24 вересня 2018, 14:32 Читать на русском

Пограбування криптостоліття

«Не хочеш привернути увагу злодіїв, не виставляй багатство напоказ» — ця життєва мудрість заснована на простому принципі: якщо є гроші, знайдуться і ті, хто захоче їх привласнити. А оскільки криптовалюти та пов'язані з ними активи вже давно на слуху та виду, немає нічого дивного в тому, що вони привертають увагу хакерів.

«Не хочешь привлечь внимание воров, не выставляй богатство напоказ» — эта житейская мудрость основана на простом принципе: если есть деньги, найдутся и те, кто захочет их присвоить.
Фото: ТСН

Наскільки великі втрати інвесторів і чи є можливості їх компенсувати? Як уберегтися від хакерських атак? Чого чекати в майбутньому від хакерів та від криптовалютних торгівельних майданчиків? Спробуємо детально розібратися в цих та деяких інших питаннях.

Як шахраї «ламають» біржі

Повідомлення про те, що хакери отримали доступ до того чи іншого крипторесурсу почали з'являтися ще на зорі криптоери, у 2010 році. Але останнім часом кібератаки на криптовалютні біржі почастішали настільки, що саме час говорити про епідемію. І це незважаючи на те, що з початку 2018 року капіталізація ринку «схудла» майже втричі в порівнянні з груднем 2017-го.

Історія криптовалют не обчислюється ще і десятиліттям, але в ній вже є гучні пограбування. Ось лише деякі:

2010 рік — атака на Bitcoin

У серпні 2010 року Біткойну не виповнилося й двох років, і мало хто розумів його інвестиційну цінність. Однак бажання «поколупатися» в коді у декого все ж виникло. Хакер-ентузіаст використав уразливість в блокчейні Біткойна і створив блок транзакцій, що дозволяє отримати… 184 мільйонів BTC. І це при заявленій загальній емісії в 21 мільйон! Баг швидко усунули за допомогою форка, а зломщика навіть не притягнули до відповідальності. Та що там, «герой» так і залишився невідомим.

Що й казати, зараз ця історія викликає майже ностальгічний смуток: які «милі» були раніше кібератаки.

2011 рік — перший злом Mt. Gox

Так-так, перший, але, на жаль, не останній. З японською цифровою біржею Mt. Gox пов'язана, мабуть, найяскравіша й одночасно темна історія криптовалютного світу. Багато хто почув про неї лише у 2014 році, коли після визнання зникнення активів в обсязі 850 000 BTC біржа була оголошена банкрутом.

Але почалося все ще у 2011-му. Тоді хакери отримали доступ до аудиторського аккаунту Джеда Маккалеба і через нього вивели з депозитарію і з рахунків клієнтів 500 000 BTC. Півмільйона біткоїнів — це, звичайно, багато. Але в далекому 2011-му цінність цієї монети була не так вже й велика, і атака не отримала резонансу.

А дарма. Тому що у 2014-му все стало набагато сумніше. За словами Марка Карпелеса, кіберзлодії знайшли баг, за допомогою якого один і той же актив можна було продавати двічі. Результат — підсумковий мінус 850 000 BTC, величезний резонанс і підрив довіри до криптовалютних бірж в цілому.

2012 рік — зникнення 24 000 BTC з BitFloor

4 вересня минулого року біржа BitFloor могла б відзначити сумний ювілей — п'ятиріччя з моменту злому і втрати 24 000 BTC. Якби не закрилася у 2013-му. А справа була так. Спочатку, 31 серпня, сервери біржі «впали», але її власник Роман Штільман заспокоїв учасників, сказавши, що це всього лише несправність електропостачання.

Що залишалося господарям гаманців на біржі, які раптово втратили доступ до своїх коштів? Тільки повірити на слово і чекати. А вже 4 вересня стало відомо, що з майданчика «упливли» кошти в сучасному еквіваленті чверті мільйона доларів.

