5 крупнейших взломов бирж криптовалют — взломы Poloniex, Bitfinex, Mt Gox и чем помогут децентрализованные биржи? | ChainNews
Главная Трейдинг Пять крупнейших взломов криптовалютных бирж
  • 03 января 2018 12:10

    Пять крупнейших взломов криптовалютных бирж

    В этой статье расскажем о наиболее крупных кражах на криптовалютных биржах.
    Взлом сейфа

    1. Mt. Gox

    Mt. Gox – одна из первых торговых площадок на рынке криптовалют — была впервые взломана в июне 2011 г.

    Целью хакеров стал аудиторский аккаунт создателя биржи Джеда Маккалеба, который он сохранил после продажи Mt. Gox Марку Карпелесу. По условиям сделки Маккалеб имел право на часть прибыли Mt. Gox в течение полугода после ее продажи. Аудиторский доступ был нужен Джеду, чтобы следить, как соблюдаются его интересы. Тогда в результате взлома хакерам удалось продать и вывести со счетов около 500 000 BTC.

    Mt. Gox была окончательно закрыта в феврале 2014 после исчезновения из депозитария и с кошельков пользователей 850 000 BTC. По словам Марка Карпелеса, биржа была вновь атакована хакерами. Злоумышленники якобы использовали лазейку в одном из протоколов, позволявшую менять идентификаторы транзакций и таким образом дважды продавать один и тот же актив. Как позднее выяснило следствие, взлом действительно имел место. Однако украдено было всего 2000 BTC, т. е. лишь малая часть общих потерь. 200 000 BTC обнаружились в марте 2014 года. Карпелес заявил, что они хранились в электронном кошельке старого формата. Что случилось с остальными активами, установить не удалось. 650 000 BTC так и не были найдены.

    Согласно основной версии следствия, средства исчезли со счетов Mt. Gox не в 2014, а в период с июня по ноябрь 2011. Причем, по меньшей мере 80 000 BTC существовали только в виде «депозитных» средств — т.е. в качестве обязательств оператора перед клиентами (т.н. частичное резервирование).

    2. BitFloor

    В сентябре 2012 был взломан другой старожил криптовалютного трейдинга.

    31 августа «легли» серверы биржи. Владелец оператора Роман Штильман объяснил неполадки отключением электричества в датацентре и заверил пользователей, что все их средства в безопасности, а торговля скоро возобновится. Однако некоторые клиенты BitFloor получили уведомление следующего содержания: «вероятно, в результате несанкционированного доступа ваши API-ключи были скомпрометированы». Ночью 4 сентября из системы исчезли 24 000 BTC.

    Роман Штильман объяснил инцидент так: хакеры завладели незашифрованной резервной копией ключей от «горячего» кошелька, в котором хранилась основная часть средств пользователй. Копия была сделана при очередном обновлении системы.

    Штильман сообщил клиентам, что ищет возможности возместить ущерб через продажу доли сторонним инвесторам. Часть потерянных средств действительно была компенсирована, однако весной 2013 банковский оператор биржи в США ликвидировал ее счет, и BitFloor закрылась.

    3. Poloniex

    Жертвой третьего крупного взлома стал Poloniex. Атака случилась 4 марта 2014.

    Точную сумму ущерба компания не сообщает. Однако из заявлений владельца оператора Тристана Д'Агоста можно понять, что хакеры вывели со счетов около 12% от общего объема средств трейдеров или 97 BTC. Детали ограбления в изложении Д'Агоста выглядят так: Хакер обнаружил, что если одновременно разместить несколько запросов на вывод средств, они все будут обработаны примерно в одно и то же время. В результате, хотя баланс кошелька уйдет в минус, записи в реестре будут подлинными. Соответственно, запросы будут автоматически обработаны и выполнены.

    The hacker discovered that if you place several withdrawals all in practically the same instant, they will get processed at more or less the same time. This will result in a negative balance, but valid insertions into the database, which then get picked up by the withdrawal daemon.

    Скриншот с форума
    Детали ограбления в изложении Д'Агоста

    Вскоре после взлома торги на бирже были приостановлены. Оператор объявил, что счета всех пользователей будут «обрезаны» на 12.3%.

