Как взламывают криптовалютные биржи
Прогремевший в конце января 2018 года взлом японской криптовалютной биржи Coicheck не только лишил пользователей токенов на сумму, эквивалентную более $500 млн, но и здорово пошатнул уверенность криптосообщества в степени киберзащиты подобных центров обмена.
В результате 5 марта японцы объединились против внешнего врага — организация, в которую войдут 16 лицензированных бирж, будет не только заниматься саморегулированием, но и противостоять атакам хакеров. Растущая популярность всего, обладающего приставкой «блокчейн» и пахнущего быстрыми деньгами, неизбежным образом привлекает к этой сфере мошенников.
Пока криптобиржи, разработчики и держатели электронных кошельков пренебрегают безопасностью, растет число сообщений об «ограблениях века» и многомиллионных хищениях с криптовалютных площадок. Чем промышляют криптобандиты, каков их набор средств и — самое главное! — что делать, чтобы не стать жертвой.
Как мухи на варенье
Согласно отчету Group-IB, одного из лидеров рынка по кибербезопасности, блокчейн-проекты остаются лакомым куском для тех, кто промышляет разного рода атаками и хищениями. В среднем один ICO проект подвергается атакам как минимум 100 раз. Международные криптовалютные площадки, где оборот средств в разы выше, становятся мишенями злоумышленников ничуть не реже. Только цифры и убытки, как правило, гораздо внушительнее.
Южнокорейская криптовалютная биржа Youbit подвергалась хакерским взломам в апреле и декабре 2017 года. Первый взлом привел к потере около 4000 биткоинов, второй лишил биржу 17% всех активов и привел к закрытию. NiceHash, площадка для покупки, продажи и аренды майнингового оборудования, была взломана в начале декабря 2017 года, общая сумма ущерба — $80 млн.
Популярную японскую криптобиржу Coincheck в конце января 2018 года навестили злоумышленники, которым удалось перевести на свои электронные кошельки 523 млн токенов криптовалюты NEM, стоивших на тот момент, примерно $534 млн. А были еще кейсы с биржами Bithumb, Mt. Gox — cписок можно продолжать, как говорят американцы, you name it.
«Количество атак на криптовалютные биржи резко возросло как раз в тот момент, когда сами цифровые валюты начали расти в цене. В декабре 2017 года стоимость Bitcoin достигла $20 000, что не могло не привлечь внимание киберпреступников, — отмечает генеральный директор компании SEC Consult Services Георгий Лагода. — При этом уровень защиты этих площадок против кибератак оказался недостаточно высоким, чтобы предотвратить миллионные потери».
Ловись, биржа, большая и маленькая
В чем уязвимость блокчейна при кибератаке? Во-первых, разработчики неверным образом зачастую полагают, что слова «крипто» и «блокчейн» означают безопасность по умолчанию.
«Должное внимание не уделяется ни качеству кода, ни сетевой архитектуре, — замечает Георгий Лагода, — а ведь они могут быть уязвимы. Отдельного внимания заслуживает безопасность смарт-контрактов. И здесь зачастую полагаются на безопасность структуры блокчейна, упуская из виду небезопасное использование генераторов псевдослучайных чисел, используя данные из основной сети Bitcoin или аналогичных валют в качестве источника случайной величины».
В феврале специалисты подсчитали, что из миллиона смарт-контрактов Ethereum уязвимостями обладают более 34 000. Исследователи из Университетского Колледжа Лондона проверили свои предположения на 3000 смарт-контрактах блокчейна Ethereum. 89% из них оказались носителями тех или иных багов, что теоретически позволило бы украсть эфиров на сумму $6 млн.
Самыми популярными атаками на сегодняшний день являются атаки типа DDoS и фишинг.
В целом, аббревиатура DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) уже давно украшает сводки новостей и вызывает трепет пользователей. При такой атаке хакеры направляют на сервер искусственно созданный трафик, имеющий несколько источников, чтобы создать для сервера непосильную нагрузку, и «кладут» его.
В этом случае биржи также теряют деньги, ведь при отсутствии доступа, особенно длительного, пользователи биржи не могут использовать ее функции, и капитал не движется. Криптовалютная биржа Bitfinex в декабре 2017 года подверглась мощнейшей атаке такого рода.
Фишинг (phishing) — мошенничество, основанное на принципах социальной инженерии. Сначала создается практически точная копия сайта, например, выбранной злоумышленниками биржи. Затем при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от биржи.
