iHodl поговорил c Дэвидом Джевонсом, главой CipherTrace и председателем Антифишинговой рабочей группы (APWG).
iHodl: О регулировании криптовалют говорят не только здесь, на Delta Summit, но и в новостях. Недавно газета The Wall Street Journal обвинила Shapeshift в отмывании денег через анонимную монету Monero, которая запрещена к обороту на лицензированных биржах Японии. Где бы вы провели границу безопасности?
Дэвид Джевонс: Это довольно сложный вопрос. Мне кажется, это нормально позволять людям покупать и хранить анонимные монеты на бирже, в качестве инвестиционного продукта. Почему бы и нет? Если биржа соблюдает правило «знай своего клиента» (KYC), то это не проблема. Другое дело ввод и вывод.
То есть биржа покупает монеты, управляет пулом ликвидности, вы зарабатываете или теряете деньги, и все в порядке. Проблемы начинаются, когда люди отправляют эти монеты. В Monero есть механизм просмотрового ключа и меток для переводов, и его следовало бы включить, но никто этого не делает. Кстати, в Zcash тоже есть такая возможность.
iHodl: Как вы считаете, регулирующие органы немедленно вмешаются с более жесткими правилами? Или, что более вероятно, они сначала понаблюдают за отраслью, и лишь потом будут принимать решения?
Дэвид Джевонс: Я считаю, что регулирование, — но не полный запрет, — имеет смысл.
Кевин О’Коннор из FinCEN этим летом выступал на криптовалютной конференции, и его спрашивали, должна ли криптовалютная биржа соблюдать законы о противодействии отмыванию денег. По мнению FinCEN, если цифровая валюта конвертируется в наличные, значит, и подход к ней должен быть соответствующий.
Интересно, что FinCEN также говорит: «Если анонимная криптовалюта соблюдает закон о противодействии отмыванию денег, она нас не беспокоит». Это по сути значит, что они должны включить ключи для просмотра транзакций. Я тоже считаю, что это правильный подход.
iHodl: Говоря о уровне безопасности криптобирж в интервью Bloomberg, вы заявили, что некоторые платформы «не готовы к выходу на рынок». Почему?
Дэвид Джевонс: Здесь играют роль несколько факторов. В первую очередь, некоторые очень торопятся вывести продукт на рынок. Люди решают, что нужно сделать биржу, нанимают стороннюю компанию для разработки, и уже через три-пять месяцев она должна быть готова к работе. Можно ли обеспечить безопасность продукта в такие сроки?
Кроме того, им жалко денег, а чтобы провести аудит безопасности торговой платформы, требуется несколько месяцев. Кроме того, это дорого.
А еще есть сложный вопрос с управлением холодным хранением. Представьте, что у вас два хранилища, горячее и холодное. Принято считать, что в горячем кошельке нужно хранить не более 10% активов, а лучше еще меньше.
Но не все понимают, как трудно правильно управлять холодным кошельком. Думаю, в мире насчитывается двадцать, тридцать или сорок человек, которые это умеют, и, вероятно, все они уже работают на больших биржах. Возможно, неплохо могли бы справиться еще ребята из АНБ, которые отвечают за криптографические ключи Министерства обороны США.
И эти знания не валяются на дороге — в университетах этому не учат, и книжек об этом не пишут. Нужен очень обширный опыт.
iHodl: Сегодня много говорят об инвестиционных продуктах, связанных с биткоином, — это фьючерсы, ETN, ETF и так далее. Как вам кажется, фонд, принадлежащий брокеру, может обеспечить безопасность инвестора?
Дэвид Джевонс: Вообще такие продукты мне очень нравятся. Что касается компаний, предлагающих такие услуги… Хорошо, если у них есть нужные специалисты, или они доверяют безопасность надежному подрядчику. Так у индивидуального инвестора будет меньше шансов, что его деньги украдут.
iHodl: По вашему мнению, как безопаснее всего инвестировать в криптовалюты?
Дэвид Джевонс: Знаете, многие считают, что криптовалюты — это очень здорово, потому что человек может сам все контролировать и управлять собственными ключами. Да, это здорово, но только если вы знаете, что делаете.
Думаю, людям, которые инвестируют регулярно, обязательно нужно учиться. На конференциях мне все еще встречаются люди, которые думают, что, если они потеряли пароль, можно куда-то позвонить и все восстановить, так что проблема образования по-прежнему актуальна.
iHodl: Как вы думаете, какая страна продвинулась дальше других в регулировании криптовалют?
