Содержание статьи:
Исторически биржи — самая уязвимая точка криптовалютной инфраструктуры. Атаковать их выгоднее, чем обычные электронные кошельки. Долгое время взломать их было ненамного сложнее, чем отдельный кошелек. С выходом криптовалют в «большой мир» выросли и требования к безопасности. Сейчас биржи обещают клиентам надежность, сравнимую с банковскими онлайн-ресурсами. Тем не менее, новости о взломах и кражах продолжают регулярно появляться в лентах новостей. Как на самом деле обстоят дела с безопасностью криптобирж, какие методы защиты используются и насколько они эффективны, разбираем дальше.
Насколько безопасны биржи криптовалют?
Создается впечатление, что в основе проблем с безопасностью криптобирж лежит некое глубинное убеждение и пользователей, и администраций, что криптовалюта защитит себя сама. Отсюда возникает пренебрежение к уязвимостям ресурсов со стороны руководства и легкомысленное отношение к безопасности кошельков со стороны пользователей. В результате криптобиржи взламываются в основном двумя способами — через технические уязвимости или посредством методов социальной инженерии.
В конце прошлого года аналитики из США изучили 135 крупных бирж и обнаружили, что единицы из них более или менее соответствуют стандартам безопасности. Наивысшую оценку «А+» не получил ни один ресурс. «А» получили две биржи (Kraken и Cobinhood), остальные — от «А–» и меньше.
В процессе оценивания выявлялись потенциальные уязвимости пользовательских учетных записей, домена и веб-протоколов. Результаты неутешительные.
Веб-протоколы по количеству уязвимостей занимают последнее место. Приемы против самых распространенных хакерских атак реализованы на 40% бирж. Остальные 60% подвержены MITM-атакам (когда хакер вмешивается в протокол передачи данных втайне от передающих узлов), POODLE-атакам (когда перехватывается трафик жертвы), и многим другим.
На втором месте — уязвимости домена и регистратора. Ситуация печальная: чуть больше 3% бирж используют рекомендованный минимум средств защиты для финансовых ресурсов.
В безусловных лидерах по количеству уязвимостей — пользовательские учетные записи. Почти на половине бирж пароль можно задавать только буквами или буквами и цифрами; много где нет функции автоматического выхода из аккаунта; более чем на 20% ресурсов пользователь не может дополнительно подтвердить транзакцию. На 5% сайтов нет двухфакторной аутентификации, а на 2% можно обойтись без подтверждения регистрации по телефону или электронной почте.
Речь идет о 135 крупнейших ресурсах. Можно только догадываться об уровне безопасности на мелких биржах.
Сюда прибавляется легкомыслие пользователей. Если сайт позволяет установить пароль «0123456» или «qwerty» — такие пароли гарантированно будут использоваться. Если сайт позволяет не подтверждать вход — большинство пользователей даже не подумает включить двухфакторную аутентификацию.
О фишинге, который является одной из основных причин взлома биржевых аккаунтов, и говорить нечего. Пользователи не только переходят по ссылкам в письме, которое пришло якобы от биржи, а и охотно вводят логины, пароли, сид-фразы и другие личные данные на сайтах, которые визуально напоминают знакомый ресурс.
Как биржи обеспечивают безопасность криптовалют сегодня
Бороться со всем этим чрезвычайно трудно. Хакеры — люди творческие и на любое противодействие рано или поздно придумывают ответ. Требуется высокий уровень защиты данных, чтобы злоумышленник не смог ее пробить. Для реализации такой системы безопасности иногда нужно перестроить половину сайта.
Выход — реализовать ее изначально, на этапе создания биржи. Сейчас существует ряд рекомендаций от международных криптовалютных объединений, где выставляется необходимый минимум для современной биржи. Список требований к безопасности состоит из плюс-минус 100 пунктов. В корейской KISA их, например, 85.
Среди них:
- Холодное хранение данных. Заключается в том, что основная часть средств, до 99%, хранится на отключенных от сети серверах. Один из наиболее надежных методов защиты, ввиду чего его использует большинство бирж.
- Раздельное хранение данных. Означает, что активы биржи и пользователей хранятся отдельно друг от друга. При грамотном разделении хакеру, чтобы получить доступ ко всем средствам, придется совершить те же действия, что и для взлома двух разных бирж.
- KYC и AML. Нелюбимые сторонниками анонимности процедуры немного повышают надежность биржи, потому что злоумышленники не спешат предоставлять свои личные данные, тем более если требуется проверка паспорта. От хакеров, которые действуют без регистрации на бирже, эти процедуры не спасают.
- Ограничение на вывод средств. Рекомендации разные — 2, 10, 20 биткоинов или эквивалента в сутки. Если злоумышленник получит данные других кошельков и проведет несанкционированную транзакцию, очень большого ущерба он не причинит. Ограничение снимается для крупных предпринимателей и инвесторов, которые могут подтвердить свои данные и законность своей деятельности.
