Криптовалютную биржу, на которой вы торгуете, уже взламывали? Если нет, то это, скорее всего, не заслуга биржи, а недоработка хакеров. Может быть, ваша биржа следующая?
Централизованным биржам, которые могут манипулировать средствами пользователей, Виталик Бутерин пожелал «гореть в аду», а децентрализованные биржи, кажется, ещё не нашли компромисс между безопасностью и удобством использования. При этом опыт классических банков по обеспечению кибербезопасности пока не востребован криптоиндустрией.
Легендарные взломы
Mt.Gox
Mt.Gox была взломана сначала в 2011-м, а затем в 2014 году. Хакеры атаковали аудиторский аккаунт первого владельца биржи Маккалеба. В первый раз, по данным нового владельца Mt.Gox Марка Карпелеса, со счетов и из депозитария вывели 500 000 биткоинов, во второй — 850 000. Гражданские следователи, не знакомые с тонкостями криптовалютной индустрии, смогли подтвердить кражу всего 2000 BTC. Что случилось с остальными средствами, до сих пор неизвестно. Биржа закрылась в феврале 2014 года, записав в свой актив три мощнейших удара по курсу биткоина: в 2011 году валюта упала с $32 до нескольких центов, в 2014-м — с $720 до $550, а в 2018-м арбитражный управляющий биржи Нобуаки Кобаяши продал в общей сложности 35 841 BTC, ускорив падение рынка. Последние действия администрации Mt.Gox привели в бешенство обманутых пользователей, которые требовали «просто вернуть людям их биткоины».
BitFloor
BitFloor была взломана в сентябре 2012 года. Сначала сервера биржи упали то ли под действием DDoS-атаки, то ли из-за отключения электричества в дата-центре, как утверждал её владелец Роман Штильман. Спустя четыре дня хакеры использовали резервную копию ключа от горячего кошелька биржи, где хранились средства трейдеров, и вывели из системы 24 000 биткоинов. Штильман предпринял неудачную попытку возместить ущерб пострадавшим инвесторам через продажу доли в собственности BitFloor, но не смог найти покупателя. В 2013 году биржа закрылась, оставив пострадавших инвесторов ни с чем.
Bitstamp
Bitstamp в 2015 году лишилась 19 000 BTC, которые были украдены хакерами из горячего кошелька. На тот момент ущерб составил $5 млн. Для взлома была использована банальная фишинговая атака: сотрудники биржи получили личные электронные письма и сообщения в Skype из вроде бы дружественных источников. Системный администратор Лука Кодрич прошёл по ссылке и загрузил на рабочий компьютер вредоносное ПО, после чего биржа была взломана. Bitstamp поспешила оповестить трейдров о происходящем, однако дело было сделано. Компенсаций не последовало, но был ужесточён режим безопасности: для транзакций на Bitstamp с тех пор требуется мультиподпись, а 98% средств биржи хранится в холодном кошельке.
Bitfinex
Bitfinex стала жертвой хакеров в августе 2016 года. Неизвестные использовали баг в системе мультиподписи, которую поддерживала компания-партнёр BitGo. Хакеры неизвестным способом обманули алгоритмы BitGo, принудив их к одобрению транзакций, и вывели из горячего кошелька 120 000 BTC — около $72 млн. по курсу на тот момент. Создатели Bitfinex поставили пользователей перед фактом: ущерб будет распределён между всеми участниками торгов, на счетах которых будет заморожено 36,067%. Эти средства в дальнейшем были компенсированы токенами BFX, которые можно конвертировать в доллары США по внутреннему курсу, либо в акции компании iFinex — основателя биржи. Bitfinex удержалась на плаву.
Хроника 2018 года
Несмотря на все надежды криптосообщества, наступивший год не привнёс ничего нового в сложившуюся практику обеспечения безопасности биржевых площадок и ознаменовался целой серией взломов. По данным исследования Wall Street Journal, с начала года хакеры украли более $1 млрд. и не собираются останавливаться на достигнутом.
Coincheck
Coincheck была атакована хакерами в последние дни января 2018 года. Мишенью, как и в большинстве случаев, стал горячий кошелек биржи, откуда было похищено 523 млн. токенов NEM. Несмотря на все предыдущие примеры, биржа продолжала хранить средства пользователей и собственные в горячем кошельке и не использовала для защиты мультиподпись. Удивительно, не правда ли? Как не менее удивительно то, что пользователи продолжают хранить свои средства на бирже, а не выводят их после окончания торгов, экономя на комиссии. Удастся ли хакерам обналичить украденное? Вряд ли. Криптосообщество объединилось после этой кражи и наконец-то начало активно обмениваться информацией для предотвращения дальнейшего движения украденных средств. В частности, сервис мгновенного обмена криптовалют ShapeShift запретил обмен NEM. Его примеру последовали прочие сервисы, поскольку 11 анонимных адресов, на которые выведены украденные токены, помечены тегом «coincheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker», поэтому отследить любую транзакцию не составит труда. Расследование инцидента и проработка вариантов компенсации пользователям продолжаются.