Власники біржі зголосилися компенсувати втрати своїм клієнтам і навіть частково цю обіцянку виконали. Але це не врятувало ресурс від закриття — навесні 2013 року її рахунки були ліквідовані.

2014 рік — напад на Poloniex

У березні 2014 року керівництво американської біржі Poloniex оголосило, що з рахунків клієнтів викрадені в цілому 12% всіх біткоїнових запасів. Відтік став можливим через «дірки» в коді: якщо зробити кілька запитів на виведення коштів одночасно, всі вони будуть оброблені, причому для кожного система буде бачити позитивний баланс гаманця. Звичайно, після обробки всіх заявок цей баланс піде в мінус, але яке це має значення, якщо зловмисник вже «набив кишені»?

Компанія зобов'язалася відшкодувати втрати і виконала свої обіцянки на всі сто. Частково з власних коштів власників, частково — за рахунок підвищення комісій. Так чи інакше, діяльність біржі не зупинялася, вона діє і користується довірою й досі.

2016 рік — проблеми з мультипідписом Bitfinex

У 2016-му відбулося декілька великих кібератак, і однією з наймасштабніших стала атака на Bitfinex. Хакери знайшли і використали у своїх інтересах вразливість в архітектурі мультипідпису, яку забезпечувала, в тому числі, компанія BitGo. Саме алгоритми BitGo і стали слабкою ланкою захисту, через яку користувачі Bitfinex не дорахувалися в цілому 120 000 BTC.

Власники біржі доклали чимало зусиль, щоб компенсувати своїм користувачам збитки, і їм це вдалося. Це ще одна з небагатьох історій, де репутація біржі була відновлена ​​після злому.

2018 рік — Coinchek та всі-всі-всі

Серія кібератак 2018 року почалася незабаром після новорічних свят — в кінці січня з японської біржі Coincheck були викрадені токени NEN, які в сумі за курсом того часу коштували близько 500 мільйонів доларів США. На прес-конференції керівництво біржі визнало, що викрадені токени зберігалися на гарячих гаманцях. Що й казати: необачно і трагічно.

Команда ресурсу зобов'язалася виплатити учасникам всі втрати, і заходи щодо компенсації тривають досі. Навіть незважаючи на те, що з квітня 2018-го Coincheck фактично перестала існувати — вона перейшла у власність Monex Group.

І хоча для Coincheck атака хакерів виявилася фатальною, ця подія мала ефект останньої краплі і спричинила певні плюси для криптотовариства. Недовіра, що визрівала кілька років, до криптовалютних бірж дійшла до точки кипіння, і з березня 2018-го японці «вийшли на стежку війни з хакерами», створивши організацію, яка об'єднала декілька ліцензованих бірж.

Все це дуже показові, але далеко не поодинокі випадки хакерських атак на криптовалютні біржі. Новини про великі і не дуже великі зломи з'являються щотижня, і виникає логічне запитання: як захиститися інвесторам?

Порятунок інвестицій — справа рук самих інвестуючих?

Так, навчені досвідом минулих років, власники бірж вдосконалюють системи кіберзахисту: покращують програмні коди, вводять двофакторну ідентифікацію, виводять кошти на «холодні» гаманці та роблять безліч інших заходів.

Але і хакери не сидять склавши руки і поповнюють свій арсенал все більш витонченими інструментами злому. І зараз в поле їх зору все частіше потрапляють не біржі в цілому, а приватні акаунти. Тому учасникам криптовалютного ринку слід проявляти підвищену обережність: самостійно забезпечувати збереження і-майлів, пов'язаних з гаманцями, надійно зберігати ключі доступу і виключати витік будь-якої інформації, пов'язаної з криптоактивами.

І тут саме час згадати ще одну народну мудрість — де тонко, там і рветься.

У випадку з криптовалютними торгами тонкість полягає в тому, що більшість бірж працюють за централізованим принципом: учасники передають свої кошти під контроль бірж, і, таким чином, втрачають над ними одноосібну владу. А це підриває саму ідею децентралізованих криптовалют. Ось чому все більшої актуальності набуває ідея децентралізованих бірж.

