Епоха криптоаферистів. Чому у власників біткоїнів болить голова

Протягом літа анонімний хакер вкрав криптовалюти приблизно на $600 млн з Poly Network, децентралізованої фінансової мережі, про яку поза межами криптовалютного світу, ймовірно, мало хто чув. Щоправда, потім хакер повернув усе, що викрав. Цікаво й те, що за кілька днів керівництво Poly Network… запропонувала хакеру-крадію роботу.

Однак це єдина історія про викрадення криптовалюти із хепіендом. Інші – набагато печальніші. Наприклад, восени хакери вкрали щонайменше $150 млн з криптобіржі Bitmart. Кібераферисти використали вкрадений секретний ключ, щоб відкрити два онлайн-гаманці та витягти кошти.

Подібні інциденти з «дірками у криптобезпеці» не є чимось новим у світі криптовалют, але кількість спритних махінаторів зростає, оскільки ціни на криптовалюту за останній рік суттєво зросли.

Показники зростання курсу найбільш поширених криптовалют за останній рік

Динаміка індексу криптовалют Bloomberg

Згідно з даними, зібраними Comparitech, цьогоріч сталося п’ять із десяти наймасштабніших крадіжок криптовалют усіх часів. За прогнозами експертів з фінансових технологій, кількість подібних інцидентів зростатиме через поширення використання криптовалюти, пише CNN.

Де захована проблема?

За словами Тома Робінсона, головного наукового співробітника лондонської фірми Elliptic, спеціалізується на аналізі ринку криптовалют, двома основними мішенями крипто-зламів є централізовані біржі (це біржі, які є онлайн-ринком для всієї криптовалютної мережі) та сервіси децентралізованого фінансування (DeFi, фінансові інструменти у вигляді сервісів і додатків, створених на блокчейні). Головна задача децентралізованих фінансових сервісів – замінити традиційні технології фінансової системи протоколами з відкритим вихідним кодом.

Централізовані біржі були основною метою хакерських груп протягом кількох років. Ці біржі зберігають активи користувача в цифрових онлайн-гаманцях. Зберігання онлайн робить їх більш доступними для користувачів, але також потенційно легкодоступними для хакерів. Одним із таких прикладів можна назвати злам BitMart, що стався 5 грудня. Злочинці викрали, за попередніми оцінками, цифрових активів на суму близько $150 млн. В основному це були токени Shiba Inu (SHIB) і стейблкоіни USDC (стейблкоіни – це різновид криптовалюти, для якої вдалося досягти стабільної ринкової ціни, слабко залежної від загальної волатильності криптовалютних ринків – «Главком»). Засновник і генеральний директор BitMart Шелдон Ся підтвердив інцидент і уточнив, що вкрадені кошти були відправлені на сервіс Ethereum Tornado Cash, що ускладнить їх відстеження.

Інший приклад масштабного зламу централізованої біржі – атака на Coincheck у 2018 році, в результаті було вкрадено понад півмільярда доларів.

Сервіси DeFi – це нова частина криптосвіту. За словами Тома Робінсона, програмні додатки DeFi запускаються безпосередньо на платформі блокчейну, і злам цих служб зазвичай відбувається через помилки кодування або проблеми з дизайном додатків. Прикладом атаки на DeFi може слугувати нещодавній злам Badger DAO – платформи, яка надає користувачам сховища для зберігання біткоїнів та отримання прибутку. Хакери викрали з Badger DAO $120 млн. Один з користувачів DeFi-протоколу Badger DAO втратив понад $50 млн (на той момент це становило майже 897 біткоїнів).

«Галузь швидко розвивається. З огляду на те, що такі додатки працюють за технологією з відкритим кодом, хакери можуть знайти слабкі місця в коді», – коментує Ребекка Муді, керівник відділу досліджень Comparitech.

Що ви насправді ризикуєте втратити?

Злам біржі не обов’язково означає, що користувач втратить всі свої гроші. Кожен крипто-сервіс має різні рівні захисту від зламу. BitMart, наприклад, зобов’язується покрити всі вкрадені активи.

За словами аналітика крипто-злочинності Джо Макгілла з блокчейн-компанії TRM Labs, якщо організація не має можливості виплатити компенсацію постраждалим користувачам, то все одно є шанс, що вкрадені кошти повернуться завдяки правоохоронним органам: наприклад, кіберпідрозділу кримінальних розслідувань IRS (Служба внутрішніх доходів у США).

Власнику криптовалюти слід бути готовим до того, що він може втратити її назавжди. «Найчастіше хакери знають, як заховати вкрадені кошти, оскільки криптовалюта практично не відстежується і легко маскується, відмиваючи її через гаманці за лічені хвилини», — говорить Адам Морріс, співзасновник Crypto Head.

Як власники криптовалют можуть захистити себе?

Експерти кажуть, що під час використання криптовалютного гаманця або біржі користувачі повинні поцікавитися компетентністю працівників компанії, на яку вони покладаються. «Чи є у ній люди, відповідальні за кібербезпеку? Чи має компанія хороший досвід? Скільки в компанії працівників? Ви повинні ретельно вивчити ці питання», – каже Том Робінсон.

Є також основні заходи безпеки, які користувачі можуть вжити під час доступу до свого крипто-рахунку. Експерт з кібербезпеки Джо Макгілл рекомендує застосовувати двофакторну аутентифікацію або апаратні ключі, які по суті є паролями, що зберігаються на автономних пристроях. Він також рекомендує застосовувати схвалення для кожного зняття криптовалюти.

«У будь-якому разі немає 100% гарантії уникнення кіберзлочинності», – попереджає Макгілл.

Інший спосіб захистити свої криптоактиви, за словами експерта Адама Морріса, — використовувати апаратний гаманець, відомий як «холодне сховище» (офлайн-гаманець), а не зберігати криптовалюту за допомогою онлайн-гаманців. Хоча цей варіант вважається найбезпечнішим методом зберігання криптовалюти, є нюанс: він покладає на користувача всю відповідальність за зберігання приватних ключів. Якщо ці ключі вкрадено або втрачено, немає організації, яка б забезпечила технічну підтримку і вирішила проблему. На початку минулого року світ облетіла новина про те, як програміст, власник біткоїнів, забув пароль до свого «холодного гаманця» та втратив криптовалюти на $240 млн. Відома й інша печальна історія: у 2014-му житель Великобританії, який мав в активі 10 тис. біткоїнів, він їх купив ще у 2010-му, втратив їх: його мати викинула лептоп, на якому зберігалися ключі від криптогаманця.

Наталія Сокирчук, «Главком»