Кібербезпека криптовалюти і криптовалютних бірж
Як правильно побудувати, організувати і підтримувати кібербезпеку криптовалюти і криптовалютних бірж?
– Як захистити свої криптовалютні активи?
– Як зберігати і безпечно використовувати криптовалюту?
– Які існують загрози накопичення і використання криптовалюти?
Зростання популярності криптовалюти і криптовалютних бірж супроводжується зростанням інтересу хакерів зламати біржу, гаманець або чиїсь акаунти для розкрадання криптовалюти. Відповідно, щороку вимоги до криптобірж щодо забезпечення захисту і підвищення безпеки зберігання і подальшого використання криптовалюти зростають. В сучасному світі практично кожну діючу криптобіржу за рівнем безпеки можна порівняти з банківськими системами. Але навіть цей факт дозволяє хакерам здійснювати кібератаки і викрадати цінну криптовалюту. Найчастіше використовується фішинг, шахрайство, атаки на ланцюжки поставок або звичайні зломи. В окремих випадках можуть бути зламані навіть не підключені до мережі комп’ютери.
Досліджуємо безпеку криптовалютних бірж
З останніх аналітичних розслідувань компанії Icorating, яка досліджує безпеку криптовалютних бірж, було обрано 135 майданчиків, завдяки яким фахівці з кібербезпеки вивчили основні 4 механізми забезпечення безпеки:
– User Security (безпека даних користувачів)
– Domain & Registrar Security (безпека домену)
– Web Security (захист від інтернет-загроз)
– DdoS Protection (захист від хакерських атак)
В результаті аналізу, найвищу оцінку А+ не отримала жодна криптовалютна біржа. Багато бірж отримали високі оцінки по двох чи трьох параметрах, але жодна з них не отримала найвищу оцінку за всіма 4-ма показниками.
З усіх перевірених бірж, тільки 37% майданчиків виявилися захищеними від даунгрейд-атак, і 60% – від клікджекінга.
Downgrade Attack (даунгрейд атакою) називають таку атаку, при якій хакер змушує користувача використовувати менш безпечні функції, протоколи, які все ще підтримуються з міркувань сумісності.
Clickjacking (клікджекінг) – технологія-обманка, заснована на розміщенні невидимих елементів, які викликають якісь дії на сайті поверх видимих активних (кнопки, відтворення відео і т.д.)
Найвищу оцінку А серед перевірених майданчиків отримали Kraken і Cobinhood. Для гарантування безпеки ці криптобіржі зберігають основну частину коштів в резервному фонді на холодних гаманцях.
Компанія OKEx, в свою чергу, запропонувала створити єдиний центр SRO для криптомайданчиків. Це буде щось накшталт глобальної екосистеми, мета якої – розробка та впровадження інноваційних стандартів безпеки для підвищення прозорості всього крипторинку, а, отже, й для безпеки користувачів і їхніх гаманців.
Найбільші криптокрадіжки 2019 року
Усі спроби крадіжок хакерами з блокченй-мереж, таких як Bitcoin, Ethereum, Cardano або Litecoin, не приводили до результату. Мережі кожного разу показували високий рівень захисту. Проте, у 2019 році хакерам вдалося викрасти криптовалюту на 300 млн доларів.
Наприклад, в січні 2019 року, через проблеми з безпекою, криптобіржа Cryptopia втратила всі цифрові активи. Досі ведеться судовий процес, а сама біржа недоступна. На сайті регулярно з’являється нова інформація про хід розслідування.
Черговим великим майданчиком, котрий сильно постраждав від хакерів, стала криптобіржа Bithumb. Кіберзлочинцям вдалося вивести з цієї біржі 31 млн доларів в криптовалютах EOS і Ripple. Це вже другий великий злом і злив цифрової валюти з цієї біржі після 2018 року.
У 2019 році цей список поповнила одна з найбільших криптобірж Binance. У травні 2019 року хакери викрали понад 7000 біткоінів з гарячого гаманця, отримавши доступ до API-ключів і 2FA-кодів, що було еквівалентно $40 млн на той момент. Для самої біржі втрати виявилися не такими істотними, адже складали всього 2% від загального сховища. Біржа швидко компенсувала збитки користувачам. Але на цьому напади на біржу не закінчилися. Пізніше анонімний користувач організував злив 60 000 верифікованих акаунтів біржі і зажадав за них викуп у розмірі 300 біткоінів.
