Безпека криптовалютних бірж: як забезпечується сьогодні і чи є прогрес

CryptoExplorer         Немає коментарів    
17 переглядів
Історично, біржі - найбільш вразлива точка криптовалютної інфраструктури. Атакувати їх вигідніше і довгий час зламати їх було простіше, ніж звичайні гаманці. З виходом криптовалюти у «великий світ» виросли і вимоги до безпеки. Зараз біржі обіцяють клієнтам надійність, порівнянну з банківськими онлайн-ресурсами. Проте, повідомлення про зломи і крадіжки раз у раз миготять в стрічках новин. Як насправді йдуть справи з безпекою криптобірж, які методи захисту використовуються і наскільки вони ефективні, розбираємо далі.

Наскільки безпечні біржі криптовалют?


Створюється враження, що в основі проблем з безпекою криптобірж лежить якесь глибинне переконання і користувачів, і адміністрацій, що криптовалюта захистить себе сама. Звідси виникає зневага до вразливостей ресурсів з боку керівництва і легковажне ставлення до безпеки гаманців з боку користувачів. В результаті криптобіржі зламуються, в основному, двома способами - через технічні вразливості або за допомогою методів соціальної інженерії.

В кінці минулого року аналітики з США вивчили 135 великих бірж і виявили, що одиниці з них більш-менш відповідають стандартам безпеки. Найвищу оцінку «А+» не отримав жоден ресурс. «А» отримали дві біржі (Kraken і Cobinhood), решта - від «А-» і менше.

У процесі оцінювання виявлялися потенційні вразливості користувацьких облікових записів, домену та веб-протоколів. Результати невтішні.

Веб-протоколи, за кількістю вразливостей, займають останнє місце. Прийоми проти найпоширеніших хакерських атак реалізовані на 40% бірж. Решта 60% схильні до MITM-атак (коли хакер втручається в протокол передачі даних потай від передавальних вузлів), POODLE-атак (коли перехоплюється трафік жертви), і багатьох інших.

На другому місці - вразливості домену та реєстратора. Ситуація сумна: трохи більше 3% бірж використовують рекомендований мінімум засобів захисту для фінансових ресурсів.

У безумовних лідерах за кількістю вразливостей - користувацькі облікові записи. Майже на половині бірж пароль можна задавати тільки буквами або буквами і цифрами; багато де немає функції автоматичного виходу зі свого облікового запису; більше, ніж на 20% ресурсів користувач не може додатково підтвердити транзакцію. На 5% сайтів немає двофакторної аутентифікації, а на 2% можна обійтися без підтвердження реєстрації по телефону або електронній пошті.

Йдеться про 135 найбільших ресурсів. Можна тільки здогадуватися про рівень безпеки на дрібних біржах.

Сюди додається легковажність користувачів. Якщо сайт дозволяє встановити пароль «0123456» або «qwerty» - такі паролі гарантовано будуть використовуватися. Якщо сайт дозволяє не підтверджувати вхід - більшість користувачів навіть не подумає включити двофакторну аутентифікацію.

Про фішинг, який є однією з основних причин злому біржових акаунтів, і говорити нема чого. Його користувачі не тільки переходять за посиланнями в листі, який прийшов нібито від біржі, а й охоче вводять логіни, паролі, сід-фрази та інші особисті дані на сайтах, які візуально нагадують знайомий ресурс.

Як біржі забезпечують безпеку криптовалют сьогодні


Боротися з усім цим надзвичайно важко. Хакери - люди творчі і на будь-яку протидію рано чи пізно придумують відповідь. Потрібен високий рівень захисту даних, щоб зловмисник не зміг її пробити. Для реалізації такої системи безпеки іноді потрібно перебудувати половину сайту.

Вихід - реалізувати її спочатку, на етапі створення біржі. Зараз існує ряд рекомендацій від міжнародних криптовалютних об'єднань, де виставляється необхідний мінімум вимог для сучасної біржі. Список вимог до безпеки складається з плюс-мінус 100 пунктів. У корейській KISA їх, наприклад, 85.

Серед них:

  • Холодне зберігання даних. Полягає в тому, що основна частина коштів, до 99%, зберігається на відключених від мережі серверах. Один з найбільш надійних методів захисту, через що його використовує більшість бірж.
  • Роздільне зберігання даних. Означає, що активи біржі і користувачів зберігаються окремо один від одного. При грамотному розподілі хакеру, щоб отримати доступ до всіх коштів, доведеться зробити ті ж дії, що і для злому двох різних бірж.
  • KYC і AML. Нелюбимі прихильниками анонімності процедури трохи підвищують надійність біржі, тому що зловмисники не поспішають надавати свої особисті дані, тим більше, якщо потрібна перевірка паспорта. Від хакерів, які діють без реєстрації на біржі, ці процедури не рятують.
  • Обмеження на виведення коштів. Рекомендації різні - 2, 10, 20 біткойнів або еквівалент на добу. Якщо зловмисник отримає дані інших гаманців і проведе несанкціоновану транзакцію, дуже великого збитку він не заподіє. Обмеження знімається для великих підприємців та інвесторів, які можуть підтвердити свої дані і законність своєї діяльності.

