Найдена уязвимость данных пользователей криптовалютных бирж

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир.

Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами.

Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.

Ещё в конце весны я купил доступ за $500 к инсайдам одного инвестиционного клуба. Прикупил себе ещё монет, — это кроме эфира и биткоина, а в конце августа поступила рекомендация о том, что можно отдавать свои биткоины трейдерам под %15 в месяц, именно поэтому я начал свой путь с сайтов, которые занимаются доверительным управлением.

Первая компания — example1.com (Запретили разглашать названия, связанные с их веб-сайтами) очень популярна и известна для многих инвесторов. Перед тем, как вкладывать туда деньги, решил проверить личный кабинет на уязвимости.

Зарегистрировался, но на удивление — ничего не нашёл, везде фильтрация, csrf токены и тд. Потом зарегистрировал ещё один аккаунт, но вместо имени вписал скрипт сниффера.

Мне долго ничего не приходило, я уже было смирился с тем, что у проекта все хорошо с безопасностью, нет никаких BLIND XSS и прочих вещей, но только до момента пока мне не пришли логи (исходный код, ip администратора, local storage и др)

JS выполнился, когда админ проверял страницу с данными о пользователе admin.example1.com/user/default/index?page=75. Аналогичные уязвимости всё чаще встречаются на hackerone, пример https://hackerone.com/reports/251224.

Просмотрев логи, я расстроился из-за того, что все cookies с httponly флагом и не удалось получить ни одной, в итоге, я бы не смог получить доступ к админ панели, но когда перешёл по ссылке admin.example1.com/user/default/index?page=75, то увидел, что админ панель можно использовать без авторизации, — это грубейшая ошибка разработчиков.

Всего можно было просматривать и изменять информацию о 2010 пользователях (email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер).

На скриншоте один из самых богатых инвесторов клуба, у него большое число подписчиков и я постоянно слежу за его блогом. Он порекомендовал всем своим подписчикам вкладывать в это ДУ свои деньги, конечно же, по реферальной ссылке, но не больше %20 от капитала.

Через небольшой промежуток времени ему удалось заработать на этом 20 биткоинов, что равняется $360 000 на сегодняшний день.

Злоумышленник без какой-либо подготовки или опыта мог легко зайти в админку и изменить email адреса всех инвесторов на свои(или просто изменить кошельки для вывода, чтобы не вызвать лишних подозрений когда жертва решит вывести деньги, ибо при выводе кошелек по каким-то причинам не отображался). Инвесторы там достаточно крупные, у многих есть депозиты >0.5btc. Очень странно, что в админке не указаны пароли в открытом виде, — у меня такое чувство, что разработчики этого ДУ способны на всё что угодно в плане ухудшения безопасности своего сервиса. После обнаружения уязвимости я прислал репорт разработчикам, они, в свою очередь, связались с создателем и устранили уязвимость… Мне предложили начислить награду на счет в личном кабинете, где я буду получать % и через полгода смогу выйти в безубыток, а уже через год заберу само тело. Месяцем позже, когда я нашёл похожую blind xss у них в сервисе и получил за неё ещё баунти, стало известно, что разработчиков ДУ уволили (и деньги за их работу на то время вроде бы не выплатили), разработкой стали заниматься другие люди.

Немного позже, после первой рекомендации, пришла вторая (example2.com). Это тоже топовый, популярный сервис доверительного управления, у него alexarank

Источник: https://habr.com/post/343152/

Где и как хранить криптовалюту, чтобы ее никто не украл | Rusbase

У биржи

2 августа 2016 года курс биткоина упал за несколько часов на 20%. В этот день была совершена одна из крупнейших краж в истории криптовалюты.

Злоумышленники нашли уязвимость в системе безопасности биржи. Bitfinex в качестве попечителя использовала компанию BitGo: копии ключей от кошельков хранились на серверах биржи, в BitGo и в автономном офлайн хранилище.

Хакеры обошли защиту BitGo, сняли ограничение на вывод средств и за короткий период перевели деньги на тысячи кошельков. Bitfinex никак не могла повлиять на ситуацию.

У простого человека

С кражей криптовалюты сталкиваются не только крупные биржи, но и простые пользователи. Этим летом стартап CoinDash стал жертвой хакеров и потерял более $7,4 млн.

Во время ICO стартап разместил свои токены, но злоумышленники подменили адрес кошелька, на который перечислялись эфиры (Ethereum) инвесторов. Махинацию быстро раскрыли, но за три минуты хакеры сумели вывести почти 43 500 эфира.

А сколько уже украли?

По нашим подсчетам, начиная с 2014 года киберпреступниками похищено биткоинов на сумму более $1,8 млрд (по курсу $5 000 за 1 биткоин).

Аналитики Group IB сталкивались примерно с 80 случаями крупных взломов крупных проектов в последние годы, без учета фишинга при ICO и краж криптовалюты из кошельков обычных пользователей.

Кроме уязвимостей в сторонних системах, эксперты связывают высокое количество краж с недостаточной безопасностью кошельков, на которых хранится криптовалюта.

Криптовалютный кошелёк представляет собой программу, которая владеет набором ключей (паролей для доступа), управляет этими ключами и даёт пользователю доступ к транзакциям его средств.

Что делать, когда забыл пин-код?

Чтобы провести операцию с криптовалютой, необходимо ввести private key — многозначную цифро-буквенную комбинацию (по факту — пароль). Защита криптосчета строится на защите этих самых ключей.

Марк почти полгода пытался вспомнить пароль, прибегнув даже к сеансам гипноза. Но спасла его уязвимость кошелька, о которой сообщил сам производитель. Воспользовавшись услугами хакера и уязвимостью, журналист узнал и свой ключ, и комбинацию проверочных слов.

Private key также является объектом повышенного внимания со стороны злоумышленников. В отличие от традиционных банковских счетов криптовалютные счета отличаются открытостью.

У любого владельца крипты есть public key — подобие номера счёта в обычном банке. Зная его, можно легко выяснить сколько средств хранится у человека. Дальше сохранность этих средств зависит от ответственности владельца и системы хранения, которой он пользуется.

Основные виды кошельков: плюсы и минусы

В 2014 году количество криптокошельков равнялось примерно 2 млн, сейчас эта цифра стремится к 23 млн, то есть средний рост примерно в 2,5 раза в год.

На сегодняшний день только в MyEtherWallet (один из популярных продуктов по хранению криптовалюты) уже зарегистрировано более 15 млн аккаунтов, на которых хранится примерно 62 млрд долларов. Эти цифры говорят о том, что активный рост числа пользователей будет продолжаться.

Кошельки делятся по уровню защиты: средний уровень безопасности или так называемые горячие кошельки.

1. Кошельки для ПК

По факту, это приложение, которое устанавливается на компьютер или в качестве расширения в браузер, в случае MyEtherWallet. Доступ к таким кошелькам возможен только через устройство, на котором они установлены. Каждый из кошельков имеет дополнительные уникальные функции.

Например, DarkWallet ориентирован на анонимность. Приложение использует различные методы защиты идентификаторов пользовательских счетов. При совершении платежа программа комбинирует данные нескольких синхронных транзакций, что не позволяет отследить действия со счётом.

Вывод: кошельки для компьютера обладают неплохой степенью защиты, но сохраняется опасность взлома или заражения ПК вирусом. Из-за чего можно потерять все деньги.

2. Мобильные кошельки

Удобны, потому что пользователь не зависит от компьютера и в некоторых случаях получает возможность оплачивать криптовалютой покупки в реальных магазинах. Примеров таких кошельков достаточно: Mycelium, Xapo и Blockchain.

