Мировые новости неоднократно потрясали публику историями о взломах криптовалютных площадок. В 2014 году злоумышленники опустошили биржу Mt. Gox на 850 000 биткоинов (на тот момент это почти $400 млн). За 7 лет удалось вернуть менее трети похищенного, но возместить клиентам 100% убытков просто некому. В сентябре 2021 года хакеры взломали сайт Bitcoin.org и организовали фейковую раздачу криптовалюты, предлагая пользователям отправить биткоины на неизвестный адрес и получить взамен вдвое больше.
Как криптовалютные площадки защищают себя от подобных атак и почему хакерам всё же удаётся найти уязвимости?
«Безопасность любой криптовалютной площадки состоит из трёх направлений – back (внутренняя безопасность), front (всё, что касается аккаунтов пользователей) и безопасность персональных данных пользователей. Любое направление может подвергаться атакам, поэтому для защиты каждого из них используется обширный комплекс инструментов. И как следствие, создание надёжной системы становится глубоким и долгосрочным процессом, который не всем под силу провести без ошибок и сбоев», – поясняет Константин Копьев – исполнительный директор международной криптовалютной биржи Garantex . Garantex основан в 2018 году, в 2019 году получил лицензию в ЕС, на сегодняшний день обслуживает 67 621 пользователя и закрывает около 100 000 сделок в месяц. Средняя сумма одной сделки — 2 000 USDT.
Front
Front – это определенный набор инструментов, благодаря которому пользователь может безопасно владеть, торговать и управлять своими активами. В первую очередь – это многофакторное подтверждение входа и операций. Знакомая многим 2FA-система кажется весьма обычной, но дополнительные оповещения на выбранные пользователем каналы, например, на электронную почту или в телеграм, одноразовые смс-коды с ограничением по времени и защита от входа с нового IP действительно помогают предотвратить взломы системы со стороны пользовательских аккаунтов. Такой системой пользуются все лидирующие мировые крипто-площадки, например, Binance и Huobi.
В этом сегменте нужно сказать и о фишинговых угрозах – это одна из самых частых ловушек – клиент заходит на сайт-двойник, вводит там свои логин и пароль. Получив данные, злоумышленники уводят средства из настоящего кошелька. Несмотря на то, что ответственность в этом случае лежит на невнимательных пользователях, биржи стараются минимизировать число таких взломов. Например, мы в Garantex предупреждаем о подобных ловушках на своих площадках: на главной странице официального сайта вывешен баннер, призывающий убедиться в верном адресе биржи до совершения действий со средствами. Только что зарегистрированным пользователям мы высылаем письмо-инструкцию, где четко указываем нужный адрес и просим переходить только по нему, а также рекомендуем воздержаться от кликов по рекламным баннерам в интернете.
В этом вопросе помогают и поисковики – они предпринимают все меры, чтобы фишинговые сайты не выпадали в топ при запросах по ключевым словам. В дополнение ко всем мерам есть верификация браузера пользователя: при подозрительной активности сервис не дает злоумышленнику воспользоваться аккаунтом без подтверждения с личного email пользователя.
Мы также хотим оградить наших клиентов от фишинга другими, в чем-то более удобными, сервисами. Для этого нами разрабатывается мобильная версия биржи, позволяющая клиенту быстро и беспрепятственно совершать операции купли/продажи криптовалют.
Back
Back – это в первую очередь код. Чтобы он выдерживал атаки, его нужно регулярно тестировать. Мы делаем это как собственными силами – ежемесячно проверяем старые и только что выпущенные части кода; так и с помощью сторонних организаций, заказывая у мировых лидеров крипто-рынка стресс-тесты и аудиты на IT-безопасность и безопасность кода. Хорошими оценками прохождения испытаний считаются показатели 9/10 и 10/10. Чтобы получить такие результаты, код изначально должен быть написан на хорошем уровне, а всевозможные недочёты и узкие места выявлены и ликвидированы ещё до ввода в общую систему. В этом случае она будет готова к практически любым сценариям внешних взломов.
Подобные проверки занимают много времени и требуют серьёзных финансовых вливаний, например, стоимость тестирования уязвимостей может достигать нескольких сотен тысяч долларов. Не все компании готовы к таким вложениям. Вдобавок многие разработчики спешат побыстрее выпустить релизы, чтобы порадовать пользователей, – всё это в дальнейшем и провоцирует опасности.
Ещё одна угроза – DDoS-атаки, для их отражения используют совокупность инструментов, например, в их числе сервис Cloudflare, который пользуется популярностью среди архитекторов систем безопасности. Но здесь также важно выстроить целостную систему, одного сервиса недостаточно.
Дополнительной мерой для борьбы с хакерами могут выступать различные программы вознаграждения экспертов, которые выявляют уязвимости в работе биржи и сообщают об этом разработчикам.
Конечно, предметом наивысшего внимания всегда является безопасность хранения финансовых средств. В этой сфере мы используем сложную технологичную систему распределенного хранения криптовалютных и фиатных средств пользователей, а также горячие и холодные кошельки.
Безопасность персональных данных пользователей
Для обеспечения хранения и безопасности персональных данных пользователей обычно привлекаются сторонние ресурсы, один из популярных мировых сервисов – Sumsub. Он обеспечивает высокий уровень фрод-мониторинга и прохождения KYC. Sumsub признан многими мировыми компаниями и хорошо зарекомендовал себя.
В дополнение к этому мы в Garantex провели все необходимые мероприятия с привлечением лицензированного подрядчика для соответствия своей системы хранения персональных данных ФЗ 152 «О персональных данных».
Ещё один показатель надёжности и защищённости биржи – наличие лицензии. Для её получения юридическое лицо должно соответствовать высоким требованиям по множеству параметров, в том числе и по безопасности. Затем регулятор контролирует работу лицензиата – биржа систематически отчитывается о том, как она обеспечивает надёжность хранения средств пользователей, какие меры принимает для противодействия хакерам.
Так или иначе с проблемами безопасности сталкиваются все проекты, не только маленькие и начинающие. Гиганты с мировым именем тоже подвержены нарушениям протоколов безопасности, атакам и взломам. В первую очередь это связано с тем, что хакеры не стоят на месте и постоянно совершенствуют свои инструменты. Пока не существует единой системы, по которой можно было бы оценить, насколько та или иная биржа защищена от взломов. Поэтому гарантом безопасности выступает опыт и репутация компании – то насколько успешно она справлялась с такими атаками ранее. Исходя из этих показателей можно оценивать общий уровень подготовленности и к будущим вторжениям.
Если перед вами стоит вопрос, какой биржей пользоваться, я бы отдавал предпочтение, во-первых, лицензированным проектам с сильной технической командой, а во-вторых, с опытом работы с существенными торговыми оборотами от 2 лет. Эти критерии указывают на то, что основатели скорее всего наработали опыт противодействия атакам, а также создали достаточный капитал, чтобы вкладывать его в дорогостоящие инструменты, сервисы и аудиты для повышения уровня своей защиты.
Это самый главный вопрос. По сути ты доверяешь все свои данные площадке. Как они хранятся очень важно.
Как часто происходят такие хищения на биржах? Мне кажется стопроцентного рецепта спасения от злоумышленников нет.