Последняя хакерская атака на японскую криптовалютную платформу «Coincheck» стала большим ударом для крипто сообщества – мало того, что пользователи биржи в общей сложности потеряли порядка $500 млн, так еще и крипто-сообщество теперь очень опасливо относится к обещаниям криптовалютных операторов по поводу высокого уровня безопасности.
Результатом стало учреждение японскими компаниями одной организации, состоящей из 16 лицензированных криптовалютных брокеров, которая будет не только характеризоваться саморегулированием, но и самостоятельно ликвидировать возможные попытки взломов. Инициатива была выдвинута 5 марта, a спровоцировал ее стремительный рост количества крипто-мошенников, умело манипулирующих термином «блокчейн» ради собственной выгоды.
В то время, как многие торговые платформы, разработчики криптовалют и владельцы крипто-кошельков игнорируют все чаще возникающие проблемы с безопасностью, количество новостей об «ограблениях века» и огромных убытках крипто-инвесторов растет сумасшедшими темпами.
Материал проанализирован по фактам нашумевших атак и посвящен именно теме злоумышленников криптоиндустрии и способам обеспечить собственную безопасность.
Растущий интерес хакеров к рынку криптовалют
Как сообщается в отчете «Group-IB», характеризующийся одним из наиболее высоких уровней кибербезопасности, проекты в блокчейн-индустрии становятся настоящей «золотой жилой» для всех профессиональных хакеров и мошенников. По усредненным данным, один стартап может подвергаться разного рода атакам порядка 100 раз. Криптовалютные биржи международного уровня, к слову, подвергаются таким атакам так же часто, правда, суммы убытков значительно больше.
Известный участник рынка Южной Кореи, платформа «Youbit», пережила волну хакерских атак в апреле и декабре прошлого года. Первая атака принесла с собой убытки на 4 000 монет BTC, a вторая лишила компанию порядка 17% активов и стала причиной ее закрытия. A вот известный провайдер оборудования для майнинга «NiceHash» подвергся атакам злоумышленников в конце 2017 года и понес убытки на $80 млн.
В начале текущего года хакеры смогли вывести из известной японской платформы «Coincheck» на свои счета 523 млн токенов NEM, - общая стоимость монет на момент взлома составляла около $534 млн.
Злоумышленники также посещали «Bithumb, Mt.Gox» и ряд других известных компаний.
Как отметил гендиректор «SEC ConsultServices», общее количество хакерских вмешательств на торговые платформы резко подскочило именно в периоде активности интереса к цифровым активам и когда они начали двигаться вверх – киберпреступники никак не могли проигнорировать факт того, что в конце 2017 года цена одной монеты биткоина достигла отметки в $20 000.
Как вышло так, что наиболее инновационное открытие 21 века – блокчейн – остается столь уязвимым для кибератак? В чем его слабое место?
Во-первых, техники многих криптовалютных бирж очень часто забывают о том, что приставки «крипто» и «блокчейн» не являются гарантией безопасности. Гендиректор "SEC Consult Services" отметил, что разработчики игнорируют необходимость высокого качества кода сети или же ее архитектуры, при том что именно эти два аспекта могут послужить причиной серьезной уязвимости. Кроме того, по его словам, особое внимание стоит уделять вопросам безопасности смарт-контрактов, ведь зачастую разработчики ожидают, что сама структура блокчейна уже гарантирует ее. При этом специалисты забывают о том, что использование генераторов якобы случайных чисел не добавляет какой-либо защиты, - алгоритм берет данные из сети биткоина или же каких-либо других криптовалют.
В прошлом месяце было проведено исследование, по результатам которого выяснилось, что из 1 млн доступных смарт-контрактов сети ETH уязвимыми оказались порядка 34 000. Группа специалистов из Колледжа Лондона проверила свою теорию на 3 000 смарт-контрактов сети Ethereum и выяснила, что почти в 89% исследованных объектов были обнаружены различного рода ошибки, что, при удачных для мошенников условиях, могло стать причиной кражи монет на сумму, эквивалентную $6 млн.
Согласно статистике, наиболее часто злоумышленники используют тактики фишинга и DDos атак.
Сокращение “DDos” – отказ в обслуживании – довольно часто мелькает среди новостных заголовков и, так или иначе, вызывает опасение о всех пользователей. Суть такого рода атаки заключается в том, что на сервер отправляется искусственный трафик, в основе которого лежат несколько источников. Цель у всего этого одна – вызвать перегрузку сети и «положить» ее.
Всего лишь нерабочий сервер тоже может стать причиной многомиллионных убытков – за неимением доступа к сети пользователи платформ не имеют возможности пользоваться их услугами, это приводит к застою капитала. Мощнейшая атака такого рода была произведена на серверы биржи «Bitfinex» в конце 2017 года.
Фишинг (phishing) – тактика, функционирующая на основе социальной инженерии. Для начала, злоумышленники создают сторонний сайт, фактически идентичный оригиналу. Далее, задействуют спам-программы, хакеры создают емейл-рассылку писем, копирующих стиль настоящих криптовалютных бирж – здесь используется тонкое копирование логотипов и данных компаний. Зачастую, в таких письмах говорится, что в сети произведено обновление и – иронично, - для того, чтоб обезопасить себя от хакерских атак, клиенту биржи требуется «подтвердить и/или сменить свои данные» для входа в аккаунт.