Источник: https://rb.ru/opinion/kupil-zashishaj/

Group-IB: Криптовалютные биржи не безопасны, пользовательские данные крадут все чаще

Специалисты компании Group-IB провели исследование и установили, что на криптовалютных биржах все чаще случаются утечки пользовательских данных. За последний год их объем возрос на 369%. Больше всего потерь понесли жители Китая, России и США. Компания проанализировала 19 самых популярных криптовалютных бирж.

Какие инструменты используются для кражи пользовательских данных?

Компания Group-IB обнаружила 50 ботнетов, используемых для взломов криптовалютных бирж. Инфраструктура, которой пользуются преступники, находится преимущественно в США. Далее идут Нидерланды, Украина и Россия.

Постоянно создаются и распространяются вредоносные программы. Сейчас на пике популярности такие хакерские разработки, как бот Qbot, трояны Pony Formgrabber и AZORult.

Злоумышленники продолжают работать с инструментами, которые раньше применялись для атак на финансовые структуры. Сейчас они используются для взлома кошельков и криптовалютных бирж, чтобы добраться к пользовательским данным.

Почему хакерские атаки приносят результат?

Аналитики Group-IB подмечают, что причиной многих атак становится отсутствие двухфакторной идентификации. Биржи предпочитают не устанавливать эту опцию, а пользователи ей не пользуются даже, когда она есть.

Подавляющее большинство криптоинвесторов игнорирует правила безопасности и устанавливает простые пароли. Выборка Group-IB содержала 720 учетных паролей. Стало известно, что каждый пятый человек использовал пароль, который был меньше 8 символов.

Уязвимость криптовалютных бирж

Из 19 исследуемых площадок 5 стали жертвами атак, которые широко освещались в СМИ. Речь идет о следующих биржах:

  • Bitfinex,
  • Bithumb,
  • Bitstamp,
  • HitBTC,
  • Poloniex.

Причинами взлома становились:

  • фишинговые атаки,
  • ошибки исходного кода,
  • взлом баз данных,
  • ошибки системы при выводе и хранении средств.

Все перечисленное является следствием непрофессионализма разработчиков. Они не уделяют должного внимания защите цифровых активов и информационной безопасности. В целом отрасль пока еще не готова полноценно защищать себя и пользователей.

Аналитики делают вывод:

Эксперты прогнозируют:

Рекомендации экспертов Group-IB

Чтобы не потерять свои деньги в результате действий хакеров, специалисты советуют максимально внимательно относиться к паролям, используя не менее 14 символов. Также нельзя использовать одинаковый пароль для разных криптовалютных бирж. Следует всегда пользоваться двухфакторной идентификацией и не работать с площадками, у которых нет такой опции.

Не рекомендуется пользоваться публичным Wi-Fi, особенно при работе с биржами. И лучше не афишировать в социальных сетях, что вы работаете с криптовалютами.

Эксперты заявляют, что уровень защиты криптовалютных бирж значительно повысится, если использовать решения Threat Intelligence и внедрять анти-фрод решения, которые имеют систему поведенческого анализа. Кроме этого, необходимо разработать план реагирования на каждый случай взлома криптовалютной биржи.

Источник: https://expes.ru/kriptovalyuty/kriptovalyutnyye-birzhi

Полностью децентрализованная криптовалютная биржа: кто станет первым?

Криптовалютный рынок уже пережил пик славы, но несмотря на то, что сегодняшние новости мира криптовалют иногда расстраивают, децентрализованные биржи продолжают активно конкурировать друг с другом и с централизованными биржами и создают самые передовые разработки. Путь развития криптоплатформ сложный — он полон конкуренции, имеет множество скрытых нюансов и проблем. Чтобы понять рынок, нужно учитывать наиболее важные вопросы:

  • В чем разница между централизованными и децентрализованными биржами? У каждой биржи есть свои плюсы и минусы, прогресс беспощаден  и вскоре мы увидим значительные изменения как в централизованных так и децентрализованных платформах обмена, это неизбежно.
  • Что такое высокочастотный трейдинг (HFT)  и какие преимущества и трудности внедрения сегодня у него есть?

В нашей статье мы постараемся ответить на эти вопросы.

Классика НЕ бессмертна

Технология блокчейн помогает осуществить глобальный переход к экономике, где в сделке по обмену средствами на бирже не требуется участие третьих сторон (лиц).

Однако сегодняшние криптообменные биржи, в основном, не являются децентрализованными, что приводит к многочисленным серьезным угрозам: они уязвимы ко взломам, не реагируют на конкретные процессы связанные с технологией blockchain (такие как хард форки), и часто связаны с риском попасть под разные регулировки и правила разных правительств мира.

Централизованные криптовалютные биржи вскоре могут  вообще стать устаревшими, поскольку они упускают использование технологии blockchain для улучшения своих возможностей и повышения их эффективности.

Проблемы централизованных бирж многочисленны: отсутствие ликвидности, уязвимость, риски потерь и краж в результате централизованного принципа работы. Такие биржи представляют собой “лакомый кусочек” для хакеров, в связи с тем, что через них совершаются миллиарды транзакций ежедневно, а серверы обменников хранят деньги пользователей.

Децентрализованные обменники или DEX наоборот направлены на решение проблем, присущих централизованным структурам, по-этому они создают рынки равноправного кредитования (P2P-рынки), основанные на мощной технологии блокчейн — зачастую Ethereum, которая позволяет трейдерам хранить средства и далее управлять ими независимо.

Но самыми популярными биржами сегодня всё ещё являются централизованные биржи — поскольку они удобны в использовании и предоставляют высокие объемы торгов. Довольно ироничный парадокс: централизованные биржи, как основной двигатель децентрализованной экономики.

Децентрализованные биржи. Исследования и разработки

Эксперты различных отраслей согласны с тем, что децентрализованные биржи имеют несколько основных и глобальных преимуществ: полная анонимность,  более продвинутые меры безопасности и глобальный охват рынка.

Более того, децентрализованные биржи отличаются от централизованных тем, что они позволяют пользователям напрямую контролировать свои средства, управляя ими в блокчейне: они используют технологию самой криптовалюты, тем самым обеспечивая безопасность и прозрачность торговли. Тем не менее, очень важным недостатком децентрализованных бирж является то, что у них есть ограничения в блокчейн ядре, на котором они написаны. Более того, отсутствие алго-трейдинга существенно ограничивает целевую аудиторию трейдеров.

Нужно понимать что сама торговля связана с многочисленными рисками — тут трейдеры полагаются лишь на собственное мнение, и вряд ли согласятся столкнуться с дополнительными ненужными рисками, что приведет к минимально выгодной или невыгодной сделке.

Выделяя основные преимущества, мы видим что при использовании DEX у пользователя нет необходимости доверять средства третьим сторонам (лицам), что гарантирует большую безопасность средств и хранение конфиденциальных данных в безопасной среде.

Тем не менее, DEX также имеют и слабые стороны, которые необходимо учитывать: проблемы с масштабируемостью системы blockchain, на которой они основаны, неудобства использования в связи с определенными трудностями с ликвидностью, сложность платежей и транзакций, а также отсутствие фиатных средств.

Будет ли у по-настоящему децентрализованной биржи возможность высокочастотного трейдинга?

