Кибербезопасность криптовалюты и криптовалютных бирж
Как правильно выстроить, организовать и поддерживать кибербезопасность криптовалюты и криптовалютных бирж?
— Как защитить свои криптовалютные активы?
— Как хранить и безопасно использовать криптовалюту?
— Какие существуют угрозы накопления и использования криптовалюты?
Рост популярности криптовалют и криптовалютных бирж сопровождается ростом интереса хакеров взломать биржу, кошелек или чьи-то аккаунты для хищения криптовалюты. Соответсвенно, ежегодно растут требования к криптобиржам для обеспечения защиты и повышения безопасности хранения и дальнейшего использования криптовалюты. На сегодня практически каждая действующая криптобиржа сравнима по уровню безопасности с банковскими системами. Но даже этот факт позволяет хакерам совершать кибератаки и похищать ценные денежные знаки криптовалют. Чаще всего используется фишинг, мошенничество, атаки на цепочку поставок или обычный взлом. В отдельных случаях могут быть взломаны даже компьютеры, не подключенные к сети.
Исследуем безопасность криптовалютных бирж
Из последних аналитических расследований компании Icorating, которая исследуеют безопасность криптовалютных бирж, было выбрано 135 площадок, в которых специалисты по кибербезопасности изучили основные 4 механизма обеспечения безопасности:
— User Security (безопасность данных пользователей)
— Domain & Registrar Security (безопасность домена)
— Web Security (защита от интернет-угроз)
— DoS Protection (защита от хакерских атак)
В результате анализа наивысшую оценку А+ не получила ни одна криптовалютная биржа. Многие биржи получили высокие оценки по 1-2 или 3 параметрам, но ни одна из них не получила наивысшей оценки по всем 4-м показателям.
Из всех проверенных бирж только 37% площадок оказались защищены от даунгрейд-атак, а 60% – от кликджекинга.
Downgrade Attack называют такую атаку, при которой хакер заставляет пользователя использовать менее безопасные функции, протоколы, которые все еще поддерживаются из соображений совместимости.
Кликджекинг (clickjacking) – обманная технология, основанная на размещении вызывающих какие-то действия невидимых элементов на сайте поверх видимых активных (кнопки, воспроизведение видео и т.д.)
Самую высокую оценку А среди проверяемых площадок получили Kraken и Cobinhood. Для обеспечения безопасности эти криптобиржи хранят основную часть средств в резервном фонде на холодных кошельках.
Компания OKEx, в свою очередь, предложила создать единый центр SRO для криптоплощадок. Это будет глобальная экосистема, цель которой – разработка и внедрение инновационных стандартов безопасности для повышения прозрачности всего крипторынка, а значит и для безопасности пользователей и их кошельков.
Крупнейшие криптокражи 2019 года
На сегодня все попытки краж хакерами с блокчейн-сетей, таких как Bitcoin, Ethereum, Cardano или Litecoin, не приводили к результату. Сети каждый раз показывали высокий уровень защиты. Но в 2019 году хакерам удалось похитить криптовалюты на 300 млн долларов.
Например, в январе 2019 года из-за уязвимостей в системе безопасности, криптобиржа Cryptopia потеряла все цифровые активы. До сих пор ведется судебный процесс, а сама биржа недоступна. На сайте регулярно появляется новая информация о ходе расследования.
Очередной крупной площадкой, которая сильно пострадала от хакеров, стала криптобиржа Bithumb. Киберпреступникам удалось вывести с этой биржи 31 млн долларов в криптовалютах EOS и Ripple. И это уже второй крупный взлом и слив цифровой валюты с этой биржы после 2018 года.
В 2019 году этот список пополнила одна из крупнейших криптобирж Binance. В мае 2019 года хакеры похитили более 7000 биткоинов с горячего кошелька, получив доступ к API-ключам и 2FA-кодам, что эквивалентно на тот момент – $40 млн. Для самой биржи потери оказались не такими существенными, так как составляли всего 2% от общего хранилища. Биржа быстро компенсировала убытки пользователям. Но на этом нападки на биржу не закончились. Позднее анонимный пользователь организовал слив 60 000 верифицированных аккаунтов биржи и потребовал за них выкуп в размере 300 биткоинов.
