24 сентября 2018, 14:32 Читати українською

Ограбления криптовека

«Не хочешь привлечь внимание воров, не выставляй богатство напоказ» — эта житейская мудрость основана на простом принципе: если есть деньги, найдутся и те, кто захочет их присвоить. А поскольку криптовалюты и связанные с ними активы уже давно на слуху и виду, нет ничего удивительного в том, что они привлекают внимание хакеров.

«Не хочешь привлечь внимание воров, не выставляй богатство напоказ» — эта житейская мудрость основана на простом принципе: если есть деньги, найдутся и те, кто захочет их присвоить.
Фото: ТСН

Насколько велики потери инвесторов и есть ли возможность их компенсировать? Как уберечься от хакерских атак? Чего ждать в будущем от хакеров и от криптовалютных торговых площадок? Попробуем детально разобраться в этих и некоторых других вопросах.

Как мошенники «ломают» биржи

Сообщения о том, что хакеры получили доступ к тому или иному крипторесурсу начали появляться еще на заре криптоэры, в 2010 году. Но в последнее время кибератаки на криптовалютные биржи участились настолько, что впору говорить об эпидемии. И это несмотря на то, что с начала 2018 года капитализация рынка «похудела» почти втрое по сравнению с декабрем 2017-го.

История криптовалют не исчисляется еще и десятилетием, но в ней уже есть громкие ограбления. Вот лишь некоторые:

2010 год — атака на Bitcoin

В августе 2010 года Биткойну не исполнилось и двух лет, и мало кто понимал его инвестиционную ценность. Однако желание «поковыряться» в коде кое-у-кого все же возникло. Хакер-энтузиаст использовал уязвимость в блокчейне Биткойна и создал блок транзакций, позволяющий получить… 184 миллионов BTC. И это при заявленной общей эмиссии в 21 миллион! Баг быстро устранили посредством форка, а взломщика даже не привлекли к ответственности. Да что там, «герой» так и остался неизвестным.

Да уж, сейчас эта история вызывает почти ностальгическую грусть: какие «милые» были раньше кибератаки.

2011 год — первый взлом Mt. Gox

Да-да, первый, но, увы, не последний. C японской цифровой биржей Mt. Gox связана, пожалуй, сама яркая и одновременно темная история криптовалютного мира. Многие услышали о ней лишь в 2014 году, когда после признания пропажи активов в объеме 850 000 BTC биржа была объявлена банкротом.

Но началось все еще в 2011-м. Тогда хакеры получили доступ к аудиторскому аккаунту Джеда Маккалеба и через него вывели из депозитария и со счетов клиентов 500 000 BTC. Полмиллиона биткоинов — это, конечно, много. Но в далеком 2011-м ценность этой монеты была не так уж велика, и атака не получила резонанса.

А зря. Потому что в 2014-м все стало намного печальнее. По словам Марка Карпелеса, кибермошенники нашли баг, с помощью которого один и тот же актив можно было продавать дважды. Результат — итоговый минус 850 000 BTC, огромный резонанс и подрыв доверия к криптовалютным биржам в целом.

2012 год — исчезновение 24 000 BTC с BitFloor

4 сентября прошлого года биржа BitFloor могла бы отметить печальный юбилей — пятилетие с момента взлома и утери 24 000 BTC. Если бы не закрылась в 2013-м. А дело было так. Сначала, 31 августа, серверы биржи «упали», но ее владелец Роман Штильман успокоил участников, сказав, что это всего лишь неполадки с электроснабжением.

Что оставалось хозяевам кошельков на бирже, внезапно потерявшим доступ к своим средствам? Только поверить на слово и ждать. А уже 4 сентября стало известно, что с площадки «уплыли» средства в современном эквиваленте четверти миллиона долларов.

Собственники биржи вызвались компенсировать потери своим клиентам и даже частично это обещание выполнили. Но это не спасло ресурс от закрытия — весной 2013 года ее счета были ликвидированы.

2014 год — нападение на Poloniex

В марте 2014 года руководство американской биржи Poloniex объявило, что со счетов клиентов похищены в общей сложности 12% всех биткоиновых запасов. Утечка стала возможной из-за «бреши» в коде: если сделать несколько запросов на вывод средств одновременно, все они будут обработаны, причем для каждого система будет видеть положительный баланс кошелька. Конечно, после обработки всех заявок этот баланс уйдет в минус, но какое это имеет значение, если злоумышленник уже «набил карманы»?

Компания обязалась возместить потери и выполнила свои обещания на все сто. Отчасти из собственных средств владельцев, отчасти — за счет повышения комиссий. Так или иначе, деятельность биржи не останавливалась, она действует и пользуется доверием до сих пор.

2016 год — проблемы с мультиподписью Bitfinex

В 2016-м произошло несколько крупных кибератак, и одной из самых масштабных стала атака на Bitfinex. Хакеры нашли и использовали в своих интересах уязвимость в архитектуре мультиподписи, которую обеспечивала, в том числе, компания BitGo. Именно алгоритмы BitGo и стали слабым звеном защиты, из-за которого пользователи Bitfinex не досчитались в общей сложности 120 000 BTC.

Владельцы биржи приложили немало усилий, чтобы компенсировать своим пользователям убытки, и им это удалось. Это еще одна из немногих историй, где репутация биржи была восстановлена после взлома.

2018 год — Coinchek и все-все-все

Серия кибератак 2018 года началась вскоре после новогодних праздников — в конце января с японской биржи Coincheck были похищены токены NEN, которые в сумме по курсу того времени стоили порядка 500 миллионов долларов США. На пресс-конференции руководство биржи признало, что похищенные токены хранились на горячих кошельках. Что и говорить: неосмотрительно и трагично.