    Таким образом Poloniex распределила убытки на всех пользователей, избежав панического вывода средств, в результате которого часть трейдеров (а именно 12.3%) могла полностью лишиться своих монет. Poloniex работает по сей день. Д'Агоста заявил, что все потери были полностью компенсированы, а усовершенствованный алгоритм вывода денег не позволяет обрабатывать запросы при отрицательном балансе счета.

    Тем не менее, пользователи сообщают, что хакерские атаки на отдельные счета продолжаются:

    Источник 1:  reddit.com

    Источник 2: bitcointalk.org

    4. Bitstamp

    4 января 2015 года хакеры атаковали словенскую биткоин-биржу Bitstamp. Торги на площадке были приостановлены когда выяснилось, что был взломан один из операционных «горячих» кошельков. Хакеры похитили 19 000 BTC (на тот момент примерно $5 000 000).

    Как показало расследование, за несколько недель до инцидента многие сотрудники Bitstamp подвергались фишинговой атаке. Файлы с вредоносным ПО были умело замаскированы под личные электронные письма и сообщения в Skype. Жертвой социального инжиниринга стал сисадмин Лука Кодрич. Молодой человек загрузил файл, присланный, как он считал, организацией, в которую он собирался вступить. Вскоре после инцидента оператор заморозил транзакции, повесив на сайте следующее объявление.

    Bitstamp продолжает работать по сей день. Оператору удалось вернуть доверие пользователей, ужесточив меры безопасности: для доступа к кошельку теперь требуется мультиподпись (цифровая подпись нескольких лиц).

    5. Bitfinex

    Второе место по масштабам ущерба принадлежит Bitfinex. Нападение произошло в августе 2016 года. Сумма похищенного - 120 000 BTC (около $72 млн. на тот момент). В этот раз хакерам удалось воспользоваться уязвимостью в архитектуре системы мультиподписи. В случае Bitfinex для одобрения транзакции требовалось три ключа — два хранились у самой биржи, еще один – у компании BitGo, специализирующейся на безопасности блокчейн-платформ. Задачей BitGo было верифицировать все исходящие транзакции Bitfinex. Таким образом Bitfinex могла сократить объем средств в «холодном» хранении (на «холодных» кошельках), упростив процесс обработки заявок. Хакеры смогли обмануть алгоритмы BitGo, заставив ее одобрить списания средств. Как им удалось это сделать, так и осталось загадкой. BitGo официально сообщила, что их собственные серверы атакованы не были.

    В качестве компенсации пострадавшим пользователям Bitfinex выпустила токены, которые конвертировались в доллары согласно графику выплат. На сегодняшний день большинство инвесторов вернули потерянные средства. Bitfinex продолжает работу и числится среди лидеров объемам сделок в паре BTC/USD.

    Биржи защищаются

    Наученные горьким опытом, биржи стали гораздо серьезнее относиться к безопасности. Продвинутая защита от взломов сегодня — один из главных инструментов построения репутации. Большинство операторов используют как минимум одну, а чаще несколько антихакерских систем. Самая простая и самая распространенная — двухфакторная авторизация. Этот метод контроля широко практикуется в традиционном online-банкинге: для каждой транзакции нужно ввести одноразовый пароль, который высылается на телефон или e-mail клиента. Как показывает практика, двухфакторная авторизация — не самый надежный способ защиты: злоумышленники давно научились взламывать почтовые ящики и дублировать телефонные номера потенциальной жертвы. Более продвинутый вариант двухфакторной авторизации – специальные приложения типа Authy и Authenticator. Они блокируют доступ в систему, если логин и пароль скомпрометированы, запрашивая дополнительный код.

