Александр Подобных – КриптодетективЪ – Цепная Безопасность (страница 19)

и пр.

Биржи могут также поддерживать разные виды торговли – спотовая или фьючерсная, а также p2p-обмен. При выборе следует учитывать размер торговых комиссий, которые могут существенно варьироваться от одной площадки к другой.

Криптобиржа может быть анонимной или требовать верификацию личности (регулируемые и нерегулируемые). С поддержкой фиата и без таковой.

Рассмотрим подробнее криптобиржи с внедрёнными KYC (AML). Так, проверка KYC («Знай своего клиента») – стандартная современная практика для банков и прочих финансовых учреждений. Регулируемые криптобиржи, которые стремятся соответствовать требованиям законодательства, обязательно запрашивают прохождение такой проверки при определенных условиях (если нужно открыть дополнительные функции или расширить лимиты на вывод).

Биржи с AML – те, которые внедрили у себя проверку транзакций с целью противодействия отмыванию доходов, полученных преступным путем. Борьба с отмыванием денежных средств подразумевает взаимодействие площадки с правоохранительными и судебными органами, органами исполнительной и законодательной власти, финансовой разведкой, контрольно-надзорными органами.

Большинство бирж позволяют торговать без верификации, если не превышать установленные лимиты. Но есть и такие, где без KYC нельзя сделать фактически ничего, начиная с пополнения счета. И таких становится всё больше.

Подробнее все упомянутые рекомендации и процедуры рассматриваются в разделе «Криптокомплаенс».

угрозы биржам

20 мая 2020 года была опубликована новость, что из-за собственной халатности криптовалютные биржи рискуют потерять $18 млн., поскольку они не уделяют должного внимания защите конфиденциальных данных37.

По мере роста популярности биткойна в частности и криптовалюты в целом увеличивается количество криптовалютных бирж. По данным Cryptimi, на тот момент времени насчитывалось порядка 18 988 площадок для обмена криптовалюты, а по данным Bloomberg, доход криптовалютных бирж составлял $3 млн в день и $1 млрд в год.

В связи с этим в игру активно включаются мелкие криптовалютные биржи, уделяющие безопасности недостаточно внимания.

Исследовательская группа CyberNews решила выяснить, насколько безопасными являются криптовалютные биржи. В ходе исследования специалисты сканировали интернет в поисках открытых баз данных MongoDB и сопоставляли их с ключевыми словами. После фильтрации с помощью ключевых слов исследователи вручную проверили каждую БД на предмет наличия в них чувствительной информации.

Как оказалось, в ходе исследования БД, одна из крупнейших криптовалютных бирж хранила более $16,5 млн в аппаратных («холодных») кошельках и было обнаружено порядка 80 тыс. утекших закрытых ключей. Утекшими также оказались ключи RPC её майннета с балансом в $25 тыс.

Кроме того, выяснилось, что китайская биржа Hubdex, чьи клиенты держали на счетах до $52 тыс., не шифрует данные KYC – идентификационные карты и водительские права может с легкостью загрузить любой желающий. Швейцарская биржа Lykke также не шифрует данные KYC и ключи API других бирж, которые позволяют злоумышленникам с легкостью снять чужие деньги.

Общий баланс на всех обнаруженных исследователями незащищенных площадках составлял как минимум $18 млн.       Исследователи попытались связаться с двумя «проблемными» биржами. Представители Lykke незамедлительно ответили специалистами и предупредили своих клиентов об утечке. Электронный адрес Hubdex оказался недействительным.

криптовалютные кошельки

Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области38.

категории кошельков

Всё огромное множество криптокошельков можно поделить на 2 большие категории: холодные и горячие криптокошельки. К первым относят аппаратные, т.е. те, к которым есть доступ физически. К горячим относятся браузерные или мобильные приложения.

Выбор криптовалютных кошельков многообразен. К популярным можно отнести следующие виды:

1. Программный кошелек

2. Аппаратный кошелек

3. Бумажный кошелек

4. Веб-кошелек

5. Десктоп-кошельки

6. Мобильный кошелек

проблемы и угрозы

Криптовалютные кошельки во всем их многообразии можно поделить на две большие категории: к холодным относят аппаратные, к которым есть физический доступ, а к горячим – браузерные или мобильные приложения.