Длинный и тернистый путь прошел рынок до появления новых стратегий, нестандартных расчетов и трейдинговых идей. Одной из тенденций последних двух десятилетий являются алгоритмы высокочастотной торговли, которые выполняют операции за долю секунды, скоростью полностью непостижимой человеческому глазу.

Какова основная проблема внедрения HFT на децентрализованных биржах? Одной из ключевых проблем, с которыми сталкиваются децентрализованные биржи, является медленное отображение блоков для высокочастотной торговли.

Вывод полностью зависит от хэширования и способности программы быстро решать «сложные» вычислительные задачи. Для обеспечения высокочастотной торговли на децентрализованных платформах разрабатываются конкретные частично-централизованные системы.

Они являются службами вне сети, которые не включают транзакции в общую цепочку данных.

“Прежде всего, я бы не сказал, что мы вообще должны каким либо образом сравнивать децентрализованные и централизованные биржи. У них совершенно разная целевая аудитория.

Так, например, алгоритмические трейдеры никогда не пойдут на децентрализованные биржи, — говорит генеральный директор криптовалютной биржи EXMO Сергей Жданов.

— У централизованных бирж гораздо более удобный интерфейс, у них есть расширенные функции, в основном они просты в использовании, у них есть фиатные валюты, ликвидность, торговые инструменты — я могу продолжить перечислять все их достоинства бесконечно.

В чем единственный недостаток, который я вижу в централизации? В том, что биржа контролирует средства. И это ключевая цель для рынка которую нам нужно преодолеть. Поэтому я вижу будущее за  централизованными биржами с децентрализованными средствами пользователей”.

Конечно, в случае каких-либо проблем с внедрением HFT на DEX пострадают не только трейдеры, но и поставщики алгоритмических инструментов торговли и ботов.

“Наша команда еще не изучила возможности высокочастотного трейдинга на децентрализованных биржах, но это, безусловно, важно и необходимо для всех, — говорит Камилия Арсланова, генеральный директор платформы Arbidex. — Потому что удалить посредников и заработать больше — это мечта любого трейдера. Таким образом, новый этап разработки платформы Arbidex — это децентрализация и арбитраж на децентрализованных платформах”.

Гонка рынка децентрализованных бирж

Сейчас наиболее выгодный момент для участия в гонке-конкуренции  создания ведущей децентрализованной платформы. Два гиганта идут рука об руку — это гонка-попытка разработать и представить наилучшее возможное решение.

С одной стороны, совсем недавно генеральный директор Binance Changpeng Zhao объявил о демо-версии планируемой децентрализованной обменной платформы — были показаны три основные пункта запланированного: создание, листинг и торговля токенами. Однако поскольку дата запуска остается в секрете, еще предстоит выяснить,  когда криптовалютная биржа номер один по объему торгов, согласно Coinmarketcap, будет доступна и какие объемы сможет обработать.

Более того, биржа Bitfinex, основанная в Гонконге, тоже имеет свои собственные планы, о которых она объявила даже раньше.

Биржа будет называться EOSfinex, она будет сочетать скорость и масштабность блокчейн цепи EOS.IO с опытом Bitfinex на крипто-рынке.

Биржа заявила, что исследовала ряд технологий на уровне протокола, чтобы оценить их совместимость с платформой с большим объемом, основанной на блокчейне.

текст: Ольга Гринина

Источник: https://bitcryptonews.ru/blogs/blokchejn/polnostyu-deczentralizovannaya-kriptovalyutnaya-birzha-kto-stanet-pervyim

Взломы и закрытия крипто-бирж

Представляем Вашему вниманию подборку самых известных взломов и закрытий крипто-бирж.

Mt.Gox

В начале 2014 года, самая популярная биткойн-биржа Mt.Gox прекратила свою работу. По разным оценкам с биржи были украдены 460 млн. долларов, что подтолкнуло токийскую биржу к банкротству. Пользователи, которые хранили свои биткойны на счетах Mt.Gox, до сих пор не получили никакой компенсации от процедуры банкротства компании.

Poloniex

В том же году другая популярная крипто-биржа Poloniex объявила о том, что была взломана и потеряла 12,3% биткойнов депонированных на бирже, стоимостью около 50 000 долларов.

Bitstamp

Известная европейская биржа Bitstamp была взломана в 2015 году, когда злоумышленники смогли заразить сеть компании вредоносным кодом, использовав фишинговые письма среди сотрудников. Преступники смогли украсть более 19 000 биткойнов (около 5 миллионов долларов в то время), что привело к временному закрытию биржи.

LocalBitcoins

Самый популярный P2P обмен биткойнами LocalBitcoins также подвергся кибератакам. в 2015 году неизвестный хакер смог украсть 17 биткойнов хранящихся в кошельках пользователей, используя вредоносное ПО кейлоггер. Хотя этот взлом был незначительным с точки зрения потерь, он иллюстрирует тот факт, что даже самые крупные централизованные обмены не являются безопасными для трейдеров.

Bitfinex

В 2016 году Гонконгская биржа Bitfinex также стала жертвой кибератак. В результате которой были украдены средства пользователей на сумму более 72 млн. долларов. После чего биржа выпустила токены Bitfinex (BFX) для пользователей, которые потеряли свои средства. Токены в дальнейшем можно было продать или обменять на акции компании.

Cryptsy

Популярная биржа альткоинов Cryptsy прекратила своё существование в 2016 году. Руководство биржи сообщило, что разработчик монеты Lucky7Coin взломал ресурс и обокрал их. Известно что злоумышленник заранее встроил уязвимость в код кошелька, что и привело к взлому биржи. Ущерб составил 13 000 биткойнов и 300 000 лайткойнов, что равнялось примерно 5,2 млн. долларов по курсу того времени.

Bithumb

Летом 2017 года Южнокорейская криптовалютная биржа Bithumb, являющаяся четвертой по величине в мире сообщила о взломе. Известно, что злоумышленники сумели скомпрометировать компьютер одного из сотрудников биржи, после чего получили доступ к информации о 31 800 пользователях ресурса (порядка 3% от всей пользовательской базы). Точная сумма ущерба неизвестна.

OKEx

Китайская биржа OKEx также была взломана. Один из пользователей биржи, сообщил, что его аккаунт был взломан с немецкого IP-адреса. Хакер отменил все отложенные ордера и продал биткойны, что привело к потере 200 биткойнов на сумму 750 тысяч долларов. В общей сложности потери от взлома составили 3 млн. долларов.

BTC-e

Самая известная русскоязычная биржа BTC-e была закрыта летом 2017 года. Власти США обвинили биржу в содействии преступной деятельности и наложили штраф в размере 110 млн. долларов.

Источник: https://blockru.com/vzlomy-i-zakrytiya-kripto-birzh/

Криптовалютные кошельки продолжают взламывать и еще раз о безопасности в сети | BitExpert: все о криптовалютах

Особенности криптовалют

Особенностью многих криптовалют является их децентрализированный характер, так как их выпуск осуществляют независимые майнеры, сосредоточенные по всему миру, и не существует  единого центра эмиссии.

Благодаря данной специфики никто не может заморозить ваши деньги на счетах в криптовалютных кошельках. Ни государство, ни даже разработчики самих кошельков. Вся информация децентрализована.

Большинство криптовалютных кошельков анонимно, то есть для хранения и распоряжения криптовалютами не надо предоставлять свои паспортные данные, проходить верификацию.

Исключением являются только кошельки Ripple. Согласно последним обновлениям данной криптовалюты, банки, контролирующие платежные шлюзы, могут заморозить не только единичные транзакции, которые им покажутся сомнительными, но и сами счета пользователей. Это “плата” разработчиков Ripple за сотрудничество с банками и активное распространение данной криптовалюты в банковской и финансовой среде.

