8 способов убедиться, что система безопасности действительно делает вашу криптобиржу безопасной
Безопасность криптобиржи
Биткоин появился на цифровом рынке 12 лет назад и сейчас является самой известной и устойчивой криптовалютой в мире. За это время были представлены тысячи других криптовалют, а киберпреступники украли у пользователей и бирж активов на миллионы долларов США.
В то время как рынок цифровых денег растет с каждым днем, бо́льшие объемы криптовалюты требуют бо́льшей ответственности и, следовательно, бо́льшей безопасности. Это относится как к пользователям, так и к биржам. Если работы по улучшению безопасности в криптосфере будут остановлены, то массового внедрения криптовалюты не произойдет из-за боязни и недоверия пользователей. Практически каждую неделю появляется информация об утечке личных данных или взломе бирж.
Взлом криптобиржи — выгодное мероприятие для киберпреступников. И не только по той причине, что бирж становится все больше, а потому что они концентрируют значительные суммы денег. Почему бы кому-то не захотеть стать миллионером в одночасье, просто обнаружив брешь в системе безопасности на одной из криптобирж?
А если серьезно, киберпреступники появились практически сразу после создания Интернета. Поэтому очевидно, что криптоиндустрия, для которой характерны значительные обороты денежных средств, также попала под прицел хакеров.
В предыдущей статье мы рассказывали о разработке криптовалютной биржи и ее высокой стоимости. Что же касается безопасности, то владельцу биржи придется позаботиться о множестве вещей, включая сохранность данных и средств клиентов.
Вероятно, главный вопрос, который задает себе каждый новичок, звучит так: “Достаточно ли безопасно оперировать деньгами и криптовалютами на бирже?”
Три крупнейших взлома криптобирж (и еще один, о котором нужно упомянуть)
С того момента, как Биткоин начал торговаться на бирже, были попытки его украсть. Любая материальная ценность вызывает корыстные побуждения, и чем большей суммой денег она оценивается, тем более изощренными становятся киберпреступники и мошенники.
На сегодняшний день насчитывается около 300 криптобирж, при этом запускаются новые. За последние годы произошла дюжина утечек и взломов, но давайте рассмотрим самые значительные из них с точки зрения нанесенных убытков и полученной огласки.
1. Coincheck – 534 миллионов долларов США
Японская криптобиржа Coincheck была взломана в начале 2018 года. Злоумышленники украли более 534 миллионов долларов США в криптовалюте NEM, которая в те дни находилась в ТОП 10 согласно рейтингу CMC. Это произошло потому, что все 523 миллиона токенов NEM хранились в одном горячем кошельке без мультиподписи! Вероятнее всего, хакеры отправили вредоносное ПО сотрудникам Coincheck и получили удаленный доступ к системе.
2. Mt.Gox – 450 миллионов долларов США
Криптобиржу Mt.Gox ограбили дважды. В 2011 году они потеряли 80 000 BTC. Но вторая кража в 2014 году была еще более значительной, потому что стоимость биткоинов выросла, и хакеры украли 850 000 BTC, что составляет около 29 миллиардов долларов США по сегодняшней цене! Хакеры получили доступ к незашифрованному файлу wallet.dat, в котором хранились приватные ключи к средствам криптобиржи.
3. BitGrail – 170 миллионов долларов США
Итальянская криптобиржа BitGrail была взломана в начале 2018 года, когда на тот момент было украдено 17 миллионов монет NANO на сумму 170 миллионов USD. Это произошло по причине двух основных факторов уязвимости. Код проверки (JavaScript) был изменен таким образом, чтобы сделать возможным вывод средств, превышающий баланс счета. Вторая причина заключалась в том, что пользователи могли снимать средства, используя баланс счета другого пользователя, из-за уязвимости прав доступа.
Еще один важный случай: Binance
Этот случай примечателен не с точки зрения украденных средств, сколько значим из-за главного действующего лица. Binance — это крупнейшая и, вероятно, самая безопасная криптобиржа на сегодняшний день, и тем не менее злоумышленникам удалось преодолеть ее меры безопасности. В мае 2019 года посредством вредоносного ПО хакеры украли около 7000 BTC и данные KYC от 60 тысяч пользователей. Как мы видим, даже самые крупные и защищенные биржи не смогли избежать уязвимостей в своей системе безопасности!
