Почему криптобиржи так часто взламывают и есть ли панацея от хакеров

Криптовалютную биржу, на которой вы торгуете, уже взламывали? Если нет, то это, скорее всего, не заслуга биржи, а недоработка хакеров. Может быть, ваша биржа следующая?

Централизованным биржам, которые могут манипулировать средствами пользователей, Виталик Бутерин пожелал «гореть в аду», а децентрализованные биржи, кажется, ещё не нашли компромисс между безопасностью и удобством использования. При этом опыт классических банков по обеспечению кибербезопасности пока не востребован криптоиндустрией.

Легендарные взломы

Mt.Gox

  • Страна: США
  • Основатель: Джед Маккалеб
  • Похищено: официально 2000 BTC, неофициально 1,325 млн. BTC
  • Mt.Gox была взломана сначала в 2011-м, а затем в 2014 году. Хакеры атаковали аудиторский аккаунт первого владельца биржи Маккалеба. В первый раз, по данным нового владельца Mt.Gox Марка Карпелеса, со счетов и из депозитария вывели 500 000 биткоинов, во второй — 850 000. Гражданские следователи, не знакомые с тонкостями криптовалютной индустрии, смогли подтвердить кражу всего 2000 BTC. Что случилось с остальными средствами, до сих пор неизвестно. Биржа закрылась в феврале 2014 года, записав в свой актив три мощнейших удара по курсу биткоина: в 2011 году валюта упала с $32 до нескольких центов, в 2014-м — с $720 до $550, а в 2018-м арбитражный управляющий биржи Нобуаки Кобаяши продал в общей сложности 35 841 BTC, ускорив падение рынка. Последние действия администрации Mt.Gox привели в бешенство обманутых пользователей, которые требовали «просто вернуть людям их биткоины».

    BitFloor

  • Страна: США
  • Основатель: Роман Штильман
  • Похищено: 24 000 BTC
  • BitFloor была взломана в сентябре 2012 года. Сначала сервера биржи упали то ли под действием DDoS-атаки, то ли из-за отключения электричества в дата-центре, как утверждал её владелец Роман Штильман. Спустя четыре дня хакеры использовали резервную копию ключа от горячего кошелька биржи, где хранились средства трейдеров, и вывели из системы 24 000 биткоинов. Штильман предпринял неудачную попытку возместить ущерб пострадавшим инвесторам через продажу доли в собственности BitFloor, но не смог найти покупателя. В 2013 году биржа закрылась, оставив пострадавших инвесторов ни с чем.

    Bitstamp

  • Страна: Словения
  • Основатели: братья Мерлак
  • Похищено: 19 000 BTC
  • Bitstamp в 2015 году лишилась 19 000 BTC, которые были украдены хакерами из горячего кошелька. На тот момент ущерб составил $5 млн. Для взлома была использована банальная фишинговая атака: сотрудники биржи получили личные электронные письма и сообщения в Skype из вроде бы дружественных источников. Системный администратор Лука Кодрич прошёл по ссылке и загрузил на рабочий компьютер вредоносное ПО, после чего биржа была взломана. Bitstamp поспешила оповестить трейдров о происходящем, однако дело было сделано. Компенсаций не последовало, но был ужесточён режим безопасности: для транзакций на Bitstamp с тех пор требуется мультиподпись, а 98% средств биржи хранится в холодном кошельке.

    Bitfinex

  • Страна: Британские Виргинские Острова
  • Основатель: Рафаэль Николь
  • Похищено: 120 000 BTC
  • Bitfinex стала жертвой хакеров в августе 2016 года. Неизвестные использовали баг в системе мультиподписи, которую поддерживала компания-партнёр BitGo. Хакеры неизвестным способом обманули алгоритмы BitGo, принудив их к одобрению транзакций, и вывели из горячего кошелька 120 000 BTC — около $72 млн. по курсу на тот момент. Создатели Bitfinex поставили пользователей перед фактом: ущерб будет распределён между всеми участниками торгов, на счетах которых будет заморожено 36,067%. Эти средства в дальнейшем были компенсированы токенами BFX, которые можно конвертировать в доллары США по внутреннему курсу, либо в акции компании iFinex — основателя биржи. Bitfinex удержалась на плаву.