Но с криптовалютами существует другая проблема. Хакеры хорошо научились взламывать, как счета криптовалютных бирж, где хранятся деньги трейдеров, так и сами криптовалютные кошельки.

И если владельцев криптовалютных кошельков еще можно обвинить в безалаберности и не соблюдении даже элементарных мер безопасности в сети, то профессиональные криптовалютные биржи с мощным аппаратом сотрудников по кибербезопасности в непрофессионализме обвинить трудно. Но биржи взламывают с не меньшим успехом, чем сами криптовалютные кошельки.

Почему взламывают криптовалютные кошельки

Постоянно приходят сообщения о том, что хакеры нашли ту или иную уязвимость криптовалютного кошелька или баг в самой криптовалюте, которую поддерживает кошелек. В итоге, как обычно, страдают держатели кошельков. Хакеры уходят безнаказанными, а люди безвозвратно теряют деньги, а некоторые и веру в криптовалюты и их безопасности, полностью разочаровываясь в них.

Но еще больше сообщений на форумах, в социальных сетях и в блогах появляется от самих  владельцев кошельков, которые потеряли деньги не по причине компьютерного бага и уязвимости в самой криптовалюте или кошельке, а в следствии своей невнимательности, упущений, незнаний, не принятия мер по усилению защиты кошельков.

Люди используют общественный WiFi для входа в криптовалютные кошельки и осуществления платежей, а в это время хакеры перехватывают данные их закрытых ключей. Многие пользователи кошельков отказываются от установки двухфакторной верификации своих счетов.

Ведь данная дополнительная мера безопасности требует помимо ввода пароля еще и подтверждения своего входа в кошелек через почтовый ящик. Для владельцев кошельков лишнее действие по верификации в виде входа на электронный ящик и введения полученного кода подтверждения в кошелек, вызывает трудности. Не удобно, требует лишнего времени и усилий.

Поэтому многие пользователи криптовалют отказываются от таких дополнительных мер безопасности.

А ведь многие разработчики кошельков придумали трехфакторную верификацию, когда помимо почтового подтверждения необходимо ввести код, который приходит на мобильный телефон.

По этому принципу работают и мультиподписи. Чтобы осуществить платеж необходимо ввести проверочный код, который приходит на привязанный к криптовалютному кошельку номер мобильного телефона или другого устройства.

Все эти дополнительные меры безопасности усложняют работу с кошельком, требуют совершения дополнительных действий, а иногда и специальных знаний или изучения информации.

Держателям криптовалют они не удобны, люди отказываются от их совершения.

В итоге, хакеры и прочие мошенники пользуются такой леностью подавляющего большинства населения, взламывают кошельки и воруют деньги пользователей, при этом оставаясь анонимными и безнаказанными.

Не стоит забывать о важной особенности многих критповалют – их открытом характере. Все платежи по блокчейн прозрачны. Любой их может отследить и проверить. А месте с платежами можно узнать все операции по криптовалютному счету и его остатки. Таким образом, хакеры заранее знают, где воровать и сколько денег они получат в итоге.

Случаи последних взломов кошельков

Буквально вчера в сети появилось еще одно сообщение о крупной массовой краже средств с кошельков вкладчиков. И опять виной тому безалаберность самих граждан и их желание все упростить и пойти самым простым, но часто не самым безопасным путем.

На сей раз пострадали владельцы кошельков IOTA. В общей сложности они потеряли порядком 4 миллионов долларов. Это только те потери, о которых известно. Но далеко не все люди сообщили о том, что были обворованы.

В этот раз виноваты не разработчики криптовалюты IOTA и не создатели кошельков, которые поддерживают данную криптовалюту. Как это часто бывает виноваты сами пользователи.

Кражи происходили из-за онлайн генераторов seed-фраз для онлайн кошельков. Хакеры либо получили контроль над такими сайтами, либо самостоятельно создали таковые, чтобы своровать seed-фразы пользователей.

Дело в том, что в большинстве криптовалют сам кошелек генерирует seed-фразу, которая необходима для восстановления доступа к кошельку и дает полный контроль над счетом и всеми деньгами, которые в нем расположены. Но только не в кошельке IOTA.

При создании нового кошелька IOTA, пользователь должен самостоятельно ввести seed-фразу, которая включает 81 символ. На сайте HelloIOTA представлена инструкция, в которой указано о нескольких вариантах решения этой проблемы.

Одним из способов является  использование seed-генератора, созданного на основе IPFS. Другой вариант заключается в генерировании ключа при помощи Mac- или Linux-терминала.

Проблема заключается в том, чтобы воспользоваться одним из вышеуказанных способов, необходимо обладать специальными знаниями или внимательно прочитать инструкции по применению и разобраться в механизме генерации seed-фраз. На это требуется время и специальные знания.

Поэтому большинство пользователей кошельков не хотят вникать в проблему, в чем-то разбираться, изучать новое. Они предпочитают самый простой вариант. Воспользоваться услугами, которые предлагают онлайн генераторы seed- фраз.

При этом люди обращаются к помощи первых попавшихся им в сети онлайн генераторов, не проверяя их репутацию.

Пользуясь услугами не проверенных сторонних сервисов, никто не задумывается о том, кому могут принадлежать такие сайты. Возможно их специально создали мошенники, чтобы потом своровать ваши деньги, а может быть хакеры получили доступ к уже существующим онлайн-генераторам.

Владеть сайтом онлайн генератором зачастую означает владеть самой seed-фразой, а вместе с ней и доступом к многочисленным кошелькам, seed-фразы к которым были сгенерированы на таких сайтах.

Решение проблемы

Специалисты советуют не пользоваться сомнительными сайтами. Если вы все-таки решили создать seed-фразу, используя онлайн генератор, то после создания данной seed-фразы, ее необходимо изменить, поменяв местами части фразы, отдельные буквы или цифры. Таким образом, чтобы полученная в результате seed-фраза отличалась от того, что было создано онлайн генератором.

В таком случае никто не сможет украсть вашу seed-фразу и получить к ней доступ. Так как свою личную seed-фразу вы создали сами, а онлайн генератор вам только помог сделать это.

Другие кражи

Больше всего краж происходит с криптовалютных кошельков Ethereum. Это связано прежде всего с тем, что сеть Ethereum абсолютна открыта, любой человек даже без специального образования и навыков может узнать, сколько денег содержится на кошельке.

“Фирменный” криптовалютный кошелек Ehtereum myetherwallet.com бьет все рекорды по взломам, совершенным с использованием фишинговых программ, ворующих закрытые ключи или мнемонические фразы.

Источник: https://bitexpert.io/materialy-ot-chitatelej/kriptovalyutnye-koshelki-prodolzhayut-vzlamyvat-i-eshhe-raz-o-bezopasnosti-v-seti/

Пять крупнейших взломов криптовалютных бирж

Mt. Gox – одна из первых торговых площадок на рынке криптовалют — была впервые взломана в июне 2011 г.

Целью хакеров стал аудиторский аккаунт создателя биржи Джеда Маккалеба, который он сохранил после продажи Mt. Gox Марку Карпелесу. По условиям сделки Маккалеб имел право на часть прибыли Mt.

Gox в течение полугода после ее продажи. Аудиторский доступ был нужен Джеду, чтобы следить, как соблюдаются его интересы.

Тогда в результате взлома хакерам удалось продать и вывести со счетов около 500 000 BTC.