AMLD5 и повышение безопасности бирж
10 января 2020 году вступила в силу 5-я директива Евросоюза, направленная на борьбу с отмыванием денег. Сразу же после этого, некоторые криптобиржи объявили о своем закрытии. Свое решение они объяснили тем, что не собираются подвергать опасности конфиденциальность своих пользователей и клиентов, и стремятся защищать в первую очередь их интересы, а сами площадки должны быть доступны для широкой публики. В числе закрытых тогда площадок была децентрализованная криптобиржа CryptoBridge.
Следом за ней о своем переходе в оффшорную зону заявила криптобиржа Deribit.
Требования регуляторов в отношении торговых криптоплощадок ужесточились, поэтому повысились требования к отчетности для холдеров. Пятая директива ЕС противоречит самой основе криптовалют – анонимности и конфиденциальности платежей. В соответствии с AMLD5, криптоплощадки должны проводить KYC и отслеживать все операции пользователей, а также зарегистрироваться в органах финнадзора. Это сильно урезает весь смысл и саму идею криптовалют, но в то же время директива повышает безопасность пользователей бирж, поскольку криптосбережения будут находиться под юридической защитой ЕС. В общем, этот вопрос и до сих пор вызывает много споров и противоречий.
Тенденции и перспективы криптобирж
2019 год стал ключевым и очень важным для развития децентрализованных криптобирж. К движению присоединились крупные площадки, такие как Binance и Huobi, запустившие собственные DEX-платформы для торговли криптовалютами.
Децентрализованная биржа (DEX) – платформа, работающая на основе распределенного реестра. Она не содержит персональные данные пользователей и выполняет только информационную функцию, помогая найти совпадения по заявкам на покупку или продажу криптовалют.
Генеральный директор KuCoin Майкл Ган заявил, что будущее крипторынка стоит за DEX. Для его популяризации, им необходимо обеспечить такой же простой функционал, которым обладают централизованные биржи. Также он отметил, что этим направлением сейчас занимаются практически все криптобиржи.
В ближайшие пять лет ведущие криптобиржи превратятся в гигантские конгломераты и будут предоставлять широкий спектр услуг. Питер Иванов, криптоэксперт и представитель по связям с общественностью CEX.io, отмечает, что торговые платформы совместно с традиционными финансовыми продуктами образуют единую экосистему. Сейчас крупные криптоплощадки предоставляют различные сервисы, расширяющие возможности бирж:
— предоставление криптовалют в кредит другим трейдерам;
— стейкинг – получение дивидендов за хранение монет;
— IEO – продажа токенов, которые гарантированно будут торговаться на бирже;
— обмен Fiat-to-Crypto;
— инструменты по управлению криптопортфелем;
Ну а кибербезопасность остается слабым местом для всей криптоиндустрии. В ответ, биржи, кошельки и процессинги идут на радикальные меры — от масштабных аудитов до многомиллионных страховых программ.
В прошлом году произошло 11 крупных атак на криптобиржи. Так, в марте хакеры похитили $105 млн с Coinbene; в мае — $40 млн с Binance; а в ноябре — $49 млн с Upbit. Кроме того, у брокера Coinmama украли логины и пароли 450 тысяч пользователей.
Игроки крипторынка понимают: пока проблема кибербезопасности не будет полностью решена, не стоит ожидать массового распространения криптовалют. И, уж тем более нет смысла ждать, чтобы крупные инвесторы вкладывали деньги в криптовалюту, ведь чем легче взломать биржи и кошельки, тем менее безопасна система, тем больше рисков и меньше гарантий, и меньше желающих инвестировать.
