ENGЗа последние 7 лет криптобиржи, криптовалютные платформы и ICO по всему миру подверглись 56 атакам, ущерб от которых оценивается в $1,63 млрд. Такие цифры аналитической компании Autonomous Research приводит издание The Wall Street Journal (WSJ). Кстати, одна из последних атак и вовсе состоялась 9 июля — хакеры украли $23,5 млн в различных криптовалютах у платформы Bancor. Больше других кибербандитов влечет азиатский рынок — прежде всего как наиболее горячий на мировой криптокарте (по данным CoinMarketCap, сегодня в мире работает 205 криптобирж, многие из которых как раз базируются в Азии). Так, четыре из семи хакерских атак в этом году случились именно в этом регионе, а объем потерь уже превысил $800 млн. Самыми масштабными стали атаки на криптобиржи Японии: сначала в 2014 г. на Mt.Gox, а затем, в январе 2018 г., на Coincheck. И это, похоже, далеко не предел.
Лакомый актив
Почему хакерские атаки на криптобиржи продолжают происходить? Дело в недостаточном уровне защищенности, что делает биржи легкими объектами для взлома, утверждает WSJ. Однако проблема не только в этом. В отличие от фондовых бирж, которые фактически не хранят ценные бумаги инвесторов, многие криптовалютные биржи не просто взимают плату за торговлю, но и хранят валюты клиентов. Ну и, конечно же, практика работы их пока еще не соответствует регуляторным нормам и практикам, принятым в традиционном финансовом секторе. Например, обращает внимание WSJ, по итогам инспекции 21 криптобиржи в Южной Корее в начале 2018 г. обнаружилось, что ни одна из компаний не соответствовала всем 85 проверочным стандартам. Учитывая проблемы в законодательстве, обеспечение безопасности попросту не входит в число приоритетов для игроков рынка.
«Криптобиржи становятся легкой добычей для киберпреступников, их взлом требует минимальных затрат, при этом дает максимальную отдачу в случае успеха», — заявил WSJ президент BLAKFX Роберт Статик.
В России с ним, похоже, согласны. Число атак на криптобиржи будет расти, считает CEO Digital Finance Виталий Цигулев, ведь на счетах площадок хранятся десятки и сотни миллионов долларов, растут биржи очень быстро, не всегда успевая выполнить стандартные требования по безопасности. В такой ситуации к атакам подключаются самые профессиональные и опытные хакеры.
«Чтобы украсть деньги из банка, нужна целая преступная группа с десятком ролей. В случае с криптобиржей хакеру нужен лишь доступ к приватному ключу, обычно это небольшой файл с текстом. Забот гораздо меньше, чем с банками», — говорит Виталий Цигулев.
При этом интерес хакеров к криптовалютам не снизится, даже если курсы рухнут.
«Криптовалюты — наиболее простой и доступный способ кражи денег. Чтобы украсть биткоины, не нужно грабить банк, достаточно добыть приватный ключ от кошелька», — полагает руководитель отдела исследований безопасности веб-приложений Positive Technologies Арсений Реутов.
К тому же похитить криптовалюту можно сравнительно анонимно. При взломе онлайн-банкинга за дело возьмется служба безопасности банка, а при краже токенов жертве обратиться попросту некуда.
«Новые атаки неизбежно будут происходить по мере того, как хакеры обнаруживают новую ранее неизвестную незащищенность кода. Пример Parity, по мнению многих, является как раз таким поиском — исследователь не смог воспользоваться открывшейся пробоиной в собственных интересах, но тем не менее нанес вред системе. Можно с уверенностью сказать, что этим рискам подвержены многие новые биржи, не имеющие серьезной технологической экспертизы и квалифицированных специалистов по безопасности», — говорит основатель криптобиржи Cobinhood Попо Чен.
Децентрализация не выход?
Возможно, выходом из ситуации с нарастающим числом хакерских атак могли бы стать биржи нового типа, а именно децентрализованные. Пока они составляют небольшой процент от общего объема торгов, однако будущее за ними. В качестве примера WJ приводит стартап RadarRelay.