Mt. Gox была окончательно закрыта в феврале 2014 после исчезновения из депозитария и с кошельков пользователей 850 000 BTC. По словам Марка Карпелеса, биржа была вновь атакована хакерами. Злоумышленники якобы использовали лазейку в одном из протоколов, позволявшую менять идентификаторы транзакций и таким образом дважды продавать один и тот же актив.

Как позднее выяснило следствие, взлом действительно имел место. Однако украдено было всего 2000 BTC, т. е. лишь малая часть общих потерь. 200 000 BTC обнаружились в марте 2014 года. Карпелес заявил, что они хранились в электронном кошельке старого формата. Что случилось с остальными активами, установить не удалось. 650 000 BTC так и не были найдены.

Согласно основной версии следствия, средства исчезли со счетов Mt. Gox не в 2014, а в период с июня по ноябрь 2011. Причем, по меньшей мере 80 000 BTC существовали только в виде «депозитных» средств — т.е. в качестве обязательств оператора перед клиентами (т.н. частичное резервирование).

2. BitFloor

В сентябре 2012 был взломан другой старожил криптовалютного трейдинга.

31 августа «легли» серверы биржи. Владелец оператора Роман Штильман объяснил неполадки отключением электричества в датацентре и заверил пользователей, что все их средства в безопасности, а торговля скоро возобновится.

Однако некоторые клиенты BitFloor получили уведомление следующего содержания: «вероятно, в результате несанкционированного доступа ваши API-ключи были скомпрометированы». Ночью 4 сентября из системы исчезли 24 000 BTC.

Роман Штильман объяснил инцидент так: хакеры завладели незашифрованной резервной копией ключей от «горячего» кошелька, в котором хранилась основная часть средств пользователй. Копия была сделана при очередном обновлении системы.

Штильман сообщил клиентам, что ищет возможности возместить ущерб через продажу доли сторонним инвесторам. Часть потерянных средств действительно была компенсирована, однако весной 2013 банковский оператор биржи в США ликвидировал ее счет, и BitFloor закрылась.

3. Poloniex

Жертвой третьего крупного взлома стал Poloniex. Атака случилась 4 марта 2014.

Точную сумму ущерба компания не сообщает. Однако из заявлений владельца оператора Тристана Д'Агоста можно понять, что хакеры вывели со счетов около 12% от общего объема средств трейдеров или 97 BTC.

Детали ограбления в изложении Д'Агоста выглядят так: Хакер обнаружил, что если одновременно разместить несколько запросов на вывод средств, они все будут обработаны примерно в одно и то же время.

В результате, хотя баланс кошелька уйдет в минус, записи в реестре будут подлинными. Соответственно, запросы будут автоматически обработаны и выполнены.

Детали ограбления в изложении Д'Агоста

Вскоре после взлома торги на бирже были приостановлены. Оператор объявил, что счета всех пользователей будут «обрезаны» на 12.3%.

Таким образом Poloniex распределила убытки на всех пользователей, избежав панического вывода средств, в результате которого часть трейдеров (а именно 12.3%) могла полностью лишиться своих монет.

Poloniex работает по сей день.

Д'Агоста заявил, что все потери были полностью компенсированы, а усовершенствованный алгоритм вывода денег не позволяет обрабатывать запросы при отрицательном балансе счета.

Тем не менее, пользователи сообщают, что хакерские атаки на отдельные счета продолжаются:

Источник 1:  reddit.com

Источник 2: bitcointalk.org

4. Bitstamp

4 января 2015 года хакеры атаковали словенскую биткоин-биржу Bitstamp. Торги на площадке были приостановлены когда выяснилось, что был взломан один из операционных «горячих» кошельков. Хакеры похитили 19 000 BTC (на тот момент примерно $5 000 000).

Как показало расследование, за несколько недель до инцидента многие сотрудники Bitstamp подвергались фишинговой атаке. Файлы с вредоносным ПО были умело замаскированы под личные электронные письма и сообщения в Skype.

Жертвой социального инжиниринга стал сисадмин Лука Кодрич. Молодой человек загрузил файл, присланный, как он считал, организацией, в которую он собирался вступить.

Вскоре после инцидента оператор заморозил транзакции, повесив на сайте следующее объявление.

Bitstamp продолжает работать по сей день. Оператору удалось вернуть доверие пользователей, ужесточив меры безопасности: для доступа к кошельку теперь требуется мультиподпись (цифровая подпись нескольких лиц).

5. Bitfinex

Второе место по масштабам ущерба принадлежит Bitfinex. Нападение произошло в августе 2016 года. Сумма похищенного — 120 000 BTC (около $72 млн. на тот момент). В этот раз хакерам удалось воспользоваться уязвимостью в архитектуре системы мультиподписи.

В случае Bitfinex для одобрения транзакции требовалось три ключа — два хранились у самой биржи, еще один – у компании BitGo, специализирующейся на безопасности блокчейн-платформ. Задачей BitGo было верифицировать все исходящие транзакции Bitfinex.

Таким образом Bitfinex могла сократить объем средств в «холодном» хранении (на «холодных» кошельках), упростив процесс обработки заявок. Хакеры смогли обмануть алгоритмы BitGo, заставив ее одобрить списания средств. Как им удалось это сделать, так и осталось загадкой.

BitGo официально сообщила, что их собственные серверы атакованы не были.

В качестве компенсации пострадавшим пользователям Bitfinex выпустила токены, которые конвертировались в доллары согласно графику выплат. На сегодняшний день большинство инвесторов вернули потерянные средства. Bitfinex продолжает работу и числится среди лидеров объемам сделок в паре BTC/USD.

Биржи защищаются

Наученные горьким опытом, биржи стали гораздо серьезнее относиться к безопасности. Продвинутая защита от взломов сегодня — один из главных инструментов построения репутации. Большинство операторов используют как минимум одну, а чаще несколько антихакерских систем.

Самая простая и самая распространенная — двухфакторная авторизация.> Этот метод контроля широко практикуется в традиционном online-банкинге: для каждой транзакции нужно ввести одноразовый пароль, который высылается на телефон или e-mail клиента.

Как показывает практика, двухфакторная авторизация — не самый надежный способ защиты: злоумышленники давно научились взламывать почтовые ящики и дублировать телефонные номера потенциальной жертвы. Более продвинутый вариант двухфакторной авторизации – специальные приложения типа Authy и Authenticator.

Они блокируют доступ в систему, если логин и пароль скомпрометированы, запрашивая дополнительный код.

Второй по популярности способ защиты — мультиподпись. Суть этого вида защиты в том, что ключей от биткоин-кошелька не один, а несколько, и они находятся у разных владельцев. Доступ к средствам можно получить только собрав все электронные подписи.

Однако, как показала история со взломом Bitfinex, и система мультиподписи может дать сбой. В теории, чтобы украсть деньги, хакеры должны были вскрыть серверы обеих компаний — Bitfinex и BitGo. Как утверждает BitGo, ее «железо» взломано не было.

Тем не менее, BitGo автоматически подтверждала все заявки, поступавшие от биржи, то есть от взломавшего ее хакера. Система верификации от BitGo работает и на других популярных биржах, например Kraken и BitStamp. И работает, судя по всему исправно. По крайней мере, ни о каких взломах эти операторы не сообщали.

Возможно, дело не в самой мультиподписи, а в ее «кривой» установке. Как считают эксперты, мультиподпись работает только в том случае, когда все «подписанты» независимы друг от друга. В случае Bitfinex BitGo был не просто верифицирующей стороной, но и поставщиком услуг безопасности.