З найбільш відомих програмних методів захисту:

  • Перевірка підміни адреси. Після того, як користувач вводить адресу, при створенні транзакції в своєму акаунті, (для виведення грошей, наприклад), в процес може вклинитися третя особа і непомітно цю адресу підмінити. Щоб цього не допустити, адреса перевіряється системою перед відправкою. Функція реалізована на багатьох крипторесурсах, в основному в гаманцях, і зарекомендувала себе як дієва.
  • Антифішинг. Антифішингова система повідомляє користувачеві про те, що замість знайомої біржі він взаємодіє з шахраями і ризикує поділитися з ними особистими даними. Раніше криптобіржі впроваджували цю функцію рідко, але зараз вона стала нагальною потребою. Наприклад, на біржі WhiteBit це працює наступним чином: користувач, в особистому кабінеті, вказує персональний код і активує спеціальний модуль Anti Phishing - надалі всі офіційні листи від біржі будуть містити цей код, а його відсутність відразу ж вкаже на те, що за справу взялися шахраї.

Серед інших способів захисту - брандмауер, система анти-DDoS, заголовки HSTS. Не кажемо про такі банальні речі, як протокол HTTPS замість HTTP і інші елементарні методи забезпечення схоронності даних.

Для користувачів це також:

  • обов'язкова двофакторна аутентифікація;
  • примусове розлогінювання при відсутності активності в акаунті більше N хвилин;
  • пароль, не коротший за 8 символів, що складається з цифр, букв різного регістру і додаткових знаків;
  • додатковий пароль на гаманець всередині аккаунту.

Деякі криптобіржі йдуть далі і пропонують досить нетривіальні методи захисту.

Наприклад, існують біржі, які підтримуються страховим брокером і купують страховий поліс, який, в разі втрат від кібератак, відшкодує користувачам збитки.

Ще одне перспективне рішення - штучний інтелект, який відстежує всі підозрілі дії в акаунті і своєчасно активує додаткові шари захисту.

Все це, правда, мало рятує від вразливостей, які існують в інших додатках. Гаманці та плагіни на основі API цілком можуть стати точкою, через яку буде проведена атака. Єдине протидія - самостійна розробка додатків або, як мінімум, робота з максимально надійними з існуючих рішень.

Біржі криптовалют і безпека: чого чекати далі?


Стовідсоткової безпеки не буває. Це головне правило, яке потрібно пам'ятати при роботі на біржі. Великі гроші завжди привертають охочих незаконно їх привласнити. Зловмисники постійно винаходять нові прийоми, методи атаки, і гонка фахівців з кібербезпеки і хакерів нескінченна.

В таких умовах забезпечення безпеки гаманця частково лягає на плечі клієнта. Жоден з існуючих методів захисту не спрацює, якщо користувач регулярно заходитиме в біржовий аккаунт з десятками біткойнів через публічний Wi-Fi.

Безумовно, криптовалюти давно пройшли «комп'ютерний» етап, коли потрібні були сотні гігабайт для одного гаманця і транзакції з телефону здавалися фантастикою. Нинішні гаманці легко дозволяють працювати з криптобіржамі з будь-якого смартфона і безпечно розпоряджатися своїми коштами - сучасні рішення типу Paytomat Wallet спочатку розробляються і надалі поліпшуються саме з врахуванням зростаючого попиту аудиторії на швидкість і зручність не на шкоду безпеки, яка, як показує практика, все ще може ставати проблемою при зберіганні великих сум на біржах.

Банальна обережність користувача при використанні криптобірж - база безпеки. Решта - робота кіберспеціалістов.

На щастя, криптоінфраструктура в цьому відношенні просувається вперед. Один із доказів цього: ті ж дослідники з ICO Rating, про дослідження яких станом на кінець 2018 року йшлося вище, протягом 2019 року дещо поліпшили свої оцінки безпеки бірж, в зв'язку з чим три біржі - Huobi, Kraken і BTCTurk - вже мають рейтинг А+ на момент написання статті.

Обумовлено це просування частково легалізацією криптовалют, частково - їх виходом на якісно новий рівень. Неможливо було говорити про страхування біржового криптокапіталу, коли криптовалюти перебували в «тіні». Багатосторінкові стандарти безпеки почали з'являтися після буму ICO, а придбали більш чіткі обриси в останні два роки, коли функціональність бірж зросла в рази і на них пішли великі інвестори. Нинішні рекомендації - явно не остання редакція, і, очевидно, вони будуть оновлюватися, доповнюватися і трансформуватися з розвитком криптовалют.

З іншого боку підвищення рівня безпеки забезпечує прогрес в кібербезпеці взагалі. Той же штучний інтелект на криптобіржах - новинка в криптоінфраструктурі, але можна не сумніватися, що в майбутньому він стане звичайною практикою і далеко за межами цього ринку.

Нарешті, останнім часом в рази зросла кількість перевірок, в тому числі тестування безпосередньо систем безпеки. Знову-таки чітких загальносвітових стандартів поки немає, але криптовалютна глобалізація бере своє, і скоро ми, ймовірно, побачимо для криптобірж таку ж структуру вимог, як і для банківської сфери.
0


Шановне товариство!
Якщо Ви виявили помилку, або "мертве" посилання, виділіть проблемний фрагмент мишкою та натисніть CTRL+ENTER.
У діалоговому вікні, що з'явилося, опишіть проблему та надішліть повідомлення Адміністрації ресурсу. Дякуємо!
Схожі публікації:
Інформаційне повідомлення
Відвідувачі, які знаходяться в групі Гості, не можуть залишати коментарі до даної публікації.
Опитування
Яким пристроям для майнінгу криптовалют Ви надаєте перевагу?