Самые популярные способы взлома криптобиржи
Помимо упомянутых выше случаев, нарушения безопасности все еще остаются распространенным явлением. У хакеров есть несколько вариантов внедрения вредоносного кода в криптовалютную биржу. Порталом может служить любое устройство с доступом к конфиденциальным данным — компьютер одного из сотрудников или сервер. Давайте рассмотрим самые популярные методы взлома.
-
Взлом приложения
Есть несколько вариантов доступа к криптовалютной бирже: через веб-браузер, через настольное или мобильное приложение. Все они имеют свои уязвимые места. Самыми популярными способами атаки на канал связи между биржей и конечным пользователем являются вредоносное ПО, фишинг, кейлоггеры, DDoS-атаки, атаки кликджекинг (ClickJacking) и Watering hole, атаки подслушиванием (Eavesdropping) или кражи файлов cookies. Цель любой биржи — выявить потенциальные атаки и подготовиться к ним.
Взлом горячих кошельков
Взлом горячего кошелька или нескольких горячих кошельков на криптобирже — самый простой способ получения доступа к криптоактивам. Не в том смысле, что взломать биржу или ее сервер несложно, а в том, что как только хакер получит доступ к этим горячим кошелькам, средства могут быть перемещены куда угодно.
Давайте вернемся на время к конкретным взломам, которые были описаны ранее в данной статье. Ведь важный урок для всех новых бирж был извлечен из предыдущих неудач. Вспомним, сколько времени потребовалось Mt.Gox, чтобы понять, что их активы больше не находятся в их горячих кошельках — несколько месяцев! На сегодняшний день такая ситуация не представляется возможной — о пропаже узнали бы в течение нескольких дней или максимум недель.
Подробнее о незащищенности горячих кошельков вы можете прочитать в ниже следующем разделе.
Взлом посредством социальной инженерии
Социальная инженерия — один из способов получения конфиденциальных данных или доступа к ним. Как правило, это делается путем выдачи себя за надежный источник — какого-либо сотрудника с общедоступными данными.
Злоумышленник обычно отправляет сотруднику криптобиржи файл с расширением .doc, .dot или .exe с некоторой соответствующей информацией или даже именем человека, с которым данный сотрудник ранее общался. После открытия файла устройство пользователя подвергается воздействию вредоносного ПО. Единственной эффективной защитой в данном случае может являться информирование сотрудников бирж о новых потенциальных угрозах.
Как защитить криптобиржу от атак хакеров
Если вы являетесь владельцем криптобиржи или раздумываете о ее создании, вам следует ознакомиться с рекомендациями по безопасности, которые помогут надежно сохранить ваши средства и вложения ваших клиентов. Давайте рассмотрим восемь способов по защите криптобиржи.
1. Хранение в холодных кошельках
Самый безопасный способ хранения криптовалют с точки зрения пользователя — аппаратный кошелек, например Trezor или Ledger. Поскольку закрытые или приватные ключи хранятся на устройстве в автономном режиме, а не в сети, мы называем данный способ холодным хранилищем. Противоположным способом такому хранению является горячий кошелек, где криптовалюта хранится онлайн и всегда готова к использованию.
Но как защитить криптобиржу?
Помните в начале данной статьи мы обсудили криптобиржу Coincheck, которая потеряла свыше 500 миллионов долларов США из-за использования одного горячего кошелька для хранения всех токенов NEM? Этого бы никогда не произошло, если бы Coincheck использовала комбинацию из горячих и холодных кошельков, или, по крайней мере, такой способ хранения минимизировал бы понесенные убытки. Взлом сервера криптобиржи может поставить под угрозу активы клиентов, если все средства хранятся в горячих кошельках.
Хотя блокчейн является полностью прозрачной технологией, злоумышленники могут наблюдать и отслеживать с помощью анализа блокчеин-транзакций, какие кошельки используются как горячие, а какие — как холодные. Биржи также могут использовать кошельки с предварительным охлаждением и предварительным нагревом для повышения уровня криптобезопасности.
Холодные кошельки должны хранить большинство криптовалют, потому что они не подключены напрямую к Интернету.
Горячие кошельки могут служить в качестве ликвидных средств для операций на криптобирже, которые могут быть достаточно быстро выведены со счета.