Так или иначе, мультиподпись – не панацея и должна дополняться другими рубежами обороны, например лимитами на снятие средств и «холодными» кошельками. Мультиподпись используют Kraken, CEX.io, Bitstamp, Bitfinex, MultiSigna и многие другие биржи.

Горячие и холодные кошельки

Пожалуй, самый надежный способ обороны от хакерских атак — деление средств на два кошелька: «горячий» и «холодный». «Горячий» — рабочий онлайн кошелек, с которого выполняются транзакции. «Холодный» — офлайновое хранилище, где под присмотром охраны на физическом носителе хранятся основные фонды трейдеров.

Кроме физической защиты (видеокамеры, вооруженная охрана, сканнер сетчатки глаза и т.п.), «холодный» кошелек может быть оснащен системой мультиподписи. Распределение денег пользователей между кошельками у каждой биржи различное. Чем больше доля в «холодном» хранилище, тем безопаснее. В идеале, все ваши монеты должны попадать в онлайн только в момент транзакции.

Но полная безопасность, к сожалению, несовместима с оперативностью. Ищите идеальную для вас пропорцию.

Замки с часовым механизмом

Так называемые Bitcoin Vaults (биткоин клапаны) — это специальные биткоин-адреса, где монеты запираются двухступенчатым защитным механизмом с двумя разными ключами. Чтобы разблокировать средства, нужен обычный цифровой ключ.

Однако полный доступ к деньгам откроется только через 24 часа. В течение этих суток любая транзакция может быть отменена введением второго ключа.

Есть и еще одна степень защиты: если хакер завладел обоими ключами, биржа может «сжечь» хранившиеся в кошельке средства.

KYC/AML

Эти две аббревиатуры означают политики верификации пользователя. KYC (know your customer — знай своего клиента) – стандартная для финансовых учреждений процедура проверки предоставленной клиентами информации. AML (anti money laundering — соответствие законам об отмывании денег) — тоже стандартная для традиционных финансов процедура проверки источников дохода клиента.

Многие убежденные адепты криптовалют исповедуют идеологию анонимности и децентрализации. Поэтому проверка личных данных, мягко говоря, не входит в их интересы. Однако, если оператору известны данные всех пользователей, биржевая торговля, безусловно, становится безопаснее.

Криптовалютные биржи пока не обязаны принимать политики AML/KYC, но некоторые делают это добровольно. Рост бюрократического бремени с лихвой компенсирует имидж легального и надежного оператора.

При этом риски минимальны: нарушив правила, оператор не обязан платить огромные штрафы, как делают традиционные финансисты.

Приверженцам анонимной торговли нужно учесть, что любой оператор, не выполняющий нормы AML/KYC, может внезапно стать «законопослушным» и попросить предъявить документы.

Так, например, случилось с BitStamp, которая безо всяких (по крайней мере официальных) запросов со стороны властей ограничила анонимный доступ к депозитам и выводу средств со счетов.

А BTCChina в один прекрасный день заблокировала пользователям даже вход на свою платформу, потребовав предоставить дополнительную информацию о себе. Не соответствующие требованиям трейдеры полностью потеряли доступ к своим средствам.

Наиболее «законопослушными» считаются две биржи — Coinbase и Bitstamp. Coinbase соблюдает все нормативные документы ЕС и США. Учетная запись пользователя регистрируется только после подтверждения личности по паспорту или водительскому удостоверению. И это еще не все: при создании кошелька оператор требует также данные кредитной карты и фото с веб-камеры.

Однако регистрация кошельков на Coinbase доступна резидентам лишь 33 стран, в число которых Россия пока не входит. Торговать через эту площадку можно лишь находясь за пределами РФ, например в США или одной из стран ЕС. Пытаться обмануть оператора, используя прокси-серверы, не рекомендуется.

Именно потому что Coinbase серьезно подходит к отчетности, такие попытки могут привести к безвозвратной потере средств.

Bitstamp имеет похожую процедуру регистрации (два документа, удостоверяющих личность и подтверждение адреса проживания — копии счетов за ЖКУ).

В апреле 2016 оператор получил разрешение правительства Люксембурга на деятельность на всей территории ЕС. Торговать через эту площадку из России, увы, тоже не получится, по крайней мере легальным путем — без использования прокси-серверов.

Доступ на сайт Bitstamp с российских IP заблокирован в январе 2016 г (по решению Роскомнадзора).

Список бирж, принявших политики AML/KYC:

  • Bitstamp
  • Bitfinex     
  • Coinbase    
  • Kraken
  • Cryptonit

Страхование

Страхование не защитит биржу от взлома, но позволит гарантированно вернуть потерянные средства клиентов. Этот способ защиты особенно распространен в Японии.

Например, Mitsui Sumitomo Insurance в партнерстве с Bitflyer страхует от ущерба в результате кибер-хищений, неавторизированного доступа, сбоев торговых программ, ошибок и мошеннических действий сотрудников биржи. Сумма страховых выплат от 10 млн. иен (около $90 тыс.) до 1 млрд. иен. (около $9 млн.).

Кроме Bitflyer, со страховщиками сотрудничает другой крупнейший японский оператор Coincheck. Его страховой агент гарантирует компенсацию до 1 млн. иен в случае неавторизированного доступа к учетной записи пользователя, защищенной 2-х ступенчатой аутентификацией.

Децентрализация

Децентрализованные биржи криптовалют — это относительно новый тип бирж. Такие площадки строятся по принципу Р2Р сети. Оператор вообще не хранит ваши коины на своих кошельках. Вместо них для транзакций используются токены-заменители или система временного депонирования с мультиподписью.

Пользователи выставляют свои предложения на продажу/покупку, а алгоритм биржи ищет среди них совпадающие пары. Чтобы осуществить сделку, продавец размещает свои монеты на временном депозите. Они разблокируются после подтверждения продавцом платежа от покупателя.

Деньги переводятся вне биржи любыми доступными способами (например, обычным банковским переводом).

>Второй вариант — биржа выпускает обязательства (токены) которыми обмениваются участники сделки. Когда пользователь хочет вывести свои средства с биржи, токены вновь конвертируются в криптовалюту и пересылаются владельцу.

Выгода децентрализации состоит в том, что вы не обязаны доверять свои средства оператору. Кроме того, децентрализация позволяет сохранять относительную анонимность (если, конечно, вы не пользуетесь для расчетов банковским переводом).

Кроме того, у децентрализованных бирж распределенный хостинг, а значит нет рисков «падения» сервера. Но есть у них и свои недостатки Во-первых, суммы транзакций чаще всего ограничены. Во-вторых, на них нет инструментов традиционных бирж: возможности торговать в кредит, делать ставки на рост или падение курса и т. п.

К децентрализованным площадкам относятся, например, LocalBitcoins и Bitsquare.

Аудиторы и «белые шляпы»

Хорошим тоном среди операторов стало проводить регулярные аудиты независимыми экспертами и тестирования на проникновение (взлом). Последним занимаются этичные «белые» хакеры или «белые шляпы» (white hat).

Цель белых шляп — взломать системы безопасности, чтобы найти потенциальные уязвимости, которыми могут воспользоваться «черные» шляпы, т. е. злоумышленнки. К услугам «белых» шляп прибегает, например, Kraken, о чем активно сообщает в своих рекламных коммуникациях.

