В течение лета анонимный хакер украл криптовалюты примерно на $600 млн из Poly Network, децентрализованной финансовой сети, о которой вне криптовалютного мира, вероятно, мало кто слышал. Правда, потом хакер вернул все, что украл. Интересно и то, что через несколько дней руководство Poly Network… предложило хакеру-вору работу.
Однако это единственная история о похищении криптовалюты с хэппи-эндом. Другие – гораздо более печальные отмечает издание «Главком». К примеру, осенью хакеры украли по меньшей мере $150 млн с криптобиржи Bitmart. Кибераферисты использовали украденный секретный ключ, чтобы открыть два онлайн-кошелька и извлекли средства.
Подобные инциденты с «дырами в криптобезопасности» не являются чем-то новым в мире криптовалют, но количество ловких махинаторов растет, поскольку цены на криптовалюту за последний год существенно выросли.
Показатели роста курса наиболее распространенных криптовалют за последний год
Согласно данным, собранным Comparitech, в этом году произошло пять из десяти самых масштабных краж криптовалют всех времен. По прогнозам экспертов по финансовым технологиям, количество подобных инцидентов будет расти из-за распространения использования криптовалюты, пишет CNN.
- прозрачность – в блокчейне хранятся данные обо всех проведенных операциях за всю историю создания системы (криптовалюты);
- стабильность – вы не можете удалить или заменить информацию «задним числом», а только совершить новое соглашение;
- независимость – информация хранится не на одном центральном сервере, а на множестве компьютеров участников сети.
Где спрятана проблема?
По словам Тома Робинсона, главного научного сотрудника лондонской фирмы Elliptic, специализируется на анализе рынка криптовалют, двумя основными мишенями крипто-взломов являются централизованные биржи (это биржи, являющиеся онлайн-рынком для всей криптовалютной сети) и сервисы децентрализованного финансирования (DeFi в виде сервисов и приложений, созданных на блокчейне). Главная задача децентрализованных финансовых сервисов – заменить традиционные технологии финансовой системы протоколами с открытым исходным кодом.
Централизованные биржи являлись основной целью хакерских групп в течение нескольких лет. Эти биржи сохраняют активы пользователя в цифровых онлайн-кошельках. Сохранение онлайн делает их более доступными для пользователей, но также потенциально доступными для хакеров. Одним из таких примеров можно назвать взлом BitMart, произошедший 5 декабря. Преступники похитили, по предварительным оценкам, цифровых активов на сумму около $150 млн. В основном это были токены Shiba Inu (SHIB) и стейблкоины USDC (стейблкоины – это разновидность криптовалюты, для которой удалось достичь стабильной рыночной цены, слабо зависимой от общей волатильности криптовалютных – «Главком»). Основатель и генеральный директор BitMart Шелдон Ся подтвердил инцидент и уточнил, что украденные средства были отправлены на сервис Ethereum Tornado Cash, что усложнит их отслеживание.
Другой пример масштабного взлома централизованной биржи – атака на Coincheck в 2018 году, в результате было украдено более полумиллиарда долларов.
Сервисы DeFi – это новая часть криптообразования. По словам Тома Робинсона, программные приложения DeFi запускаются непосредственно на платформе блокчейна, и взлом этих служб обычно происходит из-за ошибок кодирования или проблемы с дизайном приложений. Примером атаки на DeFi может служить недавний излом Badger DAO – платформы, предоставляющей пользователям хранилища для хранения биткоинов и получения прибыли. Хакеры похитили из Badger DAO $120 млн. Один из пользователей DeFi-протокола Badger DAO потерял более $50 млн (на тот момент это составило почти 897 биткоинов).
«Отрасль быстро развивается. Учитывая, что такие приложения работают по технологии с открытым кодом, хакеры могут найти слабые места в коде», – говорит Ребекка Муди, руководитель отдела исследований Comparitech.
Что вы действительно рискуете потерять?
Взлом биржи не обязательно означает, что пользователь потеряет все свои деньги. Каждый крипто-сервис имеет разные уровни защиты от взлома. BitMart, например, обязуется покрыть все украденные активы.
По словам аналитика криптопреступности Джо Макгилла из блокчейн-компании TRM Labs, если организация не имеет возможности выплатить компенсацию пострадавшим пользователям, то все равно есть шанс, что украденные средства вернутся благодаря правоохранительным органам: например, киберподразделения уголовных расследований IRS (Служба внутренних доходов) США.
Владельцу криптовалюты следует быть готовым к тому, что он может потерять ее навсегда.
«Зачастую хакеры знают, как спрятать украденные средства, поскольку криптовалюта практически не отслеживается и легко маскируется, отмывая ее через кошельки в считанные минуты», — говорит Адам Моррис, соучредитель Crypto Head.
Как владельцы криптовалют могут оградить себя?
Эксперты говорят, что при использовании криптовалютного кошелька или биржи пользователи должны поинтересоваться компетентностью работников компании, на которую они полагаются.
«Есть ли в ней люди, ответственные за кибербезопасность? Есть ли у компании хороший опыт? Сколько у компании работников? Вы должны тщательно изучить эти вопросы», – говорит Том Робинсон.
Есть также основные меры безопасности, которые пользователи могут принять при доступе к своему крипто-счету. Эксперт по кибербезопасности Джо Макгилл рекомендует применять двухфакторную аутентификацию или аппаратные ключи, которые, по сути, являются паролями, хранящимися на автономных устройствах. Он также рекомендует применять одобрение для каждого снятия криптовалюты.
«В любом случае нет 100% гарантии избегания киберпреступности», – предупреждает Макгилл.
Другой способ защитить свои криптоактивы, по словам эксперта Адама Морриса, использовать аппаратный кошелек, известный как «холодное хранилище» (офлайн-кошелек), а не хранить криптовалюту с помощью онлайн-кошельков. Хотя этот вариант считается самым безопасным методом хранения криптовалют, но есть нюанс: он возлагает на пользователя всю ответственность за хранение частных ключей. Если эти ключи украдены или утрачены, нет организации, которая обеспечила бы техническую поддержку и решила проблему. В начале прошлого года мир облетела новость о том, как программист, владелец биткоинов, забыл пароль к своему «холодному кошельку» и потерял криптовалюты на $240 млн. Известна и другая печальная история: в 2014 году житель Великобритании, имевший в активе 10 тыс. биткоинов, он их купил еще в 2010 году, потерял их: его мать выбросила ноутбук, на котором хранились ключи от крипто-кошелька.
Автор: Наталья Сокирчук, «Главком»