    Второй по популярности способ защиты — мультиподпись. Суть этого вида защиты в том, что ключей от биткоин-кошелька не один, а несколько, и они находятся у разных владельцев. Доступ к средствам можно получить только собрав все электронные подписи. Однако, как показала история со взломом Bitfinex, и система мультиподписи может дать сбой. В теории, чтобы украсть деньги, хакеры должны были вскрыть серверы обеих компаний — Bitfinex и BitGo. Как утверждает BitGo, ее «железо» взломано не было. Тем не менее, BitGo автоматически подтверждала все заявки, поступавшие от биржи, то есть от взломавшего ее хакера. Система верификации от BitGo работает и на других популярных биржах, например Kraken и BitStamp. И работает, судя по всему исправно. По крайней мере, ни о каких взломах эти операторы не сообщали. Возможно, дело не в самой мультиподписи, а в ее «кривой» установке. Как считают эксперты, мультиподпись работает только в том случае, когда все «подписанты» независимы друг от друга. В случае Bitfinex BitGo был не просто верифицирующей стороной, но и поставщиком услуг безопасности. Так или иначе, мультиподпись – не панацея и должна дополняться другими рубежами обороны, например лимитами на снятие средств и «холодными» кошельками. Мультиподпись используют Kraken, CEX.io, Bitstamp, Bitfinex, MultiSigna и многие другие биржи.

    Горячие и холодные кошельки

    Пожалуй, самый надежный способ обороны от хакерских атак — деление средств на два кошелька: «горячий» и «холодный». «Горячий» — рабочий онлайн кошелек, с которого выполняются транзакции. «Холодный» - офлайновое хранилище, где под присмотром охраны на физическом носителе хранятся основные фонды трейдеров. Кроме физической защиты (видеокамеры, вооруженная охрана, сканнер сетчатки глаза и т.п.), «холодный» кошелек может быть оснащен системой мультиподписи. Распределение денег пользователей между кошельками у каждой биржи различное. Чем больше доля в «холодном» хранилище, тем безопаснее. В идеале, все ваши монеты должны попадать в онлайн только в момент транзакции. Но полная безопасность, к сожалению, несовместима с оперативностью. Ищите идеальную для вас пропорцию.

    Замки с часовым механизмом

    Так называемые Bitcoin Vaults (биткоин клапаны) — это специальные биткоин-адреса, где монеты запираются двухступенчатым защитным механизмом с двумя разными ключами. Чтобы разблокировать средства, нужен обычный цифровой ключ. Однако полный доступ к деньгам откроется только через 24 часа. В течение этих суток любая транзакция может быть отменена введением второго ключа. Есть и еще одна степень защиты: если хакер завладел обоими ключами, биржа может «сжечь» хранившиеся в кошельке средства.

    KYC/AML

    Эти две аббревиатуры означают политики верификации пользователя. KYC (know your customer - знай своего клиента) – стандартная для финансовых учреждений процедура проверки предоставленной клиентами информации. AML (anti money laundering — соответствие законам об отмывании денег) — тоже стандартная для традиционных финансов процедура проверки источников дохода клиента.

    Многие убежденные адепты криптовалют исповедуют идеологию анонимности и децентрализации. Поэтому проверка личных данных, мягко говоря, не входит в их интересы. Однако, если оператору известны данные всех пользователей, биржевая торговля, безусловно, становится безопаснее. Криптовалютные биржи пока не обязаны принимать политики AML/KYC, но некоторые делают это добровольно. Рост бюрократического бремени с лихвой компенсирует имидж легального и надежного оператора. При этом риски минимальны: нарушив правила, оператор не обязан платить огромные штрафы, как делают традиционные финансисты.

    Приверженцам анонимной торговли нужно учесть, что любой оператор, не выполняющий нормы AML/KYC, может внезапно стать «законопослушным» и попросить предъявить документы. Так, например, случилось с BitStamp, которая безо всяких (по крайней мере официальных) запросов со стороны властей ограничила анонимный доступ к депозитам и выводу средств со счетов. А BTCChina в один прекрасный день заблокировала пользователям даже вход на свою платформу, потребовав предоставить дополнительную информацию о себе. Не соответствующие требованиям трейдеры полностью потеряли доступ к своим средствам.

    Наиболее «законопослушными» считаются две биржи — Coinbase и Bitstamp. Coinbase соблюдает все нормативные документы ЕС и США. Учетная запись пользователя регистрируется только после подтверждения личности по паспорту или водительскому удостоверению. И это еще не все: при создании кошелька оператор требует также данные кредитной карты и фото с веб-камеры. Однако регистрация кошельков на Coinbase доступна резидентам лишь 33 стран, в число которых Россия пока не входит. Торговать через эту площадку можно лишь находясь за пределами РФ, например в США или одной из стран ЕС. Пытаться обмануть оператора, используя прокси-серверы, не рекомендуется. Именно потому что Coinbase серьезно подходит к отчетности, такие попытки могут привести к безвозвратной потере средств.