Любая полноценная система безопасности всегда предполагает комплекс мер. Это не один и не два инструмента – это целая система защиты, выстраиваемая по определенным правилам.
Поиск ошибок в коде, анализ бизнес-процессов, обучение сотрудников — все эти инструменты помогают минимизировать риски клиентов и защитить бизнес в интернете.
Три важных направления кибербезопасности криптовалют
— аудиты,
— холодное хранение средств;
— страхование.
Аудиты SOC2: или история Gemini
В конце января 2019 года биржа Gemini прошла аудит безопасности SOC2 Type 1. Причем в роли аудитора выступала компания из «большой четверки» — Deloitte & Touche. По сообщению Gemini, аудит занял 8 месяцев и подтвердил, что братья Уинклвоссы создали действительно самую безопасную криптобиржу в мире. Что же входит в аудит SOC2?
Стандарт аудитов Service Organization Control 2 (SOC2) был разработан в 2011 году Американским институтом сертифицированных бухгалтеров (AICPA). Задача аудита – определить, насколько безопасно провайдер услуг обрабатывает данные пользователей.
Сюда входят:
— защита базы данных от неавторизованного доступа,
— качество хостинга,
— политика обработки персональных данных.
Gemini пока что прошла только аудит 1-го типа (Type 1).
Аудит более высокого уровня — SOC2 Type 2 — подразумевает контроль безопасности на протяжении периода, а не просто на конкретную дату. Gemini обещала пройти и эту проверку также.
Хотя аудит SOC2 очень престижен, он охватывает ограниченный ряд бизнес-процессов — в основном — обработку данных клиентов. Кроме того, он не адаптирован под специфику блокчейн-технологий. Для того, чтобы убедиться в безопасности криптоплатформы в целом, необходимы узкоспециализированные решения.
Они включают глубокий анализ кода веб-интерфейса и мобильного приложения, проверку каждой строки смарт-контракта, тесты проникновения, анализ рисков перехвата аккаунта и фишинга.
Некоторые уязвимости могут быть настолько неочевидны, что только детальный анализ сможет их выявить. Показателен случай с кошельком Coinomi: в феврале 2019 пользователь потерял эквивалент $70 000 из-за того, что при вводе пароля в Chrome браузер проверял правописание пароля через общий сервер googleapis.com. Таким образом, пароль был украден, хотя Coinomi это и не подтверждает.
Какой вид проверки лучше выбрать — SOC2 или анализ кода?
«SOC2 включает оценку бизнес-процессов и технических решений на предмет соответствия четкому стандарту, и здесь играют роль требования законодательства конкретной страны. При этом, SOC2 не требует от компании проводить разовый или периодический анализ защищенности приложений или тестирование на проникновение. Таким образом, некорректно ставить вопрос о выборе между SOC2 или оценкой защищенности приложения. Оценка защищенности или тестирование на проникновение может быть как хорошим дополнением к аудиту SOC2, так и независимым инструментом оценки уровня безопасности.»
Криптопроцессинговый сервис Cryptoprocessing.com прошел эту сложную проверку. И на борту у сервиса есть платежный шлюз и персональный блокчейн-кошелек, а также расширенная поддержка фиатных валют.
Переход на холодное хранение
Как известно, криптокошельки делятся на холодные и горячие. Разница между ними в том, что горячий кошелек установлен на устройстве, подключенном к интернету, а холодный такого подключения не имеет. Пока кошелек отключен от сети, хакеры не могут дистанционно его взломать.
Любая криптобиржа или криптопроцессинг должны держать определенный процент средств на горячих кошельках, чтобы обеспечить нормальный вывод средств. Однако именно горячие кошельки составляют излюбленную цель злоумышленников. Именно так пострадали Cryptopia, Binance, Coinbene, Bithumb, BITPoint и UpBit. В последнем случае кража произошла в момент перевода криптовалюты из горячего кошелька в холодный.