Из наиболее известных программных методов защиты:
- Проверка подмены адреса. После того, как пользователь вводит адрес при создании транзакции в своем аккаунте (для вывода денег, например), в процесс может вклиниться третье лицо и незаметно этот адрес подменить. Чтобы этого не допустить, адрес перепроверяется системой перед отправкой. Функция реализована на многих крипторесурсах, в основном в кошельках, и зарекомендовала себя как действенная.
- Антифишинг. Антифишинговая система сообщает пользователю о том, что он зашел вместо знакомой биржи на вредоносный сайт и собирается сообщить ему личные данные. Раньше криптобиржи внедряли эту функцию редко, но сейчас она становится насущной необходимостью. К примеру, на бирже WhiteBit это работает следующим образом: пользователь в личном кабинете указывает персональный код и активирует специальный модуль Anti Phishing — в дальнейшем все официальные письма от биржи будут содержать этот код, а его отсутствие сразу же укажет на то, что за дело взялись мошенники.
Среди других способов защиты — брандмауэр, система анти-DDoS, заголовки HSTS. Не говорим о таких банальных вещах, как протокол HTTPS вместо HTTP и другие элементарные методы обеспечения сохранности данных.
Для пользователей это также:
- обязательная двухфакторная аутентификация;
- принудительное разлогинивание при отсутствии активности в аккаунте дольше N минут;
- пароль не короче 8 символов, состоящий из цифр, букв разного регистра и дополнительных знаков;
- дополнительный пароль на кошелек внутри аккаунта.
Некоторые криптобиржи идут дальше и предлагают довольно нетривиальные методы защиты.
Например, существуют биржи, которые поддерживаются страховым брокером и покупают страховой полис, который в случае потерь от кибератак возместит пользователям убытки.
Еще одно перспективное решение — искусственный интеллект, который отслеживает все подозрительные действия в аккаунте и своевременно активирует дополнительные слои защиты.
Все это, правда, мало спасает от уязвимостей, которые существуют в других приложениях. Кошельки и плагины на основе API вполне могут стать точкой, через которую будет произведена атака. Единственное противодействие — самостоятельная разработка приложений или, как минимум, работа с максимально надежными из существующих решений.
Биржи криптовалют и безопасность: чего ждать дальше?
Стопроцентной безопасности не бывает. Это главное правило, которое нужно помнить при работе на бирже. Большие деньги всегда привлекают желающих незаконно их присвоить. Злоумышленники постоянно изобретают новые приемы, методы атаки, и гонка специалистов по кибербезопасности и хакеров нескончаема.
В таких условиях обеспечение безопасности кошелька частично ложится на плечи клиента. Ни один из существующих методов защиты не сработает, если пользователь регулярно будет заходить в биржевой аккаунт с десятками биткоинов через публичный Wi-Fi.
Безусловно, криптовалюты давно прошли «компьютерный» этап, когда нужны были сотни гигабайт для одного кошелька и транзакции из телефона казались фантастикой. Нынешние кошельки легко позволяют работать с криптобиржами с любого смартфона и безопасно распоряжаться своими средствами — современные решения типа Paytomat Wallet изначально разрабатываются и в дальнейшем улучшаются именно с учетом растущего спроса аудитории на скорость и удобство не в ущерб безопасности, которая, как показывает практика, всё еще может становиться проблемой при хранении больших сумм на биржах.
Банальная осторожность пользователя при использовании криптобирж — база безопасности. Остальное — работа киберспециалистов.
К счастью, криптоинфраструктура в этом отношении продвигается вперед. Одно из доказательств этому: те же исследователи из ICO Rating, об исследовании которых по состоянию на конец 2018 года шла речь выше, в течение 2019 года несколько улучшили свои оценки безопасности бирж, в связи с чем три биржи — Huobi, Kraken и BTCTurk — уже имеют рейтинг А+ на момент написания статьи.
Обусловлено это продвижение отчасти легализацией криптовалют, отчасти — их выходом на качественно новый уровень. Невозможно было говорить о страховании биржевого криптокапитала, когда криптовалюты находились в «тени». Многостраничные стандарты безопасности начали появляться после бума ICO, а приобрели более четкие очертания в последние два года, когда функциональность бирж возросла в разы и на них пошли крупные инвесторы. Нынешние рекомендации — явно не последняя редакция, и, очевидно, они будут обновляться, дополняться и трансформироваться с развитием криптовалют.
С другой стороны повышение уровня безопасности обеспечивает прогресс в кибербезопасности вообще. Тот же искусственный интеллект на криптобиржах — новинка в криптоинфраструктуре, но можно не сомневаться, что в будущем он станет обычной практикой и далеко за пределами этого рынка.
Наконец, в последнее время в разы выросло количество проверок, в том числе тестирования непосредственно систем безопасности. Снова-таки четких общемировых стандартов пока нет, но криптовалютная глобализация берет свое, и скоро мы, вероятно, увидим для криптобирж такую же структуру требований, как и для банковской сферы.