    Bitstamp имеет похожую процедуру регистрации (два документа, удостоверяющих личность и подтверждение адреса проживания — копии счетов за ЖКУ). В апреле 2016 оператор получил разрешение правительства Люксембурга на деятельность на всей территории ЕС. Торговать через эту площадку из России, увы, тоже не получится, по крайней мере легальным путем — без использования прокси-серверов. Доступ на сайт Bitstamp с российских IP заблокирован в январе 2016 г (по решению Роскомнадзора).

    Список бирж, принявших политики AML/KYC:

    Страхование

    Страхование не защитит биржу от взлома, но позволит гарантированно вернуть потерянные средства клиентов. Этот способ защиты особенно распространен в Японии. Например, Mitsui Sumitomo Insurance в партнерстве с Bitflyer страхует от ущерба в результате кибер-хищений, неавторизированного доступа, сбоев торговых программ, ошибок и мошеннических действий сотрудников биржи. Сумма страховых выплат от 10 млн. иен (около $90 тыс.) до 1 млрд. иен. (около $9 млн.). Кроме Bitflyer, со страховщиками сотрудничает другой крупнейший японский оператор Coincheck. Его страховой агент гарантирует компенсацию до 1 млн. иен в случае неавторизированного доступа к учетной записи пользователя, защищенной 2-х ступенчатой аутентификацией.

    Децентрализация

    Децентрализованные биржи криптовалют — это относительно новый тип бирж. Такие площадки строятся по принципу Р2Р сети. Оператор вообще не хранит ваши коины на своих кошельках. Вместо них для транзакций используются токены-заменители или система временного депонирования с мультиподписью. Пользователи выставляют свои предложения на продажу/покупку, а алгоритм биржи ищет среди них совпадающие пары. Чтобы осуществить сделку, продавец размещает свои монеты на временном депозите. Они разблокируются после подтверждения продавцом платежа от покупателя. Деньги переводятся вне биржи любыми доступными способами (например, обычным банковским переводом).

    Второй вариант — биржа выпускает обязательства (токены) которыми обмениваются участники сделки. Когда пользователь хочет вывести свои средства с биржи, токены вновь конвертируются в криптовалюту и пересылаются владельцу.

    Выгода децентрализации состоит в том, что вы не обязаны доверять свои средства оператору. Кроме того, децентрализация позволяет сохранять относительную анонимность (если, конечно, вы не пользуетесь для расчетов банковским переводом). Кроме того, у децентрализованных бирж распределенный хостинг, а значит нет рисков «падения» сервера. Но есть у них и свои недостатки Во-первых, суммы транзакций чаще всего ограничены. Во-вторых, на них нет инструментов традиционных бирж: возможности торговать в кредит, делать ставки на рост или падение курса и т. п. К децентрализованным площадкам относятся, например, LocalBitcoins и Bitsquare.

    Аудиторы и «белые шляпы»

    Хорошим тоном среди операторов стало проводить регулярные аудиты независимыми экспертами и тестирования на проникновение (взлом). Последним занимаются этичные «белые» хакеры или «белые шляпы» (white hat). Цель белых шляп — взломать системы безопасности, чтобы найти потенциальные уязвимости, которыми могут воспользоваться «черные» шляпы, т. е. злоумышленнки. К услугам «белых» шляп прибегает, например, Kraken, о чем активно сообщает в своих рекламных коммуникациях. В качестве аудиторов биржи привлекают непререкаемых авторитетов в криптовалютных технологиях. Например, Coinbase приглашал для проверки одного из ведущих биткоин-предпринимателей, Андреаса Антонополуса. Для операторов это хороший PR-ход. Однако, служат ли такие проверки гарантией безопасности, сказать сложно. Например, обанкротившаяся в результате хакерских атак Mt. Gox в 2011 году пользовалась аудиторскими услугами не менее известного биткоин-инвестора Роджера Вера.

comments powered by HyperComments
Нас удобно читать и смотреть здесь:
Подпишитесь на интересную еженедельную рассылку:
Популярные материалы