Биткоин упадет до минимума, если квантовый компьютер взломает алгоритм SHA3-256
На начало года киберпреступники при помощи цифровых монет легализовали около $5,5 млрд. Есть несколько публичных кейсов, иллюстрирующих криминальные тренды в виртуальной экономике. Это, например, атака вируса WannaCry, расследование которой заняло несколько месяцев. Хакеры заработали на вирусе 53 биткоина (примерно $350 тыс.). Или облачный майнинг — технология построения финансовой пирамиды на криптовалютном хайпе, приносившая по 300 биткоинов ($2 млн) в день. Эти кейсы разбирали на конференции CYBER CRIME CON 2018, состоявшейся 9-10 октября в Москве.
На форуме обсуждались четыре важных темы. Первая и главная — «Годовые прогнозы с доказанной прогностической ценностью». Вопрос актуальный, особенно в свете скандала с венчурным криптофондом Pantera capital. Напомним, что некорректный аналитический кейс «Пантеры», в котором цена на биткоин определялась в $9000, привел к потерям 72% доходов инвесторов.
Также поднимались вопросы: «Кибертерроризм и атаки на критическую инфраструктуру», «Трансграничный обмен разведывательной информацией о стратегических угрозах», «Следующее поколение защиты интеллектуальной собственности».
Но наиболее интересной и представительной стала панель форума, посвященная темной стороне блокчейна и криптовалют. Семь экспертов, представляющих ведущие финансовые организации, рассказали о наиболее вероятных угрозах финансовой безопасности в условиях новой цифровой экономики. В дискуссии приняли участие руководители и топ-менеджеры: Алексей АРХИПОВ, управляющий партнер, Блокчейн-технологии QIWI; Павел ЛОЖКИН, Национальный Расчетный Депозитарий; Олег РАВНУШКИН, управляющий партнер и соучредитель CONIC; Александр ЛАЗАРЕНКО, руководитель R&D, Group-IB; Алексей ПРОКОФЬЕВ, управляющий партнер AddCapital; Герберт ШОПНИК, менеджер по развитию бизнеса BitFury. Модератором дискуссии был Руслан ЮСУФОВ, директор по специальным проектам Group-IB.
Основные выводы дискуссии следующие. Первое. В отличие от технологий, развивающихся космическими темпами, человеческая психология осталась прежней, люди все так же верят в обещания фантастических прибылей при минимальных затратах. Большинство новых мошеннических схем в криптомире оказались хорошо забытыми старыми: банальный фишинг с фейка. Преступники создают фальшивые аккаунты в соцсетях или же поддельные страницы агентств деловой информации и ловят простака «на живца». Причем атаковать могут как его компьютер, так и его самого. Например, завлечь в какую-либо сомнительную бизнес-схему. Все это работает сегодня и, по видимому, будет работать завтра. Причем на фишинговые схемы попадаются не только простаки, иной раз и крупные рыночные игроки клюют на замаскированные ссылки. Интересный пример привел один из участников, рассказав о случае, когда инвесторы приняли за чистую монету сообщение о поддержке одного ICO-проекта Дональдом ТРАМПОМ.
Органично интегрировались в цифровую экономику и хорошо проверенные схемы обмана вкладчиков. «Облачный майнинг» — новая пирамида, основанная на ожидании финансовых чудес и элементарном незнании основ цифровой экономики и технических нюансов майнинга и самого биткоина.Те из обманутых вкладчиков, кто не знал, что историю биткоина можно увидеть в его хэшрейте, свято верили, что получают от компании свежие монетки. Проблемы начались, когда стало понятно, что криптовалюта была намайнена не один год назад. Поднялась волна недовольства, люди начали задавать вопросы, уже начиная догадываться о том, что майнинг в цифровом облаке — всего лишь очередная схема обмана. После этого компания просто закрылась.
«Обычно такие проекты живут не больше 6 месяцев, — сказал Герберт ШОПНИК. — «Облачный майнинг» под названием CashOcean просуществовал все 18. При этом выяснилось, что ни один биткоин, заработанный на таком облачном сервисе, не был намайнен, дивиденды выплачивались за счет новых инвесторов. Это очень прозрачно показало, что это была пирамида, которая, кстати, со всеми средствами исчезла через полтора года».
При этом в интернете до сих пор можно найти десятки предложений включиться в пирамидальную игру, иногда и за 115% годовых.
Киберпреступники используют не только доверчивость людей, но и элементарную небрежность. Взломы цифровых кошельков часто провоцируют сами владельцы.
«Только в этом году хакерами был похищен почти $1млрд, — вспомнил Руслан ЮСУФОВ. — Может кто-то из присутствующих сказать, как это происходит, привести примеры?»