Команда ресурса обязалась выплатить участникам все потери, и мероприятия по компенсации продолжаются до сих пор. Даже несмотря на то, что с апреля 2018-го Coincheck фактически перестала существовать — она перешла в собственность Monex Group.

И хотя для Coincheck атака хакеров оказалась фатальной, это событие имело эффект последней капли и повлекло за собой определенные плюсы для криптосообщества. Зревшее несколько лет недоверие к криптовалютным биржам дошло до точки кипения, и с марта 2018-го японцы «вышли на тропу войны с хакерами», создав организацию, которая объединила несколько лицензированных бирж.

Все это очень показательные, но далеко не единичные случаи хакерских атак на криптовалютные биржи. Новости о крупных и не очень крупных взломах появляются еженедельно, и возникает логичный вопрос: как защититься инвесторам?

Спасение инвестиций — дело рук самих инвестирующих?

Да, наученные опытом прошлых лет, владельцы бирж совершенствуют системы киберзащиты: улучшают программные коды, вводят двухфакторную идентификацию, выводят средства на «холодные» кошельки и предпринимают множество других мер.

Но и хакеры не сидят сложа руки и пополняют свой арсенал все более изощренными инструментами взлома. И сейчас в поле их зрения все чаще попадают не биржи в целом, а частные аккаунты. Поэтому участникам криптовалютного рынка следует проявлять повышенную осторожность: самостоятельно обеспечивать сохранность и-майлов, связанных с кошельками, надежно хранить ключи доступа и исключать утечку любой информации, связанной с криптоактивами.

И тут самое время вспомнить еще одну народную мудрость — где тонко, там и рвется.

В случае с криптовалютными торгами тонкость заключается в том, что большинство бирж работают по централизованному принципу: участники передают свои средства под контроль бирж, и, таким образом, теряют над ними единоличную власть. А это подрывает саму идею децентрализованных криптовалют. Вот почему все большую актуальность приобретает идея децентрализованных бирж.

А были ли хакеры?

Вернемся к печально известной Mt. Gox. В 2011 году создатель биржи Джед Маккалеб продал свой продукт Марку Карпелесу, но на полгода сохранил за собой аудиторский аккаунт. Чтобы следить за тем, как соблюдаются его интересы.

Как мы уже знаем, не уследил аж на 650 000 BTC.

Более того, в 2014-м году биржа была снова атакована, и счет стал 0: 850 000 BTC в пользу хакеров. Правда, потом выяснилось, что последняя атака принесла взломщикам всего 2 000 BTC, а 200 000 BTC «нашлись» на кошельках старого формата.

 Согласитесь, даже у тех, кто не верит в теорию всеобщего заговора, есть повод усомниться в прозрачности этой информации. При этом, внешне все выглядит вполне пристойно: биржа не бросила своих клиентов на произвол судьбы и обязалась компенсировать потери. Правда, по курсам 2014 года.

«Теоретически, у каждой биржи есть возможность изъять средства из оборота, свалив все на хакеров. Этот инструмент манипулирования рынком не нов и не уникален. И рядовым участникам рынка вряд ли удастся узнать, какие хакерские атаки реальны, а какие нет. Пока рынок будет оставаться нерегулируемым, каких-либо работающих методов защиты ожидать не приходится. Что от хакеров, что от нечестных действий бирж.

Остается лишь работать с учетом такой вероятности. Мы в Crypto Art рассматриваем хакерские атаки и манипуляции бирж в числе рисков рынка криптовалют и информируем об этом своих инвесторов. Чтобы минимизировать этот риск мы диверсифицируем средства по разным биржам, а также по горячим и холодным кошелькам», — делится Андрей Тонколитко, управляющий партнёр фонда доверительного управления цифровыми активами.

Статья подготовлена при содействии компании Crypto Art

Комментарии - 5

+
+15
Million Dollarov
Million Dollarov
25 сентября 2018, 6:23
#
В этом и смысл любой электронной валюты.
+
+36
Anko
Anko
25 сентября 2018, 7:53
#
К сожалению, код который пишут, программисты — и так неидеален, а тут еще стоит маркетолог торопит, т.к. надо запустится быстрее конкурентов, в результате — запуск сырого продукта… и взломы… взломы… взломы… «если сделать несколько запросов на вывод средств одновременно, все они будут обработаны, причем для каждого система будет видеть положительный баланс кошелька» — это вообще примитивная ошибка, которая показывает уровень того, кто писал код.
+
+9
Filipp Rushicki
Filipp Rushicki
25 сентября 2018, 8:11
#
Одновременные запросы — эта дыра была известна еще в начале 90-х с работой простых банков (не на территории СНГ). Удивительно, что про такую простую дыру никто не вспомнил в эру криптовалют
+
+9
Anko
Anko
25 сентября 2018, 9:12
#
Часто видел, что подобные сервисы (и биржи в том числе) организовывают любители быстрой наживы «сесть на денежный поток и отщипывать свой %», которые не могут ни людей нанять грамотных, ни бизнес-процесс организовать толковый.
+
+9
Anko
Anko
25 сентября 2018, 22:25
#
По поводу одновременных запросов вспомнил — Приват также нарвался на эту ошибку года 4-5 назад. Студенты раскололи Приват — подходили к банкомату 5 человек, все были на конференц-связи по телефону, один выбирал опцию «получить деньги без карты», ему приходил на телефон смс-код, он это код диктовал всем, все его вводили и одновременно нажимали кнопку «Выдать бабло» — оппа, и все получили деньги. Не знаю, как они обходили момент того, что на карте одного из них появлялся минус (по сути дела несанкционированный овердрафт). И что интересно, эту группу взяли менты и сообщили об их схеме Привату.
Чтобы оставить комментарий, нужно войти или зарегистрироваться