Почти в точности повторяются логотипы, имена и фамилии реальных руководителей. Сообщается о том, что из-за смены программного обеспечения или — вот ирония! — из-за нападения хакеров пользователю необходимо подтвердить или изменить свои учетные данные. Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте.
Пользователи популярной криптовалютной биржи Binance несколько недель назад стали жертвами таких трюкачей, причем отличить настоящий сайт от фейка невооруженным глазом было почти невозможно.
Поэтому красной линией любых списков рекомендаций от экспертов всегда проходит заклинание: не хранить значительные средства на биржах и использовать эти площадки только для сделок.
«Атаки на ICO — те вообще происходят постоянно, — утверждает Евгений Юртаев, директор финтех-компании Zerion, производителя программного обеспечения. — Один из самых частых примеров — спуфинг, когда злоумышленники получают доступ к DNS сайта и перенаправляют его на несуществующий домен. От такой атаки пострадала, например, Enigma, когда на поддельном сайте выставили адрес, куда надо было отправлять эфиры, и было украдено больше $500 000. Общей рекомендацией остается не хранить крупные суммы денег на централизованных биржах и по возможности использовать децентрализованные альтернативы, которые набирают ликвидность».
Щит, меч и регистрация
Что делать? Существует способ приблизить размер рисков к нулю: проведение внутренних и внешних аудитов информационной безопасности, постоянный мониторинг активности пользователей и использование рекомендованных экспертами решений. Существует, например, чаще других используемый аудиторами международный стандарт CobiT (Control Objectives for Information and related Technology).
Одна из основ блокчейна — использование смарт-контракта. Его всесторонний аудит также нужно проводить в обязательном порядке. Отличие от «обычной» защиты информации в критичности системы и объеме денег, который постоянно крутится в проекте, а также в своей логике работы системы.
Чтобы защитить своих пользователей, бирже нужно прежде всего защитить себя. Самым распрост��аненным решением является использование двухфакторной аутентификации (2FA) и «холодных» серверов.
Некоторые биржи идут дальше и просят пользователей предоставить копии документов. Например, на Bittrex требуется верификация аккаунта с указанием персональных данных для вывода цифровой валюты общим объемом до 3 биткоинов в день.
При выводе до 100 биткоинов в день — с предоставлением копии удостоверения личности. Кроме того, основная часть всех цифровых активов биржи хранится офлайн на «холодных», то есть физически не подключенных ни к какому компьютеру, носителям и выводится онлайн только при совершении транзакций.
Также существуют процедуры AML (Anti Money Laundering — борьба с отмыванием денег) и КУС (Know Your Client — знай своего клиента), которые биржи объявляют обязательными.
Ключ от квартиры, где деньги лежат
Говорят, что существует три вида лжи: ложь во благо, отъявленная ложь и статистика. Так вот, статистика говорит, что на 1000 строк исходного кода в среднем насчитывается 1 ошибка. И нет никакой уверенности, что именно этот баг не будет связан с безопасностью.
Как утверждают эксперты по кибербезопасности, даже если разработчики биржи напишут идеальный код, всегда остается риск, что в сторонних проектах, которые им приходится использовать, будут уязвимости.
«Поскольку любая биржа, и не только криптовалютная, это «про деньги», отдельное место в общем спектре атак играют атаки, основанные на социальной инженерии. А также, как ни удивительно, случайные события, причиной которых служат обычная человеческая глупость и невнимательность. Рядовые пользователи — часто большие любители слабых паролей, потерянных «холодных» кошельков, использования «горячих» кошельков и публичного Wi-Fi для доступа к большому объему средств, перехода по подозрительным ссылкам», — описывает распространенные ошибки Георгий Лагода.
В конечном итоге пользователь или площадка, у которых украли средства тем или иным способом, вынуждены рассчитывать лишь на честность хакеров, так как в отличие от традиционной финансовой среды алгоритмы возмещения утраченных средств в криптосфере не отработаны. Если хакеры взломают ваш банковский счет и уведут с него значительную сумму денег, то банк может отследить и аннулировать криминальные транзакции, возместив ущерб.
Компенсация украденной криптовалюты проблематична или просто невозможна по технологическим причинам и в силу анонимности транзакций. Тем более любопытно выглядит история неизвестного Робина Гуда хакерского происхождения, который по неизвестной причине вернул $26 млн в токенах Ethereum в лоно ограбленной им в прошлом году биржи CoinDash. Рассчитывать на подобный альтруизм в большинстве случаев не приходится.
Поэтому стоит помнить:
- во-первых, и у хайпа есть цена;
- во-вторых, безопасность, как всегда, превыше всего.