    Хроника 2018 года

    Несмотря на все надежды криптосообщества, наступивший год не привнёс ничего нового в сложившуюся практику обеспечения безопасности биржевых площадок и ознаменовался целой серией взломов. По данным исследования Wall Street Journal, с начала года хакеры украли более $1 млрд. и не собираются останавливаться на достигнутом.

    Coincheck

  • Страна: Япония
  • Основатели: Коитиро Вада и Юсукэ Оцуука
  • Похищено: 523 млн. NEM
  • Coincheck была атакована хакерами в последние дни января 2018 года. Мишенью, как и в большинстве случаев, стал горячий кошелек биржи, откуда было похищено 523 млн. токенов NEM. Несмотря на все предыдущие примеры, биржа продолжала хранить средства пользователей и собственные в горячем кошельке и не использовала для защиты мультиподпись. Удивительно, не правда ли? Как не менее удивительно то, что пользователи продолжают хранить свои средства на бирже, а не выводят их после окончания торгов, экономя на комиссии. Удастся ли хакерам обналичить украденное? Вряд ли. Криптосообщество объединилось после этой кражи и наконец-то начало активно обмениваться информацией для предотвращения дальнейшего движения украденных средств. В частности, сервис мгновенного обмена криптовалют ShapeShift запретил обмен NEM. Его примеру последовали прочие сервисы, поскольку 11 анонимных адресов, на которые выведены украденные токены, помечены тегом «coincheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker», поэтому отследить любую транзакцию не составит труда. Расследование инцидента и проработка вариантов компенсации пользователям продолжаются.

    BitGrail

  • Страна: Италия
  • Основатель: Франческо Фирано
  • Похищено: $170 млн.
  • BitGrail в феврале в результате хакерской атаки потеряла $170 млн. в криптовалюте Nano (XRB). При этом основатели биржи затеяли публичную дискуссию с разработчиками блокчейна Nano о том, на чьей стороне находился баг, который привёл к взлому. Разработчики криптовалюты обвинили BitGrail в недостаточном внимании к обеспечению безопасности, в частности в отсутствии процедуры аутентификации пользователей. После взлома биржа прекратила работу и передала расследование в руки полиции. Власти Флоренции конфисковали всю криптовалюту с депозита BitGrail в обеспечение иска пострадавших пользователей, а Nano Foundation пообещала принять участие в защите их интересов и возмещении убытков.

    Coinrail

  • Страна: Южная Корея
  • Основатель: Ли Насс
  • Похищено: $40 млн.
  • Coinrail стала жертвой хакерской атаки 10 июня 2018 года и потеряла в общей сложности $40 млн. в 11 криптовалютах. Сразу после атаки представители биржи не были готовы предоставить сколько-нибудь внятной информации, поэтому подробности хищения раскрыли участники проекта Pundi X, чьи токены также оказались в числе украденных. Спустя месяц, 10 июля, биржа возобновила торги и предложила пострадавшим две схемы компенсации: через постепенное возмещение украденных криптовалют из средств самой площадки и через компенсацию собственными токенами RAIL, которые затем могут быть конвертированы в криптовалюты по внутреннему курсу.

    Bithumb

  • Страна: Южная Корея
  • Основатель: Ким Дэ-шик
  • Похищено: $31 млн.
  • Bithumb — биржа, которая считалась чуть ли не эталоном с точки зрения кибербезопасности, — была взломана хакерами 19 июня. Был похищен $31 млн. — 10% объёма торгов. Это второй инцидент в хронике Bithumb. Первый произошел 29 июня 2017 года, когда были похищены личные данные 31 000 пользователей, на тот момент 3% участников торгов. Тогда хакеры попытались получить доступ к одноразовым паролям, но биржа заморозила торги и внесла изменения в систему безопасности. При этом Bithumb тратит 8% прибыли на безопасность, соблюдает правило «5.5.7» и регулярно проводит аудиты. Кстати, в момент взлома биржа обнаружила потенциальную угрозу и уже выводила средства пользователей в холодный кошелёк. Потери участникам системы обещали компенсировать из собственных средств площадки.