«Интересный, на мой взгляд, был кейс с криптобиржей ShapeShift, — взял слово Александр ЛАЗАРЕНКО. — Сначала хакер заразил компьютер разработчика, потом опустошил все горячие кошельки. Биржа переехала на другой клауд. Хакер, естественно, не дремал. Сделал кэшаут из горячих кошельков и продал доступ к бэкдору этого разработчика. Новый человек на новом компьютере подключил доступ к тому же компьютеру биржи и заново опустошил эти горячие кошельки. В итоге биржа переехала снова, и история закончилась. Видимо, все же уволили всех разработчиков и отключили доступ»
Это иллюстрация так называемых «ранних» киберпреступлений. И, как считает Александр ЛАЗАРЕНКО, они произошли благодаря инсайдерской информации, попадающей в руки хакеров: «Либо разработчики брали ключи и выводили средства из бирж, либо их компьютеры взламывали снаружи с помощью трояна и узнавали адреса и пароли, хранящиеся в KeePass. Причем пароли были типа 123qwerty123qwerty. И таких случаев было и остается очень много». В любом случае, держать даже сложные пароли от кошельков в мобильных приложениях — недопустимая небрежность в эру хакинга.
Еще один элемент уязвимости скрывается в самой организационной структуре торговых площадок, в частности, криптобирж. Иными словами, чем проще процедура их создания, тем выше риск для кошельков клиентов.
«Традиционный кастоди в цифровой экономике выглядит примерно так: собрались 3 админа, поставили сервер и решили торговать услугами. И криптобиржа представляет собой примерно то же, — отметил Алексей ПРОКОФЬЕВ. — Уровень безопасности будет соответствующий. Даже три человека порой не могут обеспечить все необходимые меры безопасности только из-за того, что не могут толково распределить обязанности и даже распределить пароли. Есть сложные варианты атак, например, атака 51%, тот же фишинг. Но практика показывает, что, как правило, ломают самые простые вещи».
По мнению спикера, неплохим средством от краж с криптокошельков могут стать прозрачные и юридически корректные правила организации и деятельности цифровых торговых площадок. Но в силу отсутствия правовой базы создать их чрезвычайно сложно. Причем это не только российская проблема, во всем мире люди страдают от неопределенности позиции законодателей и регуляторов.
Далее разговор зашел о гарантиях возврата средств для клиентов в случае провала проекта. В традиционной экономике биржи достаточно зарегулированы, надзорные ведомства давно определили процедуры и механизмы компенсации в случае краха или кражи. В документах видно и движение средств, известны системы и способы хранения, гаранты, есть номера их счетов. Ничего этого нет на криптобиражах.
Поэтому им деньги можно доверять только на время транзакции, считает Алексей ПРОКОФЬЕВ: «Очевидно, выводить нужно на какое-то кастоди. Какое-то более надежное хранилище, чем вы, дорогая наша биржа».
При этом он вспомнил множество случаев хищения средств в том числе с децентрализованных бирж, таких как Bitstamp. Разрекламированная децентрализация — далеко не панацея. «Так почему биржи не могут интегрировать custody on board? — задает риторический вопрос ПРОКОФЬЕВ. — Сделать отдельный store и хранить на каком-нибудь D3?» Ответ печально прост. Чаще всего криптобиржи не обладают ни специалистами соответствующей квалификации, ни инструментами гарантий возврата инвестиций.
В завершение добрались и до квантовой криптографии. Как сказал Алексей АРХИПОВ, «эта история пока находится “под капотом», так как об этой технологии мало что известно, равно как и о ее роли и значении в хранении и защите информации».
Однако Алексей ПРОКОФЬЕВ придерживается особого мнения в отношении квантовых решений. «Это страшная вещь, — заявил он. — Приватный ключ, который мы все планируем тщательно беречь и перепрятывать, угадывается с помощью квантового компьютера, и это займет не миллионы лет, как нам обещает обычный компьютер, а месяцы, дни или часы. Чего после этого стоит вся наша криптография?!».
Алексей считает, что даже если вдруг в 2019 году будет накоплено какое-то количество кубитов, и будет взломан сверхнадежный алгоритм SHA3-256, и эта новость появится на Bloomberg, цена на Bitmain, равно как и стоимость Bitfury или Bitcoin, упадет до критического минимума. Что же случится, если вдруг техника новейшего поколения появится в вооружении киберпреступников?
«Я лично придерживаюсь мнения, что распространение квантовых технологий будет ограничено, как распространение оружия массового поражения. Ведь они, по сути, таковым и являются, — заявил ПРОКОФЬЕВ. — Скорее всего, подобное устройство приберут к рукам такие институции, как АНБ, и уже государственные хакеры будут совершать время от времени свои вылазки оттуда, чтобы получить любую информацию, как бы ее ни хотели скрыть».