Если в случае с классическими централизованными биржами код на бэкенд-сервере выполняет все операции от лица пользователей биржи, объясняет Арсений Реутов, то децентрализованные (или DEX) биржи работают с помощью смарт-контрактов, а пользователь сам контролирует свой приватный ключ. Так что ситуация, когда, к примеру, приватные ключи от кошельков хранятся на сервере самой же биржи, попросту исключена.
«Мы обсуждаем торговлю децентрализованными активами. Сейчас для торговли используются централизованные площадки, это неправильно. Хотя децентрализованные биржи только набирают популярность, в будущем они станут превалировать», — говорит Виталий Цигулев.
Он напоминает, что у Waves уже разработана децентрализованная биржа с простым и понятным интерфейсом — DEX.
Еще одним фундаментальным, хотя и не технологическим требованием является координация действий всех «белых» игроков на рынке — в рамках обмена информацией и сведениями о новых способах защиты, обнаруженных уязвимостях и противодействию атакам.
«Так, после взлома системы Bancor она обратилась к основным биржам с просьбой затруднить вывод и использование украденных средств. Это хороший пример того, как должно осуществляться сотрудничество легальных участников рынка против хакеров», — напоминает Попо Чен.
Другое дело, что и децентрализованные биржи имеют свои риски: к примеру, уязвимости может содержать сам смарт-контракт, что и приведет к краже токенов. Арсений Реутов напоминает о ситуации с биржей Bancor, которая оказалась подвержена уязвимости front-running, что в биржевой терминологии имеет эквивалент «опережающая сделка». Суть понятия в том, что инвестор может недобросовестно воспользоваться информацией о предстоящей крупной сделке в собственных интересах и совершить свою с целью получения выгоды. В блокчейне такая ситуация более чем возможна, так как открыты все сделки: даже те, которые будут в скором времени совершены, но еще не подтверждены в блокчейне.
«В Bancor такой риск недооценили, хотя, как показала практика, front-running оказался более чем возможным», — говорит Арсений Реутов.
Уязвимым может оказаться и веб-интерфейс биржи, что позволит злоумышленнику провести атаку с помощью межсайтового скриптинга. В сентябре 2017 г. неизвестным удалось похитить у пользователей децентрализованной биржи EtherDelta криптовалюту на десятки тысяч долларов из-за XSS (тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода) на веб-сайте биржи, напоминает Реутов.
Подрывают доверие
Помимо прямого ущерба владельцам криптоактивов, хакерские атаки негативно сказываются на доверии к развивающейся криптоиндустрии.
«Атаки плохо отражаются на пользователях и биржах, они попросту ужасны с точки зрения доверия в отрасли», — цитирует WSJ доцента финансов Университета Вилланова Джона Седунова.
Для обывателя, не знакомого с принципами работы криптовалют или блокчейна, уязвимость одного из сервисов вызывает недоверие ко всей индустрии, согласен CEO CryptoTechnology Антон Собин.
«Человеку сложно принять тот факт, что блокчейн является одной из самых безопасных технологий. Когда репутация подорвана, объяснять разницу между централизованными системами и децентрализованными становится гораздо сложнее», — уточняет он.
Виталий Цигулев согласен:
«Когда атаки успешны, они наносят очень большой ущерб индустрии, ведь в большинстве случаев украденная валюта выбрасывается на рынок и рушит курс, а обворованные пользователи теряют деньги и ничего не могут с этим поделать».
Другое дело, что от атак вполне можно защититься, особенно если речь идет не о самих биржах, которым в любом случае предстоит серьезно потратиться на развитие инфраструктуры и кибербезопасность.
«Заведите криптокошелек, подключите двухфакторную аутентификацию и не храните средства на биржах. Лучшее решение — вывести средства на холодный кошелек. Если вы все же храните деньги на биржах, например занимаетесь трейдингом, то как минимум не держите все на одной площадке», — резюмирует Антон Собин.
«Вы не должны хранить криптовалюту на централизованых сервисах. Криптовалюта всегда должна находиться на вашем кошельке, доступ и приватный ключ от которого есть только у вас, — объясняет Виталий Цигулев. — Поэтому если вам нужно поменять одну криптовалюту на другую, вы заводите валюту на биржу, меняете и сразу выводите на свой кошелек».
Автор: Ольга Блинова