AMLD5 і підвищення безпеки бірж
10 січня 2020 року вступила в силу 5-а директива Євросоюзу, спрямована на боротьбу з відмиванням грошей. Відразу ж після цього деякі криптобіржі оголосили про своє закриття. Своє рішення вони пояснили тим, що не збираються наражати на небезпеку конфіденційність своїх користувачів та клієнтів, і прагнуть захищати в першу чергу їх інтереси, а самі майданчики повинні бути доступними для широкої публіки. У числі закритих тоді майданчиків була децентралізована криптобіржа CryptoBridge.
Слідом за нею про свій перехід в офшорну зону заявила криптобіржа Deribit. Вимоги регуляторів щодо торгових криптомайданчиків посилилися, тому підвищилися і вимоги до звітності для холдерів. П’ята директива ЄС суперечить самій основі криптовалюти – анонімності і конфіденційності платежів. Відповідно до AMLD5, криптомайданчики повинні проводити KYC і відстежувати всі операції користувачів, а також зареєструватися в органах фіннагляду. Це сильно змінює сам сенс та ідею криптовалюти, але в той же час директива підвищує безпеку користувачів бірж, оскільки криптозаощадження буде перебувати під юридичним захистом ЄС. Загалом це питання і досі викликає багато суперечок і протиріч.
Тенденції та перспективи криптобірж
2019 рік став ключовим і дуже важливим для розвитку децентралізованих криптобірж. До руху приєдналися великі майданчики, такі як Binance і Huobi, які запустили власні DEX-платформи для торгівлі криптовалютою.
Децентралізована біржа (DEX) – платформа, яка працює на основі розподіленого реєстру. Вона не містить персональні дані користувачів і виконує тільки інформаційну функцію, допомагаючи знайти збіги за заявками на покупку або продаж криптовалюти.
Генеральний директор KuCoin Майкл Ган заявив, що майбутнє крипторинку стоїть за DEX. Для його популяризації їм необхідно забезпечити настільки ж простий функціонал, яким володіють централізовані біржі. Також він зазначив, що цим напрямком зараз займаються практично всі криптобіржі.
У найближчі п’ять років провідні криптобіржі перетворяться в гігантські конгломерати і надаватимуть широкий спектр послуг. Пітер Іванов, криптоексперт і представник зі зв’язків з громадськістю CEX.io, відзначає, що торговельні платформи спільно з традиційними фінансовими продуктами утворюють єдину екосистему. Зараз великі криптомайданчики надають різні сервіси, що розширюють можливості бірж:
– надання криптовалюти в кредит іншим трейдерам;
– стейкінг – отримання дивідендів за зберігання монет;
– IEO – продаж токенів, які гарантовано будуть торгуватися на біржі;
– обмін Fiat-to-Crypto;
– інструменти з управління криптопортфелем.
Ну а кібербезпека залишається слабким місцем для всієї криптоіндустріі. У відповідь, біржі, гаманці і процесинги йдуть на радикальні заходи – від масштабних аудитів до багатомільйонних страхових програм.
У минулому році відбулося 11 великих атак на криптобіржі. Так, в березні хакери викрали $105 млн з Coinbene; в травні – $40 млн з Binance; а в листопаді – $49 млн з Upbit. Крім того, у брокера Coinmama викрали логіни і паролі 450 тисяч користувачів.
Гравці крипторинку розуміють: поки проблема кібербезпеки не буде повністю вирішена, не варто очікувати масового поширення криптовалюти. І, тим паче, немає сенсу чекати, щоб великі інвестори вкладали гроші в криптовалюту. Адже, чим легше зламати біржі і гаманці, тим менш безпечна система, тим більше ризиків і менше гарантій – відповідно і менше бажаючих інвестувати. Будь-яка повноцінна система безпеки завжди передбачає комплекс заходів. Це не один і не два інструменти – це ціла система захисту, яка вибудовується за певними правилами.