Цель – вынудить юзера перейти по прикрепленной ссылке и зафиксировать секретные данные на фальшивом сайте.
Совсем недавно клиенты платформы «Binance» подверглись подобной атаке. И, что примечательно, даже при детальном анализе найти различия между оригинальным и поддельным сайтами было не так просто.
В связи с этим, многие специалисты и службы кибербезопасности мантрой повторяют одну-единственную рекомендацию: не нужно хранить все свои сбережения на счетах платформ, - используйте их только для ведения торгов.
Евгений Юртаев, руководитель компании «Zerion», специализирующейся на создании ПО, отметил, что хакерские взломы ICO уже стали чем-то вроде обыденности. По его словам, наиболее часто также применяется «спуфинг.» - тут, у хакеров появляется доступ еще и к «DNS» ресурса и они переводят его на фальшивый доменный адрес. К примеру можно привести биржу «Enigma», когда на фейковом сайте злоумышленники разместили адрес, на который доверчивые пользователи перевели в общей сложности порядка $500 000 в монетах Ethereum.
На последок Юртаев советует не пренебрегать советом о том, что пользователям не стоит хранить большие объемы средств на централизованных площадках, - стоит обратить внимание на множество децентрализованных альтернатив, которые сейчас становятся все более популярными.
Как биржи пытаются обезопасить ваши средства?
Есть один способ минимизировать риски: проводить внутренние и внешние аудиты служб информационной безопасности, постоянно проверять активность участников рынка и не пренебрегать рекомендациями экспертов. К примеру, большинство аудиторов чаще всего пользуются стандартом «CobiT.» (Control Objectives for Information and related Technology).
В основе блокчейна лежит применение смартконтрактов, поэтому обязательно требуется проведение их всеобщего аудита. Отличия его от стандартных аспектов безопасности данных заключаются в критичности системы и количестве задействованных средств. Кроме того, присутствует особая логика функционирования системы.
Для того, чтоб биржа могла гарантировать высокий уровень безопасности своим пользователям, ее представителям необходимо обеспечить защиту самих сервисов. Чаще всего для этого используется двухфакторная аутентификация (2FA) и «холодные» серверы.
Иногда биржи также требуют от пользователей прохождения процесса верификации. К примеру, пользователи «Bittrex» должны предоставить личные данные для возможности вывода своей криптовалюты в объеме до 3 ВТС в сутки.
В случае вывода сбережений объемом до 100 монет в день, от пользователей требуется предоставление копии документа, удостоверяющего личность. Также большая часть активов компании находятся на хранении на «холодных» серверах, то есть не соединенных ни с какими гаджетами или сетью.
Кроме того, имеют место также механизмы «AML» (Anti Money Laundering — предотвращение отмывания денег) и КУС (Know Your Client), что также должны использоваться платформами как обязанность.
Статистика утверждает -на тысячу строк кода приходится как минимум один баг. И нет гарантий того, что эта ошибка не станет причиной краха системы безопасности.
Специалисты из области кибербезопасности уверены, что даже в том случае, если инженеры биржи создадут идеальный код, все равно останутся риски того, что в других проектах сети будут обнаружены слабые места.
В силу того, что любая торговая платформа (и это касается не только криптовалют) в первую очередь «про деньги», очень часто в индустриях встречаются хакерские атаки, основывающиеся на социальной инженерии. Также, как не прискорбно это признавать, но причиной многих потерь зачастую является банальная человеческая невнимательность и небрежность.
Как отмечает Георгий Лагода, обычные пользователи зачастую демонстрируют частые потери «холодных хранилищ», применение простых паролей, использование публичных интернет-сетей для входа на свои «горячие» кошельки, a так же банальное любопытство в отношении неизвестных и подозрительных ссылок.
По итогу, пользователь биржи или сама биржа, которые стали жертвой хищения денег, могут надеяться только на благодетель хакеров, поскольку на данный момент механизмы компенсации средств в крипто-индустрии остаются слишком слабыми. Если банковский счет пользователя будет взломан, банк, предоставляющий свои услуги пострадавшему, обязуется отследить и заблокировать незаконные платежи, тем самым возместив убытки. Что же касается крипто-индустрии, то здесь возмещение похищенных монет либо проблематично, либо же вообще невозможно в силу технических аспектов и конфиденциальности операций.
На этом фоне совершенно невероятной кажется история «криптовалютного Робина Гуда», который по необъяснимым причинам вернул обратно $26 млн в ЕТН на счета ранее взломанной им биржи «CoinDash». Зачастую же, подобного альтруизма от мошенников ожидать не стоит.
Будем надеяться, что криптовалютные биржи приложат максимум усилий для сохранности наших средств и будут учиться на ошибках других. Да и нам, инвесторам, стоит более ответственно относиться к выбору крипто-площадки, учитывая что их количество постоянно растет. Удачи в криптотрейдинге...
Автор: svn1975
Исключительные права на статью принадлежат MMGP.COM