В качестве аудиторов биржи привлекают непререкаемых авторитетов в криптовалютных технологиях. Например, Coinbase приглашал для проверки одного из ведущих биткоин-предпринимателей, Андреаса Антонополуса. Для операторов это хороший PR-ход. Однако, служат ли такие проверки гарантией безопасности, сказать сложно.

Например, обанкротившаяся в результате хакерских атак Mt. Gox в 2011 году пользовалась аудиторскими услугами не менее известного биткоин-инвестора Роджера Вера.

Источник: https://coin.radio/2018/01/03/pyat-krupneyshih-vzlomov-kriptovalyutnyih-birzh/

Атаки на криптовалюты: виды уязвимостей, вероятность и последствия

Летом 2018 атаке 51% подверглись две крупные криптовалюты ZenCash и Bitcoin Gold. Общие потери составили 550 тыс. и 18 млн дол. США соответственно. Еще месяцем ранее взломщики по такому же принципу атаковали стартап Verge, потерявший из-за этого около четверти стоимости.

Анализ потенциальных возможностей нападений показывает, что и ВТС теоретически может подвергнуться атаке, в результате которой сеть перейдет под контроль злоумышленников. Это говорит о том, что криптовалюты пока еще не готовы занять место реальных платежных систем.

О том, какие бывают виды атак и каковы их последствия, читайте в обзоре.

Атаки на криптовалюты: виды, суть и последствия

2 июня одна из популярных криптовалют (особенно у майнеров) ZenCash подверглась атаке 51%. Для столь крупного стартапа это может показаться невозможным, так как вычислительная мощность ZEN на момент атаки была относительно большой.

Тем не менее нашлась группа инвесторов, владеющая более 50% вычислительной мощности, которая смогла воспользоваться своим положением. В результате атаки инвесторы смогли совершить операции двойной траты в сумме около 550 тыс. дол. США.

  • Справка: «Двойная трата» — ситуация, когда человек, владеющий условно 1 ВТС, отправляет его сразу нескольким покупателям, получая взамен эквивалент. Реальную криптовалюту получает только первый участник схемы.

Несколько ранее, но с куда большими потерями пережила атаку 51% Bitcoin Gold. 24 мая появилось официальное сообщение от разработчиков о том, что неизвестному майнеру удалось приобрести более 50% хеш-мощности и вывести на свой счет около 388 тыс. монет стоимостью 18,6 млн дол. США.

Получив временный контроль над сетью, злоумышленник перечислил монету на криптовалютные биржи, попутно отправляя их же на свои кошельки (двойная трата). При условии отсутствия мошенничества повторная транзакция была бы отменена, но манипуляция сетью позволила злоумышленнику добавить в основную версию блокчейна интересующие его транзакции.

Атака проводилась в течение 3-х дней, с 16 по 18 мая.

Вопрос в том, можно ли было избежать этих атак, и насколько уязвимы другие криптовалюты. О том, какие в принципе бывают атаки и каковыми могут быть их последствия, читайте дальше.

Уязвимости криптовалют

Безопасность криптовалют является одним из основных преимуществ технологии блокчейн, но нет ничего совершенного. У каждого алгоритма есть свои уязвимости, которые находят взломщики. Принцип безопасности основан на том, что информация о транзакциях подтверждается другими участниками сети, незнакомыми друг с другом, что и используют атакующие, перехватывая информацию о транзакциях.

1. Атака 51%

Здесь вполне уместно привести аналогию с контрольным пакетом акций: человек (группа людей по сговору), владеющий более 50% вычислительных мощностей криптовалюты, фактически имеет возможность делать с монетой все, что угодно.

Упрощенного говоря, вычислительные мощности — это алгоритм математических операций (хешрейт), который позволяет майнить криптовалюту, то есть искать решения задачи, за которое дается вознаграждение.

Чем больше хешрейт, тем выше шанс вычислить необходимое значение для генерации нового блока, что и приносит майнеру награду (суть алгоритма консенсуса PoW).

На начальном этапе, когда монета еще мало кому интересна, собрать все генерирующие мощности проблемы не составляет. С экономической точки зрения смысла это не имеет, но вот как вариант уничтожения конкурента — вполне рабочая идея. Потому атака 51% для новых стартапов — это своего рода проверка на выживание.

Но подвергаются ей и крупные стартапы. Например, в теории существует вероятность покорения ВТС путем скупки всей партии BFL ASIC (узконаправленное специализированное оборудование для майнинга). Вопрос только зачем? Да, это даст контроль над сетью, но при массовой продаже монет (а иначе зачем захватывать сеть?) их цена неизбежно упадет.

И кто будет покупать монеты, зная об атаке? И если к этому добавить стоимость оборудования, то станет ясно, что атака 51% на ВТС — это только лишь теория. Проблема в том, что она не исключена, и решения проблемы потенциальной атаки на ВТС или LTC пока нет.

Как показал пример с Verge (об этом чуть ниже), атакующие могут действовать и не в лоб, придумывая более простые способы реализации атаки.

Что может злоумышленник:

  • временно заморозить транзакции в сети, включая собственные блоки;

  • произвольно отправлять и изменять собственные транзакции, включая «двойную трату». К чужим кошелькам злоумышленник доступа не имеет;

  • не подтверждать (всячески препятствовать) другие транзакции;

  • исключать из поиска правильные блоки других майнеров.

С ZenCash ситуация сложилась довольно неоднозначная. По мнению аналитиков, есть вероятность, что у атакующей группы было достаточно своих мощностей или часть их была арендована.

Причем стоимость атаки была сравнительно низкой, что означает прежде всего потенциальную проблему для небольших криптовалют, использующих алгоритм доказательства PoW. Ниже приведены результаты исследования, проведенные сайтом crypto51.

app в отношении стоимости часовой атаки на разные монеты.

Для сравнения, стоимость нападения на ZenCash составляет около 6,07 дол. США. И несмотря на затратность атаки, похищенные деньги ее окупают.

Защита от атаки 51% пока не является совершенной. Один из вариантов решения проблемы — увеличение количества подтверждений и блокировка оборудования (учетных записей) тех, кто подозревается в атаке.

Например, после атаки на монету Feathercoin у ВТС это требование было увеличено с 6 блоков до 100. Разработчики Bitcoin Gold посоветовали биржам расширить количество подтверждаемых для зачисления блоков до 50.

Правда, это только лишь усложняет атаку, не устраняя ее вероятность. Злоумышленникам достаточно иметь большую вычислительную мощность.

На курс ZenCash атака не повлияла, чего нельзя сказать о другой криптовалюте. 5 апреля в СМИ появилась информация об атаке на стартап Verge.

Причем хакеры захватили более половины хешрейта не по всей вычислительной мощности, а использовали только лишь один алгоритм (примеры алгоритмов вы можете увидеть в соответствующей колонке на скрине выше).

С помощью подмены временных меток (интересный баг) им удалось сделать так, что из нескольких алгоритмов использовался только Scrypt, где у них было большинство вычислительных мощностей. В результате было похищено около 250 тыс. монет за чуть более чем 3 часа.

Чтобы ликвидировать последствия атаки, разработчики пообещали провести хардфорк, который откатит блокчейн на состояние до атаки. Нечто похожее уже проходил ЕТН после взлома DAO, после чего появился Ethereum Classic.

Ситуацию это исправит, но на криптовалютах поставит крест: смысл доверять стартапам, которые по решению разработчиков могут быть изменены в любой момент? На фоне отрицательных новостей курс просел почти на четверть.