Некоторые биржи, такие как KuCoin, также разделили активы в интерфейсе клиента. Пользователи могут хранить криптовалюту как на основном счете, так и на торговом счете. Хотя основной счет служит для пополнения и снятия средств, важно получать эти средства более ликвидным способом, например, с помощью горячего кошелька, при этом торговый счет определяется как пул ликвидности для криптотранзакций и торговли. До тех пор, пока криптоактивы не будут перенесены с торгового счета на основной счет, они не могут быть выведены, а это значит, что бирже не нужно хранить активы в горячем хранилище, пока они находятся на торговом счете клиента.
2. Двухфакторная аутентификация
Двухфакторная аутентификация является обязательной в сфере криптовалют по соображениям безопасности. Некоторые биржи используют не просто двухфакторную, а даже трехфакторную и даже более многоступенчатую аутентификацию. Пароли защищают счета до тех пор, пока не будут взломаны. Взлом может быть связан с некомпетентностью пользователя, установившего слабый пароль или одинаковую комбинацию для нескольких учетных записей. Для доступа к пользовательским паролям хакеры могут применять такие методы, как использование клавиатурных шпионов или рассылка шпионского ПО. Как только злоумышленник получит пароль, он воспользуется им в своих корыстных целях в подходящий момент.
Многофакторная аутентификация — это второй уровень безопасности после пароля, запрашиваемый при входе в систему или снятии средств. Двухфакторная аутентификация может принимать форму СМС, высылаемого на номер телефона пользователя, или электронного письма. Популярным способом аутентификации является использование специальных мобильных приложений, таких как Google Authenticator или Authy, которые создают уникальный числовой код, действительный в течение определенного времени.
Использование многофакторной аутентификации, которая дополнительно защищает ваш счет и криптоактивы, является важной мерой безопасности.
3. Учетная запись, привязанная к определенному IP-адресу
Эта мера безопасности имеет отличия в использовании, но она также способствует уменьшению числа атак злоумышленников. Если учетная запись на криптовалютной бирже привязана к одному или нескольким IP-адресам, обойти ее будет намного сложнее.
Большинство бирж отслеживают IP-адреса, которые пользователи используют для входа в криптобиржу, но такой мониторинг осуществляется только в информационных целях для получения данных о пользователе и его предыдущей активности. При этом биржи не уведомляют пользователей о подозрительных событиях, а оставляют это под ответственность клиента – контролировать свою деятельность и замечать сомнительные изменения.
Но появляются биржи, которые начинают информировать пользователей при помощи уведомлений в случае любого подозрительного доступа к их учетной записи, например, из какого-либо неизвестного географического месторасположения или с использованием другого/нового устройства или браузера.
4. Уведомление о выводе средств
Еще одна важная мера безопасности — это информирование пользователя об операции по выводу средств.
Этот шаг может проинформировать владельца счета в нужный момент, когда хакер пытается перевести криптоактивы на контролируемый им адрес.
Крупные криптобиржи отправляют уведомления не только о снятии криптовалюты, но и совершаемых депозитах. Это помогает клиентам пресекать любые нежелательные действия на счету.
Некоторые биржи не просто отправляют уведомление по электронной почте о выводе средств, а позволяют пользователю прямо в письме активировать или подтвердить отмену транзакции или даже приостановку действия учетной записи, если по счетам были замечены подозрительные движения.
5. Блокировка выводов средств после изменения учетных данных
Типичным методом работы хакера является изменение данных учетной записи пользователя, таких как адрес электронной почты или номер телефона. Как только злоумышленник получит доступ к учетной записи, он должен быть уверен, что может подтвердить возможный вывод средств при помощи контролируемого номера телефона или электронной почты.
Блокировка снятия средств на несколько дней или даже одну-две недели после изменения некоторых настроек счета помогает криптобирже предотвращать типичные атаки хакеров. Если кибератака произведена успешно, взломанный пользователь не будет знать об этом, как минимум до момента подтверждения снятия средств.
6. Отдел по борьбе с мошенничеством
Отдел по борьбе с мошенничеством — одна из наиважнейших сфер в компании. Наличие такого отдела, особенно для крупных компаний и криптобирж, очень полезно для предотвращения и выявления любых нарушений. Все сотрудники биржи должны знать об обнаружении и устранении попытки мошенничества еще до того, как оно произойдет. Таким образом, обучение персонала — один из значимых шагов по обеспечению безопасности бизнеса.
С другой стороны, помимо практических преимуществ, компания с отдельным отделом по борьбе с мошенничеством, сигнализирует клиентам и акционерам о том, что она серьезно относится к борьбе с киберпреступностью.
