Растущий интерес к криптовалютам привел к появлению широкого выбора как цифровых денег, так и сайтов, где вы можете обменять одну криптовалюту на другую.
Некоторые из этих сайтов являются обычными обменниками — пользователи обменивают между собой напрямую на условиях, которые обсуждаются предварительно и индивидуально в каждом случае. Такая система может быть удобна для одноразовых операций, но совершенно непригодна для обычной торговли. В итоге, по мере развития рынка все больше и больше транзакций начинают проводиться через биржи криптовалют. Ежедневный объем торгов на одной из крупнейших криптовалютных бирж BitMEX составляет 1'700'550'712 долларов США на момент написания статьи и некоторые конкуренты не отстают и даже превышают эти объемы.
Основными рисками для инвестора, использующего услуги бирж криптовалюты, являются их возможное банкротство, обычное мошенничество со стороны самой биржи и хакерские атаки. Попробуем разобрать все аспекты проблем с безопасностью на биржах криптовалют.
Безопасны ли биржи?
Когда вы выбираете себе новые вещи, например, кроссовки, то вы это делаете в соответствии со своими требованиями, а не с тем, что советует продавец. Так именно так и стоит поступать, когда выбираете криптовалютную биржу.
Если вашей главной заботой является безопасность вашего торгового депозита (ваших средств) в будущем, то вам необходимо более внимательно подойти к вопросу, что находится внутри криптовалютной биржи и как она относиться к своей безопасности и безопасности капиталов клиентов.
Отсутствие регулирования в индустрии криптовалют негативно сказывается на защите инвесторов и трейдеров. Организаторы бирж и администрация не несет серьезной ответственности, поэтому они могут позволить себе легко относиться к безопасности, что в прочем и делают в большинстве случаев.
Американские аналитики изучили крупнейшие биржи в 2019 году и оказалось, что стандарты безопасности у бирж значительно хромают. Ни одна биржа не получила рейтинг А+, две биржи (представляющие 1,5% от общего количества - Kraken и Cobinhood) получили рейтинг А, а 16% ресурсов попали в категорию А- (Poloniex). 55% получили рейтинг между B+ и B-, остальные остались с оценками C +, C или C-.
Было выяснено, что основные проблемы касались клиентских аккаунтов, домена биржи и состояния web-протоколов. В итоге было обнаружено, что только 22% изученных платформ соответствуют всем четырем параметрам.
По web–протоколам было найдено меньше всего уязвимостей, 40% бирж защищены против хакерских атак с этой стороны. Остальные могут быть подвержены MITM (то есть хакер может вмешаться в протокол незаметно), POODLE (атаки, использующей шифрование в некоторых браузерах) и прочим атакам.
Уязвимость домена и регистратора более распространена - лишь немногим более 3% бирж применяют минимальный набор защиты для капиталов на счетах.
Оказалось, что клиентские учетные записи были наиболее уязвимыми, даже введение паролей при регистрации не требуют большой сложности, например, можно указать пароль лишь буквами или цифрами, также автоматически с аккаунта нельзя было выйти при покидании сайта или при отсутствии активности. На 20% бирж у пользователя нет возможности дополнительно подтверждать транзакцию, кое-где отсутствовали подключение двухфакторной аутентификации и подтверждение регистрации по номеру телефона или e-mail.
Понятное дело, что на более мелких биржах ситуация может быть еще хуже.
Кроме этого, вы можете добавить то, что не все пользователи рассуждают здраво и могут полноценно оценить угрозу. Если сайт позволяет устанавливать легкие пароли (только буквы или только цифры и подряд), то такие пароли будут применять. Если разрешают не подтверждать вход, то это подтверждение не будут включать — двухфакторную аутентификацию буду игнорировать.
Также существует проблема фишинга, которая часто возникает, если пользователи получают по почте чужие письма и переходят по незнакомым ссылкам, или потом ссылкам от якобы биржи, но на самом деле только визуально ее напоминают. И вводя там данные помогают мошенникам забрать свои средства на настоящем сайте биржи.
Какой должна быть степень защиты на бирже?
Биржа криптовалют, для того чтоб суметь обеспечить безопасность ваших активов, должна соответствовать как минимум следующему набору требований:
• наличие ответственных сотрудников службы безопасности и управления структурой;
• присутствие дотошной системы управления паролями;
• настройка ответственной системы ввода и вывода средств;
• наличие системы мониторинга кошелька для необычных или подозрительных транзакций;
• безопасность учетной записи пользователя;
• безопасность домена;
• безопасность сайта;
• защита от DDoS-атак.
Защита программного типа:
1. Проверяется подмена адреса – ресурсом проверяется адрес перед отправкой транзакции по счету для противодействия подмены адреса третьим лицом.
2. Антифишинговая система на бирже, которая может сообщить клиенту, что он рискует. Для этого на бирже можно активировать специальный модуль Anti Phishing.
Пользователи должны обратить внимание, чтоб на бирже были:
- обязательная установка двухфакторной аутентификации;
- разлогинивание аккаунта при отсутствии активности пользователя;
- принудительная установка пароля не короче 8 символов, состоящий из цифр, букв разного регистра и дополнительных знаков;
- дополнительный пароль на кошелек внутри аккаунта.
Биржа должна больше внимания уделять общей безопасности системы, а именно административной безопасности (соблюдение KYC и AML), разделению сети и управления счетами (раздельное хранение всех данных), и управлению цифровым кошельком (холодное хранение данных). Также может помочь уберечь средства клиентов и свои установление лимитов на вывод средств в сутки.
Выводы
Уже не раз было проверено авторитетными источниками, что большинство криптовалютных площадок имеют низкий уровень безопасности, такой как разделение сети и контроль доступа, а также отсутствие создания и управления системами безопасности.
При этом учитывая высокий интерес пользователей к цифровой валюте, взломы бирж криптовалюты будут источником прибыли для хакеров в течение длительного времени. Даже зная основные методы взлома, руководство биржи не может предугадать, будет ли взломан их сайт и как именно это произойдет. Каждое использование хакерами ошибок уникально. Поэтому стоит большие суммы средств, хранить отдельно от биржевого счета.
Стоит также отметить, что взлом аккаунтов на биржах часто происходит не по вине биржи, а из-за небрежного отношения пользователей. Обычному инвестору достаточно проявить немного внимания, внимательно изучить отзывы на форумах и придерживаться правил биржевой платформы.
Каждый клиент должен знать и понимать, что гарантий безопасности нигде не может быть на 100%. На криптовалютной бирже это правило тоже должно работать, тем более деньги, которые небрежно лежат, без соблюдения безопасности будут привлекать злоумышленников, которые всегда очень изощренные на новые методы атаки на криптоплощадки.
Поэтому в первую очередь клиент биржи должен обеспокоиться, а безопасна ли биржа для его средств сегодня, а также соблюдает все меры предосторожности. Ведь если он будет входить на биржу с публичного Wi-Fi, то не удивительно, что он через некоторое время обнаружит отсутствие средств у себя на счете.
Автор: ГераЯ
Исключительные права на статью принадлежат MMGP.COM
Вложения
-
биржи.PNG -
бир.jpg
