинге: для каждой транзакции нужно ввести одноразовый пароль, который высылается на телефон или e-mail клиента. Как показывает практика, двухфакторная авторизация — не самый надежный способ защиты: злоумышленники давно научились взламывать почтовые ящики и дублировать телефонные номера потенциальной жертвы. Более продвинутый вариант двухфакторной авторизации – специальные приложения типа Authy и Authenticator. Они блокируют доступ в систему, если логин и пароль скомпрометированы, запрашивая дополнительный код.

Второй по популярности способ защиты — мультиподпись. Суть этого вида защиты в том, что ключей от биткоин-кошелька не один, а несколько, и они находятся у разных владельцев. Доступ к средствам можно получить только собрав все электронные подписи. Однако, как показала история со взломом Bitfinex, и система мультиподписи может дать сбой. В теории, чтобы украсть деньги, хакеры должны были вскрыть серверы обеих компаний — Bitfinex и BitGo. Как утверждает BitGo, ее «железо» взломано не было. Тем не менее, BitGo автоматически подтверждала все заявки, поступавшие от биржи, то есть от взломавшего ее хакера. Система верификации от BitGo работает и на других популярных биржах, например Kraken и BitStamp. И работает, судя по всему исправно. По крайней мере, ни о каких взломах эти операторы не сообщали. Возможно, дело не в самой мультиподписи, а в ее «кривой» установке. Как считают эксперты, мультиподпись работает только в том случае, когда все «подписанты» независимы друг от друга. В случае Bitfinex BitGo был не просто верифицирующей стороной, но и поставщиком услуг безопасности. Так или иначе, мультиподпись – не панацея и должна дополняться другими рубежами обороны, например лимитами на снятие средств и «холодными» кошельками. Мультиподпись используют Kraken, CEX.io, Bitstamp, Bitfinex, MultiSigna и многие другие биржи.
Горячие и холодные кошельки

Пожалуй, самый надежный способ обороны от хакерских атак — деление средств на два кошелька: «горячий» и «холодный». «Горячий» — рабочий онлайн кошелек, с которого выполняются транзакции. «Холодный» - офлайновое хранилище, где под присмотром охраны на физическом носителе хранятся основные фонды трейдеров. Кроме физической защиты (видеокамеры, вооруженная охрана, сканнер сетчатки глаза и т.п.), «холодный» кошелек может быть оснащен системой мультиподписи. Распределение денег пользователей между кошельками у каждой биржи различное. Чем больше доля в «холодном» хранилище, тем безопаснее. В идеале, все ваши монеты должны попадать в онлайн только в момент транзакции. Но полная безопасность, к сожалению, несовместима с оперативностью. Ищите идеальную для вас пропорцию.
Замки с часовым механизмом

Так называемые Bitcoin Vaults (биткоин клапаны) — это специальные биткоин-адреса, где монеты запираются двухступенчатым защитным механизмом с двумя разными ключами. Чтобы разблокировать средства, нужен обычный цифровой ключ. Однако полный доступ к деньгам откроется только через 24 часа. В течение этих суток любая транзакция может быть отменена введением второго ключа. Есть и еще одна степень защиты: если хакер завладел обоими ключами, биржа может «сжечь» хранившиеся в кошельке средства.
KYC/AML

Эти две аббревиатуры означают политики верификации пользователя. KYC (know your customer - знай своего клиента) – стандартная для финансовых учреждений процедура проверки предоставленной клиентами информации. AML (anti money laundering — соответствие законам об отмывании денег) — тоже стандартная для традиционных финансов процедура проверки источников дохода клиента.

Многие убежденные адепты криптовалют исповедуют идеологию анонимности и децентрализации. Поэтому проверка личных данных, мягко говоря, не входит в их интересы. Однако, если оператору известны данные всех пользователей, биржевая торговля, безусловно, становится безопаснее. Криптовалютные биржи пока не обязаны принимать политики AML/KYC, но некоторые делают это добровольно. Рост бюрократического бремени с лихвой компенсирует имидж легального и надежного оператора. При этом риски минимальны: нарушив правила, оператор не обязан платить огромные штрафы, как делают традиционные финансисты.

Приверженцам анонимной торговли нужно учесть, что любой оператор, не выполняющий нормы AML/KYC, может внезапно стать «законопослушным» и попросить предъявить документы. Так, например, случилось с BitStamp, которая безо всяких (по крайней мере официальных) запросов со стороны властей ограничила анонимный доступ к депозитам и выводу средств со счетов. А BTCChina в один прекрасный день заблокировала пользователям даже вход на свою платформу, потребовав предоставить дополнительную информацию о себе. Не соответствующие требованиям трейдеры полностью потеряли доступ к своим средствам.