    Bancor

  • Страна: Швейцария
  • Основатель: Гай Бенарци
  • Похищено: $23 млн.
  • Децентрализованная биржа Bancor, созданная в противовес централизованным, которым Виталик Бутерин пожелал «вечно гореть в аду», была атакована хакерами 9 июля 2018 года. Из горячего кошелька биржи хакеры вывели в общей сложности $23 млн. Почти половину украденного составили собственные токены BNT (на $10 млн.), а также ETH на $12,5 млн. и Pundi X на $1 млн. Свои токены биржа моментально заморозила, что вызвало шквал критики со стороны криптовалютного сообщества, поскольку такие действия прямо противоречат принципу децентрализации. Чарли Ли подытожил общее мнение в своём Твиттере, объявив, что «Bancor может манипулировать средствами пользователей, а её децентрализация — миф». Что касается токенов пользователей, то Bancor сразу создала коалицию с сервисом мгновенной конвертации Changelly, через который хакеры пытались вывести средства. Транзакции были заморожены и там.

    Как с этим справляются банки?

    Классические банки и банковские сервисы подвергаются различным атакам с момента своего появления, то есть уже несколько столетий. И ровно столько же учатся противостоять подобным угрозам. В старые добрые времена на банки нападали Бонни и Клайд, а сейчас их атакуют хакеры и мошенники.

    У классических банков есть формула «5.5.7», когда 5% сотрудников являются IT-специалистами с подтверждённой экспертизой, 5% владеют навыками обеспечения кибербезопасности и не менее 7% прибыли расходуется на защиту.

    У тех же банков и фиатных бирж есть международные стандарты информационной безопасности, например CobiT, который считается начальным уровнем и затем дополняется многочисленными внутренними регламентами и сценариями реагирования на попытки вмешательства.

    Директор специальных проектов Group-IB (обеспечение кибербезопасности ICO) Руслан Юсуфов уверен, что реагирование на инциденты должно включать в себя и системы, и план раннего предупреждения и реагирования на угрозы, который позволит в случае возникновения инцидента всем сотрудникам действовать по регламенту. Всё как у банков. По схожей схеме действовала биржа Bancor, которая мгновенно заморозила собственные токены, вычислила сервисы, через которые планируется вывод, и вступила с ними в коалицию с целью заморозить украденные активы. Критика со стороны криптосообщества в данном случае менее важна, чем усилия по сохранению средств инвесторов.

    О том, что хакеры при взломе криптобирж используют инструменты, которые многократно опробовали на фиатных банках, говорит статистика. Исследование 400 успешных хакерских атак на блокчейны показало, что популярные банковские трояны — TrickBot, Vawtrak, Qadars, Triba, Marcher — были слегка модифицированы под криптобиржи и принесли хакерам успех и там.

    Тем не менее системы безопасности классических банков успешно противостоят хакерам, а сложившаяся практика отслеживания транзакций позволяет возвращать украденные средства. Почему бы не заимствовать этот опыт? Но в командах ICO, в том числе создающих криптобиржи, нет ни одного ИТ-специалиста с опытом работы в сфере обеспечения информационной безопасности банков.

    Может быть, попросить защиты у хакеров?

    Хакеры в «белых шляпах» из The White Hat Group год назад устроили громкую демонстрацию: вернули пользователям $30 млн., похищенных из эфириум-кошелька Parity «чёрными шляпами». Хорошо это или плохо, когда хакеры-энтузиасты начинают бороться с хакерами-злоумышленниками? Вероятно, хорошо. Но криптобиржи не спешат прибегать к услугам хакеров. По крайне мере публичные заявления об этом единичны, хотя известно, что каждый блокчейн-проект испытывает на себе около 100 хакерских атак в месяц.