Другие известные случаи атаки 51%:

  • В июле 2014 года пул для майнинга Ghash.io стал контролировать 55% мощности ВТС. Тогда популярность криптовалют была в разы меньше, потому оказалось достаточно, чтобы один из крупных пулов, пусть и ненадолго, получил доступ к возможностям сети. Пул почти сразу добровольно снизил это значение до 40%, но курс уже успел обвалиться почти на четверть.

  • В августе 2016 года около 22 тыс. монет из обоих стартапов путем «двойной траты» удалось организовать группе атакующих, называющих себя «51 Crew». Целью атаки были монеты Krypton и Shift, созданных на основе децентрализованной сети Ethereum.

Тот факт, что хакеры теперь засматриваются и на крупные монеты, говорит о нарастающей потенциальной угрозе.

«Двойную трату», являющуюся наиболее частым следствием атаки 51%, выделяют в отдельное направление атак и даже разделяют ее на такие виды, как «Атака типа гонки» и «Атака Финни». Их суть аналогична: воспользоваться двойной отправкой монеты и любой ценой получить подтверждение только нужной своей транзакции. Атаки носят теоретический характер, так как на практике хакерам они не интересны.

2. Атака Сивиллы

Вторая по популярности атака, которая предусматривает, что злоумышленник наполняет сеть подконтрольными ему узлами, а остальные пользователи подключаются к блокам, созданным для мошеннических действий. Атакующий старается «окружить» узел жертвы так, чтобы иметь контроль над всеми транзакциями в обе стороны.

В крупных стартапах наподобие ВТС и его аналогов это сделать сложно, так как узел пользователя для подтверждения транзакции выбирает узел сети практически случайно. Вероятность быть полностью окруженным в этом случае небольшая, но она есть. Чаще атаке Сивиллы подвергаются молодые криптовалюты из второго эшелона.

Проблема уязвимости в том, что в момент подключения к сети узел пользователя не знает IP доверенных узлов и вынужден их запрашивать. И если запрос попадает на узел атакующего, пользователь фактически получает искаженные недостоверные данные.

Проблема усугубляется тем, что невозможно создать постоянный список доверенных узлов, так как это будет противоречить принципу децентрализации. Потому пользователю каждый раз приходится искать новые доверенные узлы.

Несмотря на то, что процесс соединения носит случайный характер, взломщик может сделать так, что журнал пользователя будет содержать только адреса заинтересованного лица.

Последствия атаки Сивиллы:

  • атакующий блокирует транзакции пользователя, фактически отсоединив его от общей сети;

  • атакующий сам решает, к какому блоку подсоединить пользователя. И чаще всего это отдельно созданные им блоки, где реализуется «двойная трата»;

  • атакующий отслеживает все транзакции пользователя, применяя для этого скрипты и ПО.

3. DDoS-атаки и замедление времени

Атака проводится не для экономической выгоды, а с целью навредить стартапу или вообще отключить сеть. Отправка частых множественных «мусорных» данных на узел, который обрабатывает транзакции, усложняет его работу и замедляет передачу данных, обновление сети и формирование новых блоков.

Каждый проект имеет на этот счет свою защиту. Например, у ВТС есть встроенная защита от подобного типа атак, некоторые криптовалюты вводят символические комиссии, которые отсеивают пустые транзакции, сгенерированные роботами. Большой поток «мусорных» транзакций приводит к росту комиссий.

В ноябре 2017 года крупной DDoS-атаке подверглась IOTA.

Среди других проблем криптовалют стоит отметить их отдельно взятые уязвимости. Проблемы — в коде криптовалюты, ошибки в ключах и методах шифрования и т.д. Они носят индивидуальный характер и хакеры ищут подобные лазейки. И часто у них это получается.

Например, у инвесторов IOTA в январе 2018 года было похищено 4 млн дол. США. Причина: для генерации seed-фразы (часть процесса шифрования) пользователи воспользовались сторонним ресурсом, оказавшимся мошенническим.

Последующая DDoS атака перегрузила сеть и не позволила жертвам восстановить свои деньги, которые были быстро конвертированы.

Есть и другие возможные атаки, которые пока что носят гипотетический характер: каннибализм пулов (эгоистическое уничтожение пула для нарушения сети), атака Р+Eplsilon (по версии Виталика Бутерина, одна из самых неприятных проблем в алгоритме PoW, которая предусматривает своего рода дачу злоумышленником взятки другим участникам сети за поддержку изменений в сети), таймджекинг (попытка манипуляции меткой времени транзакции). Но они пока атакующим не интересны.

Вывод. Атаки на криптовалюты совершаются постоянно и с переменным успехом. Хакеры находят уязвимости в коде, используют недостатки самой технологии блокчейн и даже атакуют криптовалютные биржи. И выводы из всего этого неутешительные:

  • Безопасность — одна из сильных сторон криптовалют. По крайней мере, так преподносятся криптовалюты обществу, но практика показывает, что это скорее маркетинговый ход. Если говорить о платежных системах, то ВТС и биржи страдают от атак чаще, чем Visa (Mastercard) и банки.

    Причем чем сложнее алгоритмы защиты криптовалют, тем более изощренные появляются атаки. И вторая сильная сторона, анонимность, как раз играет против криптовалют — личности злоумышленников остаются нераскрытыми, тем самым подталкивая новых хакеров совершать новые попытки.

    Значит ли это, что блокчейн сам себе выкопал яму и его преимущества оказываются недостатками? Вполне возможно.

  • Ethereum и Vergo — пример того, что любые транзакции могут быть отменены с помощью отката назад. Это ставит под угрозу принцип надежного хранения информации.

  • Взломы способны сильно обвалить рынок. И не из-за недоверия инвесторов, а из-за того, что краденые деньги попадают на рынок (еще одна проблема анонимности) и соответственно обваливают курс. И достаточно одной серьезной атаки, чтобы криптовалюты подешевели. Яркий пример — Mt.Gox, чьи деньги обваливают рынок с января этого года.

Многие потенциальные атаки являются только лишь гипотетическими, так как не интересны взломщикам. Но их потенциальная возможность и те атаки, которые уже осуществляются, говорят о несовершенстве криптовалют.

Чаша весов может склониться как в одну, так и в другую сторону.   Однако шаткость курса можно использовать в Форексе, где можно открывать короткие позиции, быстро разворачивать сделки и хеджировать риски.

А как вы считаете: какие основные проблемы криптовалют, и какие у рынка перспективы?

P.S. Понравилась моя статья? Поделись ей в соцсетях, это лучшее спасибо 🙂

Задавайте мне вопросы и комментируйте материал ниже. С удовольствием отвечу и дам необходимые пояснения.

Полезные ссылки:

  • Торговлю с проверенным брокером рекомендую попробовать тут. Система позволяет торговать самостоятельно или копировать сделки успешных трейдеров со всего мира.
  • Чат трейдеров в телеграм: https://t.me/marketanalysischat. Делимся сигналами и опытом.
  • Канал в телеграм с отличной аналитикой, форекс обзорами, обучающими статьями и прочими полезностями для трейдеров: https://t.me/forexandcryptoanalysis

График цены BTCUSD в реальном времени

Содержание данной статьи является исключительно частным мнением автора и может не совпадать с официальной позицией LiteForex. Материалы, публикуемые на данной странице, предоставлены исключительно в информационных целях и не могут рассматриваться как инвестиционный совет или консультация для целей Директивы 2004/39 /EC.

Источник: https://ru.liteforex.com/blog/for-investors/ataki-na-kriptovaluty-vidy-uazvimostej-veroatnost-i-posledstvia/

Ссылка на основную публикацию