Поэтому, криптокомпании стремятся минимизировать долю криптовалюты в горячих хранилищах. Для этого существуют уже готовы решения – услуга мониторинга и защиты 24/7, которая позволяет получить круглосуточную защиту от почти всех возможных взломов и проникновений.
Например, Cryptoprocessing.com хранит 100% клиентских средств в холодных кошельках, оставляя только собственные операционные резервы в горячем хранилище для обеспечения быстрых выплат. При этом важно соблюсти баланс, чтобы избежать задержек при массовом выводе. Так произошло в июле 2017 года с Coinbase, когда множество клиентов стали выводить биткоины в преддверии форка Bitcoin Cash и средства на горячем кошельке закончились.
Конечно, холодные кошельки тоже не лишены рисков. Так, в декабре 2019 бесследно исчез СЕО биржи IDAX — причем оказалось, что ключ от холодного хранилища был только у него. Таким образом, пользователи IDAX потеряли доступ к своим деньгам.
Страхование клиентских средств
Ни один аудит не может дать 100% гарантии того, что средства никогда не будут украдены. С одной стороны стремительное развитие технологии позволяет хакерам изобретать все новые уловки. С другой стороны — никто не отменял человеческий фактор: например, недавний взлом биржи Upbit, возможно, был организован кем-то из сотрудников. Нужно всегда держать руку на пульсе и периодически проходить пентест (penetration test).
В этом контексте крупные игроки начинают внедрять программы страхования средств. Даже в случае кражи клиент не пострадает, ведь ущерб возместит страховщик. Разумеется, только крупные компании могут позволить себе такую роскошь: риски в криптобизнесе высоки, и застраховать их стоит дорого.
Среди тех, кто уже страхует деньги клиентов, лидирует Coinbase. В апреле 2019 года компания сообщила, что средства на ее горячих кошельках застрахованы на $255 млн. Хотя на горячих кошельках хранится лишь 2% денег клиентов, именно они наиболее подвержены атакам. Страховые случаи включают хакерские атаки, кражу и утерю ключей, в том числе в результате действий сотрудников.
В своем блоге директор по безопасности Coinbase разъясняет, что поскольку сумма страховки очень велика, договор заключен сразу с большим числом ведущих страховых компаний через известного брокера Aon.
Некоторые компании (например, BitGo) страхуют средства на холодных кошельках. Однако нужно понимать, что средства в холодном хранилище подвергаются очень высокому риску, пока кошелек отключен от сети. Риск возникает в момент передачи криптовалюты из горячего кошелька в холодный и обратно, но как раз эти ситуации страховка обычно не покрывает.
В заключение: как действовать маленьким компаниям?
Мало кто из стартапов может позволить себе аудит SOC2 или программу страхования средств. Есть ли меры по повышению уровня безопасности, которые одновременно эффективны и недорого обходятся?
«Существуют открытые методологии обеспечения информационной безопасности – в частности, стандарт безопасной разработки SDLC (Software Development Lifecycle). Опираясь на эти рекомендации, небольшие проекты могут подобрать для себя инструменты, соответствующие их бюджету, вплоть до бесплатных open-source решений», — отмечает Павел Покровский.
По его словам, услуги по оценке защищенности приложений от известных провайдеров очень востребованы среди небольших компаний.
«Стоимость такой оценки безопасности вполне по карману стартапам, потому что и область исследования в небольших проектах гораздо меньше, чем в случае крупных компаний. Кроме того, стартапы обычно используют современные средства и языки разработки, и организации инфраструктуры, что также упрощает процесс оказания сервиса», — добавил эксперт «Лаборатории Касперского».
Системы криптобезопасности развиваются одновременно в нескольких направлениях, и на рынке уже представлены решения для любого бюджета. Дело за малым: проекты должны осознать, что информационная безопасность – так же важна, как маркетинг или привлечение инвестиций. Как только защита средств станет приоритетом для финтех-стартапов, криптоиндустрия наконец сможет избавиться от своей сомнительной репутации и станет полноправным сегментом глобального бизнеса.