    Как это влияет на рынок

    Сооснователь и управляющий партнёр The Tokenbox Владимир Смеркис уверен:

    Причина частых взломов бирж — в слишком быстром развитии рынка. Компании просто не успели создать достаточно надёжных систем безопасности для защиты денег пользователей. Такая ситуация негативно влияет на имидж всей отрасли: потенциальные инвесторы боятся вкладывать деньги в уязвимые площадки. И пока эта проблема не решится, рынок не взлетит.

    Исследование юридической компании Foley & Lardner показало, что 71% инвесторов испытывает серьёзные опасения из-за возможной кражи криптовалют. И этот страх влияет на инвестиционную активность и объёмы торгов. Новости о взломе даже малозначительных торговых площадок с мизерным оборотом способны обрушить капитализацию криптовалют на $40 млрд. в день и более, как это произошло после взлома Coinrail.

    Можно ли вернуть деньги?

    Как показывает практика, после мощных хакерских атак криптобиржи чаще всего используют три способа компенсации пострадавшим пользователям:

  • откат блокчейна до предыдущего состояния или же заморозка транзакций (так поступали Bitstamp, эфириум, Bancor, но это противоречит принципу необратимости блокчейна);
  • возмещение ущерба за счёт других пользователей (этот путь выбрала Poloniex);
  • возврат средств биржей из собственной прибыли или путём выпуска биржевых токенов (так поступила Bitfinex и пытается сделать Coinrail).
  • Таким образом, устойчивые крупные биржи, заинтересованные в продолжении работы, будут предлагать новые и новые способы компенсации утерянных средств. И это хорошая новость для криптовалютной индустрии. Очевидно, что времена, когда владельцы биржи или обменника пытались скрыть от сообщества информацию о подробностях кражи и скрыться сами, ушли в прошлое.

    Удастся ли криптобиржам, работающим в сети, быстро справиться с проблемой хакерских атак? Совершенно точно нет. Есть два основных подхода к взлому криптобирж. Первый — в получении доступа к учётным записям и закрытому функционалу через взлом аккаунтов основателей и использование вредоносных программ из арсенала банковских атак. Второй — атака на саму инфраструктуру биржи через взлом веб-приложения, связывающего клиента с его деньгами на серверах бирж, или атака на так называемые горячие кошельки.

    Следовательно, защита цифровых активов может быть достигнута совместными усилиями пользователей и криптобирж, обслуживающих оборот криптовалют. Глава Bancor по связям с общественностью Нейт Хиндман после взлома выступил с заявлением:

    Мы совместно с коллегами из других бирж собираемся создать чёрный список, который позволит в режиме реального времени отслеживать адреса, совершившие правонарушение, и движение активов. Мы планируем создать фонд для компенсации потерь в чрезвычайных ситуациях. Мы предлагаем коллегам кооперацию, которая позволит нам всем стать сильнее и умнее.

    При этом Хиндман считает, что полностью исключить возможность хакерских атак не удастся, поскольку злоумышленники развиваются вместе с криптоидустрией, однако этим атакам возможно противостоять, если участники рынка объединятся для совместных действий и обмена информацией.

    Что касается обычных пользователей, то советы по сохранению цифровых активов от хакерских атак общеизвестны:

  • не хранить средства в горячих кошельках;
  • выбирать известные биржи, которые раскрывают политику безопасности;
  • по максимуму использовать функционал, предоставляемый биржей, включая 2fa;
  • распределять средства между несколькими кошельками и биржами.
  • С течением времени, необратимым прогрессом технологий и совершенствованием регулятивных норм риски использования криптовалютных бирж, несомненно, будут снижены. Однако угроза хакерских атак никогда не потеряет своей актуальности: гонка вооружений, в который нормы безопасности соревнуются с «оружием» хакеров, вряд ли когда-либо будет закончена.