Холодные кошельки не подключаются к Интернету и считаются самыми безопасными – это бумажные кошельки, флешки и т.п. Их нужно подключать к компьютеру или телефону для совершения транзакций.

Важно отметить, что при использовании холодных криптокошельков за сохранность закрытых ключей и средств, к которым они предоставляют доступ, несет сам владелец, а при использовании горячих ответственность ложится на оператора сервиса (кастодиана или депозитарий).

Основные проблемы и угрозы, с которыми сталкиваются пользователи криптовалютных кошельков, включают в себя следующие.

1. Взломы и кибератаки. Криптовалютные кошельки могут стать целью злоумышленников, которые стараются получить доступ к частным ключам и совершить кражу средств.

2. Фишинг. Злоумышленники могут создавать поддельные веб-сайты и электронные письма, имитирующие официальные криптовалютные сервисы, на которых пользователи вводят свои аутентификационные данные и теряют доступ к средствам.

3. Потеря доступа. В случае утери пароля, закрытого ключа или резервной фразы пользователи могут лишиться доступа к своим средствам без возможности их восстановления. К утере можно отнести также и невозможность их вспомнить.

4. Социальная инженерия. Атаки могут быть направлены не только на технические слабые места, но и на слабые места в поведении пользователей, которые подвергаются обману с целью раскрытия их конфиденциальных данных.

5. Влияние человеческого фактора. Ошибки в управлении кошельком, неверное сохранение частного ключа или резервной фразы также могут привести к потере средств.

6. В последние годы для российских пользователей высокие риски несут санкции, реализуемые площадками по требованию иностранных регуляторов (OFAC, SEC, FCA). При этом одни биржи просто блокируют кошельки (так поступили большинство площадок), другие же дают время на вывод средств (как было с Binance в 2023 г.)

7. Растет также количество взломов, связанных с инсайдерами в самих проектах. Они сливают информацию о кошельках, платформах, протоколах взаимодействия.

8. Многих разработчиков в последнее время интересует защита от квантовых компьютеров, в частности защита от перебора приватных ключей. Возможно, угроза со стороны квантовых компьютеров преувеличена, однако она все же существует, и многое зависит от того, какие шаги предпримут блокчейн-разработчики до того момента, когда эта угроза станет более реальной.

К примеру, разработчики Ethereum ведут разработку устойчивых к квантовым атакам методов криптографии, таких как подписи Winternitz и технология с нулевым разглашением STARK.

примеры уязвимостей и их эксплуатации

В феврале 2018 г. сообщество отметило несколько новостных статей, в которых утверждалось, что Национальный институт стандартов и технологий (NIST) активно расследует уязвимость 2018 г. в приложении iOS Trust Wallet, которая была оперативно исправлена в том же году. Разработчики заверили пользователей в том, что их средства в безопасности, а кошельки безопасны для использования.

В августе 2022 г. произошла крупная кража токенов из кошелька Solana, которая была вызвана уязвимостью централизованного сервера Sentry. Исследователи обнаружили две новых технологии сбора данных из Solana, которые могут выполнять атаки с перестановкой битов.

В конце ноября 2023 г. 1,5 млн биткойнов оказались под угрозой хищения из-за уязвимости Randstorm, которая позволяет восстанавливать пароли и получать несанкционированный доступ к множеству кошельков на разных блокчейн-платформах. Уязвимость связана с использованием BitcoinJS – открытой JavaScript-библиотеки для разработки криптовалютных кошельков в браузере.

Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и восстановления сгенерированных приватных ключей кошельков, причем уязвимости в базовых библиотеках, используемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок.

В декабре 2023 г., "надписи" на биткойнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения внимания к недостаткам безопасности, которые были допущены при разработке протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности.

В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн. Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчейне, причем с возможностью предварительного расчета их адресов до развертывания. Функция является легитимной, но она создала уязвимости в системе безопасности Ethereum.