Дэвид Джевонс: Думаю, Япония. Они запретили некоторые монеты, у них работает антиотмывочное законодательство и правило «знай своего клиента», у них хороший аудит. Кроме того, поскольку японские биржи не раз подвергались крупным взломам, теперь правительство устанавливает четкие технические нормы в области безопасности, чего, насколько я знаю, никто другой не делает.
iHodl: Поговорим про биржи и кошельки. Что может сделать обычный пользователь, чтобы снизить вероятность кражи своих средств?
Дэвид Джевонс: Проблемы с безопасностью есть везде, даже у аппаратных кошельков, и очень важно покупать такой кошелек непосредственно у производителя, а не у одного из 150 продавцов на eBay — надеюсь, вы понимаете, почему.
iHodl: Как обычно мошенники крадут криптовалюту? Они всегда эксплуатируют ошибки в коде, или есть разные способы?
Дэвид Джевонс: Я сталкивался с множеством жертв фишинг-атак. Многие биржи недооценивают проблему фишинга, а ведь на удочку могут попадаться даже их собственные сотрудники.
Кроме того, это еще и вопрос недостаточности разработок — необходимость некоторых мер не всем очевидна. Скажем, бирже следует мониторить домены, похожие на их собственные, ведь это очень распространенная проблема. Можно зарегистрировать что-нибудь типа MyEthereWallet.com, и использовать этот домен при фишинге.
А еще многие пользуются электронной почтой без аутентификации, и любой может отправить электронное письмо вашему клиенту или сотруднику под видом знакомого, и получатель не заметит разницы.
iHodl: Есть ли способ отфильтровать фишинговые сообщения в Twitter, Facebook и других медиа? Ведь последнее время их стало много. Фальшивые Илон Маск и Папа Франциск выманивают у людей кучу денег.
Дэвид Джевонс: Это опять вопрос недостаточности усилий. За социальными сетями тоже нужно следить — как и за доменами-фальшивками. Нужно отслеживать поддельные профили и закрывать их.
iHodl: Сегодня все популярнее становится перехват SIM-карт. Как вам кажется, увидим ли мы крупные кражи криптовалюты с использованием этого метода?
Дэвид Джевонс: Я застал еще фишинг, нацеленный на сотрудников организации, когда пароли получали через панель управления доменными именами. То есть люди входили в систему и тем самым отдавали пароли. Обычно такие поддельные сайты работают всего несколько часов, иногда в течение всех выходных или праздников.
Поэтому для идентификации обязательно нужно использовать телефон. Имя, пароль, потом код на телефоне, Google Authenticator или аналог. Все лучше, чем SMS, да?
Представим себе, что преступники выбрали в качестве своей цели топ-менеджера криптовалютной компании. Дальше они связываются с телефонной компанией и выдают себя за этого человека, после чего получают этот номер и десяток новых SIM-карт. Потом они могут, воспользовавшись текстовым сообщением, перехватывать данные всех клиентов, после чего войти в систему и завладеть учетными записями этих людей. И, если они переведут деньги, обратно их не получить.
Еще совет: дополнительную аутентификацию необходимо использовать и для инструментов разработки, в том числе для GitHub, иначе преступник может прочесть ваш код, обнаружить там ошибки и атаковать обменник.
iHodl: Как вы считаете, какой самый безопасный стандарт токена из используемых для ICO (говоря не только о ERC-20)?
Дэвид Джевонс: Мне кажется, как раз с ERC-20 все в порядке. Проблемы возникают при добавлении собственного кода — с этим нужно быть чрезвычайно осторожными. Я имею в виду, что чем меньше кода, тем лучше. Когда я вижу контракт на тысячу строк, что вроде бы немного, это тревожно — двухсот вполне хватило бы.
Дело еще в том, что для проверки смарт-контрактов пока нет хороших программных инструментов. И, даже если такие инструменты появятся, от ручной проверки никуда не деться. И все равно полной гарантии никто не дает.
С другой стороны, если посмотреть на сеть Ethereum, то заметно, что они не очень беспокоятся о возможности крупного взлома — вычислительной мощности достаточно, и это обеспечивает безопасность.
На мой взгляд, опаснее всего строители собственных блокчейнов и изобретатели новых криптографических методов — вот это и есть верный путь к катастрофе.
Подписывайтесь на наш канал в Яндекс.Дзен. Лучшее о крипте и личных финансах, эксклюзивы и немного лайфстайла.
Источник: https://ru.insider.pro/
Новое сообщение Эксклюзивное интервью: Дэвид Джевонс о криптобиржах, безопасности и вашем криптокошельке появилось на КриптоВики.
КриптоВики
Автор: admin