7. Фонды страхования клиентов
Средства, хранящиеся на бирже, можно застраховать двумя способами. Первый способ — при помощи внешней страховой компании, а второй — поддержать их внутренними инструкциями или нормативными актами. Это необходимо для того, чтобы покрывать убытки клиентов в случае потери или кражи активов. В противном случае все может закончиться крахом бизнеса.
Возможно, вам попадался на глаза твит генерального директора Binance Чанпэна Чжа (Changpeng Zhao (CZ)): “Funds are safu”? Что вы думаете об этом? Он ошибся в написании слова «безопасный» (safe)?
Никакой ошибки не было. 14 июля 2018 года одна из крупнейших криптобирж Binance создала фонд безопасных активов для пользователей (Secure Asset Fund for Users, сокращенно SAFU), в котором они хранят 10% комиссий от торговли для защиты пользователей Binance и их криптоактивов.
Позже, в мае 2019 года, как мы уже упоминали ранее, Binance была взломана на 7 000 BTC. Благодаря созданному фонду (SAFU) они смогли покрыть потерянные активы их клиентов.
С этого момента, когда вы вновь услышите или прочитаете фразу “funds are safu”, вы вспомните, что подразумевается фонд страхования клиентов.
8. Аудит информационной безопасности криптобиржи
Аналогично фондам страхования клиентов периодические аудиты безопасности криптобиржи помогают достичь две основные цели. Аудит может не только выявить слабые места в безопасности криптовалютной биржи, но и укрепить доверие инвесторов и повысить юридическую определенность. Аудит также играет важную роль во многих юрисдикциях в соблюдении нормативно-правовой базы. Для получения большего доверия со стороны клиентов возможность для отмывания денег и всех видов мошенничества должна быть сведена к минимуму.
Ранее скомпрометированные биржи и их небрежный подход продемонстрировали всем важность аудита информационной безопасности, потому что во многих случаях было обнаружено отсутствие как внутреннего, так и внешнего контроля.
Существует множество различных типов аудитов, но для бизнеса, связанного с криптобиржей, наиболее актуальными являются аудиты системного и организационного контроля (SOC), поскольку они используются для независимого выявления потенциальных рисков и информирования клиентов о том, что компания позаботилась о внутреннем контроле и эффективных решениях.
Аудит SOC 1
Аудит SOC 1 ориентирован на внутренний контроль, связанный с финансовой отчетностью (ICFR). Задача отчетов SOC 1 информировать клиентов о мерах по выявлению и устранению рисков того, что предоставляемые услуги не окажут негативного влияния на средства клиента.
Аудит SOC 2
Аудит SOC 2 информирует об ИТ-безопасности в следующих категориях: безопасность, конфиденциальность, целостность обработки, секретность информации и доступность. Проверенные компании могут выбрать какую-либо категорию, несколько категорий или все категории безопасности. Отчет SOC 2 важен для соответствия критериям безопасности сделок (Trust Services Criteria), требуемых Американским институтом сертифицированных общественных бухгалтеров (AICPA).
Аудит SOC 3
Аудит SOC 3 не так уж часто используется компаниями. По сравнению с аудитом SOC 2, SOC 3 не включает подробное описание и результаты контроля.
SOC для аудита кибербезопасности
SOC для кибербезопасности — один из новых вариантов, обычно используемых компаниями, которым нужен формализованный способ предоставления доказательств и отчетов о своей программе управления рисками кибербезопасности.
Узнайте подробнее о технологиях безопасности, используемых в разработках WLGlobal, изучив страницу решения для криптобиржи под ключ.
Заключение
Процветающий бизнес по ведению криптовалютной биржи может основываться только на решениях по безопасности. В противном случае, риски могут превышать возможные доходы. Одна точная хакерская атака на средства, хранящиеся на бирже криптовалют, может привести к потере всего бизнеса.
В качестве примера, взгляните на криптобиржи, которые были взломаны в прошлом. Некоторые из них, такие как Mt.Gox, Cryptsy, Cryptopia или BitGrail, больше не существуют.
Хакеры и мошенники продолжают разрабатывать новые инструменты и методы для получения доступа к серверам бирж и приложениям пользователей. А веской причиной для их стараний является ваша криптовалюта. На криптобиржах хранятся активы на миллионы долларов США, которые привлекают киберпреступников.
Начать криптовалютный бизнес без реализации эффективной программы кибербезопасности — это большой риск, потому что вероятность хакерской атаки в наше время как никогда высока.