BitGrail
BitGrail в феврале в результате хакерской атаки потеряла $170 млн. в криптовалюте Nano (XRB). При этом основатели биржи затеяли публичную дискуссию с разработчиками блокчейна Nano о том, на чьей стороне находился баг, который привёл к взлому. Разработчики криптовалюты обвинили BitGrail в недостаточном внимании к обеспечению безопасности, в частности в отсутствии процедуры аутентификации пользователей. После взлома биржа прекратила работу и передала расследование в руки полиции. Власти Флоренции конфисковали всю криптовалюту с депозита BitGrail в обеспечение иска пострадавших пользователей, а Nano Foundation пообещала принять участие в защите их интересов и возмещении убытков.
Coinrail
Coinrail стала жертвой хакерской атаки 10 июня 2018 года и потеряла в общей сложности $40 млн. в 11 криптовалютах. Сразу после атаки представители биржи не были готовы предоставить сколько-нибудь внятной информации, поэтому подробности хищения раскрыли участники проекта Pundi X, чьи токены также оказались в числе украденных. Спустя месяц, 10 июля, биржа возобновила торги и предложила пострадавшим две схемы компенсации: через постепенное возмещение украденных криптовалют из средств самой площадки и через компенсацию собственными токенами RAIL, которые затем могут быть конвертированы в криптовалюты по внутреннему курсу.
Bithumb
Bithumb — биржа, которая считалась чуть ли не эталоном с точки зрения кибербезопасности, — была взломана хакерами 19 июня. Был похищен $31 млн. — 10% объёма торгов. Это второй инцидент в хронике Bithumb. Первый произошел 29 июня 2017 года, когда были похищены личные данные 31 000 пользователей, на тот момент 3% участников торгов. Тогда хакеры попытались получить доступ к одноразовым паролям, но биржа заморозила торги и внесла изменения в систему безопасности. При этом Bithumb тратит 8% прибыли на безопасность, соблюдает правило «5.5.7» и регулярно проводит аудиты. Кстати, в момент взлома биржа обнаружила потенциальную угрозу и уже выводила средства пользователей в холодный кошелёк. Потери участникам системы обещали компенсировать из собственных средств площадки.
Bancor
Децентрализованная биржа Bancor, созданная в противовес централизованным, которым Виталик Бутерин пожелал «вечно гореть в аду», была атакована хакерами 9 июля 2018 года. Из горячего кошелька биржи хакеры вывели в общей сложности $23 млн. Почти половину украденного составили собственные токены BNT (на $10 млн.), а также ETH на $12,5 млн. и Pundi X на $1 млн. Свои токены биржа моментально заморозила, что вызвало шквал критики со стороны криптовалютного сообщества, поскольку такие действия прямо противоречат принципу децентрализации. Чарли Ли подытожил общее мнение в своём Твиттере, объявив, что «Bancor может манипулировать средствами пользователей, а её децентрализация — миф». Что касается токенов пользователей, то Bancor сразу создала коалицию с сервисом мгновенной конвертации Changelly, через который хакеры пытались вывести средства. Транзакции были заморожены и там.
Как с этим справляются банки?
Классические банки и банковские сервисы подвергаются различным атакам с момента своего появления, то есть уже несколько столетий. И ровно столько же учатся противостоять подобным угрозам. В старые добрые времена на банки нападали Бонни и Клайд, а сейчас их атакуют хакеры и мошенники.
У классических банков есть формула «5.5.7», когда 5% сотрудников являются IT-специалистами с подтверждённой экспертизой, 5% владеют навыками обеспечения кибербезопасности и не менее 7% прибыли расходуется на защиту.
У тех же банков и фиатных бирж есть международные стандарты информационной безопасности, например CobiT, который считается начальным уровнем и затем дополняется многочисленными внутренними регламентами и сценариями реагирования на попытки вмешательства.
Директор специальных проектов Group-IB (обеспечение кибербезопасности ICO) Руслан Юсуфов уверен, что реагирование на инциденты должно включать в себя и системы, и план раннего предупреждения и реагирования на угрозы, который позволит в случае возникновения инцидента всем сотрудникам действовать по регламенту. Всё как у банков. По схожей схеме действовала биржа Bancor, которая мгновенно заморозила собственные токены, вычислила сервисы, через которые планируется вывод, и вступила с ними в коалицию с целью заморозить украденные активы. Критика со стороны криптосообщества в данном случае менее важна, чем усилия по сохранению средств инвесторов.