А чи були хакери?

Повернемося до сумнозвісної Mt. Gox. У 2011 році творець біржі Джед Маккалеб продав свій продукт Марку Карпелесу, але на півроку зберіг за собою аудиторський аккаунт. Щоб стежити за тим, як дотримуються його інтереси.

Як ми вже знаємо, не догледів аж на 650 000 BTC.

Більш того, у 2014-му році біржа була знову атакована, і рахунок став 0: 850 000 BTC на користь хакерів. Правда, потім з'ясувалося, що остання атака принесла хакерам всього 2 000 BTC, а 200 000 BTC «знайшлися» на гаманцях старого формату.

Хм… Погодьтеся, навіть у тих, хто не вірить в теорію загальної змови, є привід засумніватися у прозорості цієї інформації. При цьому, зовні все виглядає цілком пристойно: біржа не кинула своїх клієнтів напризволяще і взяла на себе зобов'язання компенсувати втрати. Правда, за курсами 2014 року.

«Теоретично, у кожної біржі є можливість вилучити кошти з обороту, зваливши все на хакерів. Цей інструмент маніпулювання ринком не новий і не унікальний. І рядовим учасникам ринку навряд чи вдасться дізнатися, які хакерські атаки реальні, а які ні. Доки ринок буде залишатися нерегульованим, будь-яких працюючих методів захисту очікувати не доводиться. Що від хакерів, що від нечесних дій бірж.

Залишається лише працювати з урахуванням такої ймовірності. Ми в Crypto Art розглядаємо хакерські атаки і маніпуляції бірж в числі ризиків ринку криптовалют та інформуємо про це своїх інвесторів. Щоб мінімізувати цей ризик ми диверсифікуємо кошти по різних біржах, а також по гарячих та холодних гаманцях», — ділиться Андрій Тонколітко, керуючий партнер фонду довірчого управління цифровими активами.

Стаття підготовлена ​​за сприяння компанії Crypto Art

Коментарі - 5

+
+15
Million Dollarov
Million Dollarov
25 вересня 2018, 6:23
#
В этом и смысл любой электронной валюты.
+
+36
Anko
Anko
25 вересня 2018, 7:53
#
К сожалению, код который пишут, программисты — и так неидеален, а тут еще стоит маркетолог торопит, т.к. надо запустится быстрее конкурентов, в результате — запуск сырого продукта… и взломы… взломы… взломы… «если сделать несколько запросов на вывод средств одновременно, все они будут обработаны, причем для каждого система будет видеть положительный баланс кошелька» — это вообще примитивная ошибка, которая показывает уровень того, кто писал код.
+
+9
Filipp Rushicki
Filipp Rushicki
25 вересня 2018, 8:11
#
Одновременные запросы — эта дыра была известна еще в начале 90-х с работой простых банков (не на территории СНГ). Удивительно, что про такую простую дыру никто не вспомнил в эру криптовалют
+
+9
Anko
Anko
25 вересня 2018, 9:12
#
Часто видел, что подобные сервисы (и биржи в том числе) организовывают любители быстрой наживы «сесть на денежный поток и отщипывать свой %», которые не могут ни людей нанять грамотных, ни бизнес-процесс организовать толковый.
+
+9
Anko
Anko
25 вересня 2018, 22:25
#
По поводу одновременных запросов вспомнил — Приват также нарвался на эту ошибку года 4-5 назад. Студенты раскололи Приват — подходили к банкомату 5 человек, все были на конференц-связи по телефону, один выбирал опцию «получить деньги без карты», ему приходил на телефон смс-код, он это код диктовал всем, все его вводили и одновременно нажимали кнопку «Выдать бабло» — оппа, и все получили деньги. Не знаю, как они обходили момент того, что на карте одного из них появлялся минус (по сути дела несанкционированный овердрафт). И что интересно, эту группу взяли менты и сообщили об их схеме Привату.
Щоб залишити коментар, потрібно увійти або зареєструватися
 
Реклама