Пошук помилок в коді, аналіз бізнес-процесів, навчання співробітників – всі ці інструменти допомагають мінімізувати ризики клієнтів і захистити бізнес в інтернеті.
Три важливі напрямки кібербезпеки криптовалюти:
– аудити;
– холодне зберігання коштів;
– страхування.
Аудити SOC2: або історія Gemini
Наприкінці січня 2019 року біржа Gemini пройшла аудит безпеки SOC2 Type 1. До того ж, в ролі аудитора виступала компанія з “великої четвірки” – Deloitte & Touche. За словами Gemini, аудит зайняв 8 місяців і підтвердив, що брати Уінклвосс створили дійсно найбезпечнішу криптобіржу в світі. Що ж входить в аудит SOC2?
Стандарт аудитів Service Organization Control 2 (SOC2) був розроблений в 2011 році Американським інститутом сертифікованих бухгалтерів (AICPA). Завдання аудиту – визначити, наскільки безпечно провайдер послуг обробляє дані користувачів.
Сюди входять:
– захист бази даних від несанкціонованого доступу;
– якість хостингу;
– політика обробки персональних даних.
Gemini, поки що, пройшла аудит тільки 1-го типу (Type 1).
Аудит більш високого рівня – SOC2 Type 2 – включає контроль безпеки протягом періоду, а не просто в конкретну дату. Gemini обіцяла пройти і цю перевірку також.
Хоча аудит SOC2 і є дуже престижним, він охоплює обмежений ряд бізнес-процесів – в основному обробку даних клієнтів. Крім того, він не адаптований під специфіку блокчейн технологій. Для того, щоб переконатися в безпеці криптоплатформи в цілому, необхідні вузькоспеціалізовані рішення.
Вони включають в себе глибокий аналіз коду веб-інтерфейсу і мобільного застосунку, перевірку кожного рядка смарт-контракту, тести на проникнення, аналіз ризиків перехоплення акаунту і фішингу.
Деякі вразливості можуть бути настільки неочевидні, що тільки детальний аналіз зможе їх виявити. Показовим є випадок з гаманцем Coinomi: в лютому 2019 користувач втратив еквівалент $70 000 через те, що при введенні пароля в Chrome браузер перевіряв правопис пароля через загальний сервер googleapis.com. Таким чином, пароль був вкрадений, хоча Coinomi це і не підтверджує.
Який вид перевірки краще обрати – SOC2 або аналіз коду?
“SOC2 включає оцінку бізнес-процесів і технічних рішень на предмет відповідності чіткому стандарту, і тут відіграють роль вимоги законодавства конкретної країни. При цьому SOC2 не вимагає від компанії проводити разовий або періодичний аналіз захищеності додатків або тестування на проникнення. Таким чином, некоректно ставити питання про вибір між SOC2 або оцінкою захищеності додатка. Оцінка захищеності або тестування на проникнення може бути як хорошим доповненням до аудиту SOC2, так і незалежним інструментом оцінки рівня безпеки.”
Криптопроцесинговий сервіс Cryptoprocessing.com пройшов цю складну перевірку. Сервіс володіє платіжним шлюзом і персональним блокчейн-гаманцем, а також розширеною підтримкою фіатних валют.
Перехід на холодне зберігання
Як відомо, криптогаманці діляться на холодні й гарячі. Різниця між ними полягає в тому, що гарячий гаманець встановлений на пристрої, який підключений до інтернету, а холодний такого підключення не має. Поки гаманець відключений від мережі, хакери не можуть дистанційно його зламати.
Будь-яка криптобіржа або криптопроцесинг повинні тримати певний відсоток коштів на гарячих гаманцях, щоб забезпечити нормальне виведення коштів. Однак саме гарячі гаманці – мета зловмисників. Саме так постраждали Cryptopia, Binance, Coinbene, Bithumb, BITPoint і UpBit. В останньому випадку крадіжка сталася в момент переведення криптовалюти з гарячого гаманця в холодний.