Наиболее «законопослушными» считаются две биржи — Coinbase и Bitstamp. Coinbase соблюдает все нормативные документы ЕС и США. Учетная запись пользователя регистрируется только после подтверждения личности по паспорту или водительскому удостоверению. И это еще не все: при создании кошелька оператор требует также данные кредитной карты и фото с веб-камеры. Однако регистрация кошельков на Coinbase доступна резидентам лишь 33 стран, в число которых Россия пока не входит. Торговать через эту площадку можно лишь находясь за пределами РФ, например в США или одной из стран ЕС. Пытаться обмануть оператора, используя прокси-серверы, не рекомендуется. Именно потому что Coinbase серьезно подходит к отчетности, такие попытки могут привести к безвозвратной потере средств.

Bitstamp имеет похожую процедуру регистрации (два документа, удостоверяющих личность и подтверждение адреса проживания — копии счетов за ЖКУ). В апреле 2016 оператор получил разрешение правительства Люксембурга на деятельность на всей территории ЕС. Торговать через эту площадку из России, увы, тоже не получится, по крайней мере легальным путем — без использования прокси-серверов. Доступ на сайт Bitstamp с российских IP заблокирован в январе 2016 г (по решению Роскомнадзора).

Список бирж, принявших политики AML/KYC:

Bitstamp
Bitfinex
Coinbase
Kraken
Cryptonit

Страхование

Страхование не защитит биржу от взлома, но позволит гарантированно вернуть потерянные средства клиентов. Этот способ защиты особенно распространен в Японии. Например, Mitsui Sumitomo Insurance в партнерстве с Bitflyer страхует от ущерба в результате кибер-хищений, неавторизированного доступа, сбоев торговых программ, ошибок и мошеннических действий сотрудников биржи. Сумма страховых выплат от 10 млн. иен (около $90 тыс.) до 1 млрд. иен. (около $9 млн.). Кроме Bitflyer, со страховщиками сотрудничает другой крупнейший японский оператор Coincheck. Его страховой агент гарантирует компенсацию до 1 млн. иен в случае неавторизированного доступа к учетной записи пользователя, защищенной 2-х ступенчатой аутентификацией.
Децентрализация

Децентрализованные биржи криптовалют — это относительно новый тип бирж. Такие площадки строятся по принципу Р2Р сети. Оператор вообще не хранит ваши коины на своих кошельках. Вместо них для транзакций используются токены-заменители или система временного депонирования с мультиподписью. Пользователи выставляют свои предложения на продажу/покупку, а алгоритм биржи ищет среди них совпадающие пары. Чтобы осуществить сделку, продавец размещает свои монеты на временном депозите. Они разблокируются после подтверждения продавцом платежа от покупателя. Деньги переводятся вне биржи любыми доступными способами (например, обычным банковским переводом).

>Второй вариант — биржа выпускает обязательства (токены) которыми обмениваются участники сделки. Когда пользователь хочет вывести свои средства с биржи, токены вновь конвертируются в криптовалюту и пересылаются владельцу.

Выгода децентрализации состоит в том, что вы не обязаны доверять свои средства оператору. Кроме того, децентрализация позволяет сохранять относительную анонимность (если, конечно, вы не пользуетесь для расчетов банковским переводом). Кроме того, у децентрализованных бирж распределенный хостинг, а значит нет рисков «падения» сервера. Но есть у них и свои недостатки Во-первых, суммы транзакций чаще всего ограничены. Во-вторых, на них нет инструментов традиционных бирж: возможности торговать в кредит, делать ставки на рост или падение курса и т. п. К децентрализованным площадкам относятся, например, LocalBitcoins и Bitsquare.
Аудиторы и «белые шляпы»

Хорошим тоном среди операторов стало проводить регулярные аудиты независимыми экспертами и тестирования на проникновение (взлом). Последним занимаются этичные «белые» хакеры или «белые шляпы» (white hat). Цель белых шляп — взломать системы безопасности, чтобы найти потенциальные уязвимости, которыми могут воспользоваться «черные» шляпы, т. е. злоумышленнки. К услугам «белых» шляп прибегает, например, Kraken, о чем активно сообщает в своих рекламных коммуникациях. В качестве аудиторов биржи привлекают непререкаемых авторитетов в криптовалютных технологиях. Например, Coinbase приглашал для проверки одного из ведущих биткоин-предпринимателей, Андреаса Антонополуса. Для операторов это хороший PR-ход. Однако, служат ли такие проверки гарантией безопасности, сказать сложно. Например, обанкротившаяся в результате хакерских атак Mt. Gox в 2011 году пользовалась аудиторскими услугами не менее известного биткоин-инвестора Роджера Вера.

За последний год везде слышу то одну то другую биржу взломали хакеры и похители некоторое количество монет или денег со счетов инвесторов . Мое мнение такое некоторые биржи сами пускают слух про взломы чтоб привлечь к себе внимание а потом оправдываются типа да мы предотвратили сами попытку взлома .

Досс атаки всегда будут, всегда найдуться те которым хочеться сломать эту систему, биржи в руках разрабов!!!

Ну, от взломов нереально полностью защититься, даже такая хорошая биржа может подвергнуться атаке