О том, что хакеры при взломе криптобирж используют инструменты, которые многократно опробовали на фиатных банках, говорит статистика. Исследование 400 успешных хакерских атак на блокчейны показало, что популярные банковские трояны — TrickBot, Vawtrak, Qadars, Triba, Marcher — были слегка модифицированы под криптобиржи и принесли хакерам успех и там.
Тем не менее системы безопасности классических банков успешно противостоят хакерам, а сложившаяся практика отслеживания транзакций позволяет возвращать украденные средства. Почему бы не заимствовать этот опыт? Но в командах ICO, в том числе создающих криптобиржи, нет ни одного ИТ-специалиста с опытом работы в сфере обеспечения информационной безопасности банков.
Может быть, попросить защиты у хакеров?
Хакеры в «белых шляпах» из The White Hat Group год назад устроили громкую демонстрацию: вернули пользователям $30 млн., похищенных из эфириум-кошелька Parity «чёрными шляпами». Хорошо это или плохо, когда хакеры-энтузиасты начинают бороться с хакерами-злоумышленниками? Вероятно, хорошо. Но криптобиржи не спешат прибегать к услугам хакеров. По крайне мере публичные заявления об этом единичны, хотя известно, что каждый блокчейн-проект испытывает на себе около 100 хакерских атак в месяц.
Как это влияет на рынок
Сооснователь и управляющий партнёр The Tokenbox Владимир Смеркис уверен:
Причина частых взломов бирж — в слишком быстром развитии рынка. Компании просто не успели создать достаточно надёжных систем безопасности для защиты денег пользователей. Такая ситуация негативно влияет на имидж всей отрасли: потенциальные инвесторы боятся вкладывать деньги в уязвимые площадки. И пока эта проблема не решится, рынок не взлетит.
Исследование юридической компании Foley & Lardner показало, что 71% инвесторов испытывает серьёзные опасения из-за возможной кражи криптовалют. И этот страх влияет на инвестиционную активность и объёмы торгов. Новости о взломе даже малозначительных торговых площадок с мизерным оборотом способны обрушить капитализацию криптовалют на $40 млрд. в день и более, как это произошло после взлома Coinrail.
Можно ли вернуть деньги?
Как показывает практика, после мощных хакерских атак криптобиржи чаще всего используют три способа компенсации пострадавшим пользователям:
Таким образом, устойчивые крупные биржи, заинтересованные в продолжении работы, будут предлагать новые и новые способы компенсации утерянных средств. И это хорошая новость для криптовалютной индустрии. Очевидно, что времена, когда владельцы биржи или обменника пытались скрыть от сообщества информацию о подробностях кражи и скрыться сами, ушли в прошлое.
Удастся ли криптобиржам, работающим в сети, быстро справиться с проблемой хакерских атак? Совершенно точно нет. Есть два основных подхода к взлому криптобирж. Первый — в получении доступа к учётным записям и закрытому функционалу через взлом аккаунтов основателей и использование вредоносных программ из арсенала банковских атак. Второй — атака на саму инфраструктуру биржи через взлом веб-приложения, связывающего клиента с его деньгами на серверах бирж, или атака на так называемые горячие кошельки.
Следовательно, защита цифровых активов может быть достигнута совместными усилиями пользователей и криптобирж, обслуживающих оборот криптовалют. Глава Bancor по связям с общественностью Нейт Хиндман после взлома выступил с заявлением:
Мы совместно с коллегами из других бирж собираемся создать чёрный список, который позволит в режиме реального времени отслеживать адреса, совершившие правонарушение, и движение активов. Мы планируем создать фонд для компенсации потерь в чрезвычайных ситуациях. Мы предлагаем коллегам кооперацию, которая позволит нам всем стать сильнее и умнее.
При этом Хиндман считает, что полностью исключить возможность хакерских атак не удастся, поскольку злоумышленники развиваются вместе с криптоидустрией, однако этим атакам возможно противостоять, если участники рынка объединятся для совместных действий и обмена информацией.
Что касается обычных пользователей, то советы по сохранению цифровых активов от хакерских атак общеизвестны:
С течением времени, необратимым прогрессом технологий и совершенствованием регулятивных норм риски использования криптовалютных бирж, несомненно, будут снижены. Однако угроза хакерских атак никогда не потеряет своей актуальности: гонка вооружений, в который нормы безопасности соревнуются с «оружием» хакеров, вряд ли когда-либо будет закончена.