Саме тому криптокомпанії прагнуть мінімізувати частку криптовалюти в гарячих сховищах. Для цього існують вже готові рішення – послуга моніторинг і захист 24/7, яка дозволяє отримати цілодобовий захист від майже всіх можливих зломів і проникнень. Наприклад, Cryptoprocessing.com зберігає 100% клієнтських коштів в холодних гаманцях, залишаючи тільки власні операційні резерви в гарячому сховищі для забезпечення швидких виплат. При цьому важливо дотриматися балансу, щоб уникнути затримок при масовому виведенні. Саме це сталося в липні 2017 року з Coinbase, коли безліч клієнтів стали виводити біткоіни напередодні форка Bitcoin Cash і засоби на гарячому гаманці закінчилися. Звичайно, холодні гаманці теж не позбавлені ризиків.
Так, в грудні 2019, безслідно зник СЕО біржі IDAX – причому виявилося, що ключ від холодного сховища був тільки у нього. Таким чином, користувачі IDAX втратили доступ до своїх грошей.
Страхування клієнтських коштів
Жоден аудит не може дати 100% гарантії того, що кошти ніколи не будуть викрадені. З одного боку, стрімкий розвиток технології дозволяє хакерам винаходити все нові хитрощі. З іншого боку – ніхто не відміняв людський фактор: наприклад, недавній злом біржі Upbit, можливо, був організований кимось із співробітників. Потрібно завжди тримати руку на пульсі і періодично проходити пентест (penetration test).
У цьому контексті великі гравці починають впроваджувати програми страхування коштів. Так, навіть в разі крадіжки клієнт не постраждає, адже збитки відшкодує страховик. Зрозуміло, тільки великі компанії можуть дозволити собі таку розкіш: ризики в криптобізнесі високі і страхування коштує дорого.
Серед тих, хто вже страхує гроші клієнтів, лідирує Coinbase. У квітні 2019 року компанія повідомила, що кошти на її гарячих гаманцях застраховані на $255 млн. Хоча на гарячих гаманцях зберігається лише 2% грошей клієнтів, саме вони найбільш схильні до атак. Страхові випадки включають хакерські атаки, крадіжку і втрату ключів, в тому числі в результаті дій співробітників.
У своєму блозі директор з безпеки Coinbase роз’яснює, що оскільки сума страховки дуже велика, договір укладено відразу з великим числом провідних страхових компаній через відомого брокера Aon. Деякі компанії (наприклад, BitGo) страхують засоби на холодних гаманцях. Однак, потрібно розуміти, що кошти в холодному сховищі піддаються дуже високому ризику, поки гаманець відключений від мережі. Ризик виникає в момент передачі криптовалюти з гарячого гаманця в холодний, і назад, але саме ці ситуації страховка зазвичай не покриває.
Як діяти маленьким компаніям?
Мало хто зі стартапів може дозволити собі аудит SOC2 або програму страхування коштів. Чи є заходи щодо підвищення рівня безпеки, які одночасно ефективні і недорого обходяться?
“Існують відкриті методології забезпечення інформаційної безпеки – зокрема, стандарт безпечної розробки SDLC (Software Development Lifecycle). Спираючись на ці рекомендації, невеликі проекти можуть підібрати для себе інструменти, які підходять їхньому бюджету, аж до безкоштовних open-source рішень», – зазначає Павло Покровський.
За його словами, послуги з оцінки захищеності додатків від відомих провайдерів дуже затребувані серед невеликих компаній.
“Вартість такої оцінки безпеки цілком по кишені стартапам, тому що і область дослідження в невеликих проектах набагато менша, ніж у випадку великих компаній. Крім того, стартапи зазвичай використовують сучасні засоби і мови розробки та організації інфраструктури, що також спрощує процес надання сервісу“, – додав експерт “Лабораторії Касперського”.
Системи криптобезпеки розвиваються одночасно в декількох напрямках і на ринку вже представлені рішення для будь-якого бюджету. Справа за малим: проекти повинні усвідомити, що інформаційна безпека – так само важлива, як маркетинг або залучення інвестицій. Як тільки захист коштів стане пріоритетом для фінтех-стартапів, криптоіндустрія нарешті зможе позбутися від своєї сумнівної репутації і стати повноправним сегментом глобального бізнесу.