Ирония криптоиндустрии: банки оказались более децентрализованными институтами, чем криптобиржи

Уровень волатильности биткоина достиг многомесячного минимума, что является показателем некоей стабильности валюты. В свою очередь, криптобиржи «стабилизировались” в плохом смысле этого слова, теряя миллионы долларов по причине кибератак. Свежи воспоминания от сентябрьского взлома одной из крупнейших бирж Японии Zaif: минус $60 млн для биржи, но плюс к уже украденным за первые три квартала 2018 года $867 млн, по данным CipherTrace. Давайте разберемся, почему именно криптобиржи так подвержены хакерским нападениям и как мошенникам удается выводить столь значительные суммы.

Взламывая криптобиржи, злоумышленники могут преследовать одну из двух основных целей: либо кража активов для собственного использования, либо обвал курса украденной монеты и влияние на рынок. Объектом нападения могут стать блокчейн-протокол, криптобиржа, персональные кошельки. Найти уязвимость в протоколе сложнее всего, но и такие прецеденты имели место быть.

Возможно, самым ярким примером взлома протокола из-за несовершенства кода является взлом Ethereum DAO. Первая децентрализованная автономная организация (DAO) была построена на блокчейне Ethereum с использованием смарт-контрактов. Идея заключалась в том, чтобы предоставить возможность любому инвестировать в компанию и голосовать за проекты, которые они хотели бы финансировать. За безопасность и автоматическое управление отвечал код смарт-контракта DAO. Если пользователь хотел выйти из организации, он должен был продать свои DAO-токены и обменять их на Ethereum. Такой механизм обмена получил название Split Return и состоял из двух этапов: держателю токена возвращалось надлежащее количество ETH, затем система забирала токены и регистрировала транзакцию на блокчейне, чтобы обновить баланс токенов DAO. Неизвестный хакер понял, что он может обмануть систему, зациклив механизм на первом этапе, не переходя на второй, что позволило ему вывести ETH на $50 млн.

Индивидуальные кошельки не так интересны: на них хранятся куда меньшие суммы денег, и массовый вывод средств маловероятен из-за высокой географической распределенности таких источников. Криптобиржи, напротив, обладают значительными запасами криптовалют и хранят их весьма централизованно, что и делает из них идеальные мишени.

Давайте не будем себя обманывать: криптобиржи работают по принципу централизованных веб-приложений с функциями выполнения транзакций и хранения криптоактивов клиентов и своих собственных на одном или нескольких включенных в инфраструктуру холодных и горячих онлайн-кошельках. Холодное хранение куда более безопасно, так как криптовалюта хранится на внешних носителях: USB-флешках и жестких дисках. А вот горячие кошельки могут сталкиваться с теми же проблемам безопасности, что и все другие веб-сайты.

Крупнейшая в истории криптоиндустрии кража на сумму $532 млн произошла в этом году на японской бирже Coincheck именно из-за незащищенности горячих кошельков. За взломом стоял банальнейший фишинг, а не недостатки протокола NEM, который использует технологию мультиподписи. По данным Nikkei Asian Review, злоумышленники разослали нескольким сотрудникам Coincheck сообщение на английском языке от лица якобы их коллеги еще в начале января. После того, как получившие письмо кликали на адрес отправителя, вирус заражал их компьютеры, позволяя сторонним лицам управлять ими. Вскоре после этого система биржи начала связываться с внешними серверами в Европе и США без надлежащих инструкций. Подозрительные сообщения продолжались почти до полуночи 25-го января. Взломав электронную почту сотрудников биржи, мошенники получили доступ к приватному ключу, необходимому для передачи токенов NEM на нужные им учетные записи. Массовый вывод монет начался 26-го числа.

Coincheck держала неоправданно большую часть активов пользователей на горячих кошельках, которые постоянно были подключены к интернету. Несанкционированный доступ можно было бы предотвратить, если бы цифровые деньги лежали на кошельках холодного хранения, но такой вид кастодиальных услуг биржа не могла себе позволить «по техническим причинам и из-за недостатка трудовых ресурсов». Об этом после инцидента сообщил теперь уже бывший генеральный директор Коихиро ВАДА: «Мы знали, что у нас недостаточно людей, работающих над внутренними проверками, управлением и системными рисками. Мы стремились обращаться к большему количеству хедхантеров и агентств, но оказались в такой ситуации».

