Почему хакеры атакуют криптобиржи
Молодая и весьма богатая отрасль беззащитна перед киберпреступностью
На прошлой неделе одна из крупнейших мировых криптобирж Binance (вчера занимала 3-е место по объему торгов биткойном) не работала сутки, чем вызвала подозрения пользователей в том, что биржу атаковали хакеры. Но Binance поспешила заверить, что взлома не было.
Беспокойство пользователей понятно: только за последние три месяца предприняты три крупные атаки на криптовалютные биржи (см. график). Криптоиндустрия все больше и больше привлекает хакеров: растут стоимость активов и количество бирж, причем многие из них сделаны непрофессионалами, отмечают опрошенные «Ведомостями» эксперты. Биржи начали ломать сразу, как только они стали появляться в 2010 г. Их атаковали, выводили деньги, основатели исчезали, вспоминает основатель портала Bits.Media Иван Тихонов. Проще перечислить тех, кого не взламывали, улыбается антивирусный эксперт «Лаборатории Касперского» Алексей Маланов. Многие взломы непубличны, но рынок все равно их чувствует: вывод большого количества криптовалюты сказывается на курсе, объясняет партнер New Mining Company Степан Гершуни. Так случилось в 2014 г. с японской биржей Mt.Gox, взлом которой считается самым известным в криптовалютной истории.
Первая успешная атака на Mt.Gox произошла в 2011 г., когда с нее было выведено 2609 биткойнов. Но в 2014 г. обнаружились истинные масштабы взлома: в течение трех лет с биржи, на которую приходилось около 70% торгов биткойном, было выведено в общей сложности около 850 000 биткойнов, писал Wired. Злоумышленники научились незаметно для биржи перехватывать и изменять транзакции, объясняет Маланов. После того как стало известно о взломе Mt.Gox, стоимость биткойна на рынке упала на 23%.
С течением времени биржи должны были технически совершенствоваться, но в 2017 г. все равно произошло несколько крупных взломов: южнокорейская Bithumb (ущерб составил $10 млн), словенская NiceHash ($64 млн), южнокорейскую Youbit в 2017 г. ломали дважды, причем после второго взлома она обанкротилась.
Можно ли вернуть деньги
Как правило, если злоумышленники уже завладели кошельками и вывели деньги, технически вернуть их невозможно, объясняет Гершуни. Ситуация осложняется тем, что злоумышленники смешивают белую валюту с украденной и отследить транзакции, несмотря на прозрачность блокчейна, уже нельзя, добавляет специалист департамента анализа защищенности Digital Security Алексей Перцев.
Биржа может вернуть украденное лишь из собственного кармана. Так поступила Bitfinex, которая смогла после крупного взлома рассчитаться с клиентами и восстановить репутацию. Вчера она была первой в мире по торгам биткойна, следует из данных Coinmarketcap.
Что такое криптобиржа
Криптовалютная биржа – это интернет-площадка для обмена криптовалют друг на друга или на привычные доллары, евро. Большинство из них расположены в Азии. Клиент открывает счет на бирже и зачисляет на него криптовалюту. Биржа распределяет деньги клиентов между так называемыми холодным и горячим кошельками. Первые в целях безопасности физически отключены от интернета. Вторые участвуют в онлайн-операциях обмена, подключены к интернету, и именно они привлекают хакеров.
А вот с обанкротившейся биржи взять нечего. Возврат денег осложняется тем, что площадки находятся в иностранной юрисдикции и судебной практики для таких дел еще не существует, отмечает партнер The Token Fund Владимир Смеркис. Пострадавшие от атаки клиенты японской Mt.Gox – около 25 000 человек – так и не увидели своих денег. Coincheck уже заверила, что вернет $426 млн всем 260 000 пострадавших.
Еще один возможный сценарий возврата денег клиентам – так называемый хардфорк криптовалюты. Это откат блокчейна к моменту незадолго до взлома и создание его альтернативной и благополучной ветки. Так случилось летом 2016 г., когда неизвестный вывел из проекта The Dao $43,9 млн в криптовалюте эфириум. Но разработчики не всегда приемлют хардфорк, поскольку он нарушает главный принцип блокчейна – его необратимость, объясняет Перцев.
Деньги новые, хакеры старые
Момент для атак на криптобиржи идеален, признает Маланов. Традиционные финансовые организации с развитой киберзащитой не спешат выходить в криптомир. А появившиеся за последнее время молодые компании еще не успели обкатать свои системы безопасности, при этом вся их инфраструктура построена на хорошо известных злоумышленникам технологиях, объясняет Маланов. Они взламывают криптобиржи с помощью инструментов и методов социальной инженерии из арсенала традиционной киберпреступности. Поэтому в таких атаках замешаны преимущественно опытные киберпреступники, резюмирует Маланов. Ему известны группировки, совмещающие атаки на банки со взломом криптобирж. Например, биржи атаковала группировка Lazarus (ей приписывали северокорейское происхождение), известная попыткой ограбления банка Бангладеш, вспоминает Маланов.
Есть два основных подхода к взлому криптобирж, указывает директор по работе с частными клиентами Group-IB (расследование киберпреступлений) Руслан Юсуфов. Атака на ее перонал дает доступ к учетным записям и закрытому функционалу бирж; распространен взлом аккаунтов основателей и использование вредоносных программ из арсенала банковских атак, вывод денег из кошельков, перечисляет эксперт. Также можно атаковать саму инфраструктуру биржи. Основных подходов два: взлом веб-приложения, связывающего клиента с его деньгами на серверах бирж, или же атака на так называемые горячие кошельки – часть внутренней IT-инфраструктуры биржи, где и хранится часть денег пользователей, говорит Юсуфов. Поэтому он рекомендует владельцам криптовалют хранить крупные суммы не на биржах, а на собственных устройствах, отключенных от интернета. Биржи же Юсуфов советует использовать по назначению – лишь для обмена.