Генеральный директор голландской компании Eclectic IQ, предоставляющей услуги по управлению киберугрозами и их анализу, Юп ГОММЕРС рассказал нам, что система безопасности, прежде всего, должна обеспечивать многоуровневую защиту операционной системы и протокола прикладного уровня. Она должна проверять подлинность участников сделок и проводимых ими транзакций. ГОММЕРС сравнивает криптобиржи с консолидированными платформами, такими как Amazon, Uber, где «при атаке вы теряете все сразу. Крупные банки, напротив, имеют несколько систем безопасности. Вы не можете украсть все деньги банка за раз, а с криптобиржами подобная ситуация возможна».

Действительно, известны случаи, когда в результате одного кибернападения криптобиржи несли столь серьезные финансовые убытки, что им приходилось уходить с рынка. Биржу Coincheck поглотила ведущая японская брокерская онлайн-компания Monex Inc. всего за $33.5 млн, о чем стало известно в апреле.

Если вернуться еще в более далекое прошлое, то нельзя не вспомнить о другой злополучной японской бирже Mt. Gox. Вторая самая масштабная кража криптоактивов, случившаяся в 2014 году, на сумму 850,000 BTC ($450 млн на тот момент) стала причиной банкротства биржи. В декабре 2017 года южнокорейская криптобиржа Youbit также объявила о своем банкротстве, потеряв 17% крипторезервов в результате хакерской атаки.

Чтобы избежать столь значительных потерь, криптовалютным институтам следует брать пример с банков, которые распределяют свои средства по различным видам активов и хранят их не только в сейфах головных офисов, но и в филиалах, банкоматах и хранилищах. На примере одного из крупнейших банков Америки Citigroup, который также подвергался хакерскому нападению в 2011 году мы видим, что, за исключением наличности, у банка имеются депозиты в центральном банке и банках-корреспондентах. При этом такие виды активов составляют всего 1,3% от общего числа резервов. На депозитарные активы других банков в Citigroup приходится около 9%.

Формат размещений также варьируется. Это могут быть не только депозиты, но и кредиты, выплаты со стороны брокеров, государственные ценные бумаги, доходы от инвестиционной и торговой деятельности, и тд.

Ко всему прочему, в традиционном финансовом секторе существуют организации, такие как FATF и Вольфсбергская группа банков, которые разрабатывают принципы по противодействию отмыванию денег. Среди множества правил, описанных в руководстве AML при осуществлении мобильных и интернет-платежей (MIPS), мы выделили те, которые наиболее коррелируют с вопросом кибербезопасности:

• Мониторинг транзакций путем установки ограничений на количество транзакций и их частоту, а также введение лимитов на использование MIPS в ходе деятельности с повышенным риском.

• Сбор и проверка информации об источнике средств, например, перевод со счета существующего финансового учреждения или получение средств из известного, надежного источника, такого как государственное учреждение (при этом оценивается еще и страновой риск).

• Мониторинг нагрузки платежного канала для пополняемых MIPS, которые финансируются только из определенного источника (например, правительство или корпорации), что дает возможность обнаружить перегруз канала от несанкционированного источника и исключить риски, связанные с данным источником.

Выполнение вышеперечисленных стандартов помогает банкам на ранних стадиях выявить подозрительные транзакции и предотвратить возможное отмывание денег.
Эстонская криптобиржа Poloniex могла избежать потери 12,3% своих биткоинов, если бы соблюдала данные AML принципы работы. В 2014 году хакер, нацелившись на активы биржи, смекнул, что если разместить несколько заказов на снятие монет практически в один и тот же момент, они будут обработаны более или менее в одно и то же время. Хотя итоговый баланс кошелька в результате уходил в минус, на момент постановки задач записи в реестре были подлинными. Соответственно, запросы автоматически обрабатывались и выполнялись.

Если бы биржа установила ограничения на максимальный объем изъятия монет, лимит на количество таких операций за день и неделю и минимальный размер остатка на балансе аккаунта, то она могла бы предотвратить подобную ситуацию. Этот инцидент подталкивает к выводу о том, что механизмы работы криптовалютных институтов мало отличаются от тех, что практикуют традиционные финансовые организации. Следовательно, у них есть возможность брать ранее разработанные инструменты и использовать их в своей деятельности, учась на ошибках своих традиционных предшественников, а не наступая на собственные грабли.