Содержание:
Криптобиржи регулярно подвергаются хакерским атакам. Большинство из них отражаются, но порой злоумышленникам удаётся прорваться сквозь защиту и вывести монеты на сторонние кошельки. Среди последних атак – взлом горячих кошельков биржи BingX, в результате которого биржа потеряла $52 млн.
На что обратить внимание при выборе криптобиржи и как не стать клиентом площадки, подверженной хакерским атакам?
Кратко о главном:
- Публикация отчётов Proof-of-Reserve свидетельствует о желании криптобиржи подтвердить достаточность резервов в любой момент.
- Основной объём пользовательских средств должны храниться на холодных кошельках и лишь часть – на горячих кошельках.
- Система безопасности горячих кошельков криптобиржи должна использовать систему определения аномального поведения пользователей на основе big data.
- Хранение ключей от холодных кошельков не должно зависеть от одного человека, при этом ключи должны быть защищены от потери и утечки.
- Криптобиржа должна регулярно проходить сторонние аудиты у известных фирм, специализирующихся на кибербезопасности.
- Резервный фонд должен быть соразмерен объёму хранящихся средств и достаточен для погашения обязательств перед пользователями в случае взлома.
Proof-of-Reserve
Первый шаг при выборе криптобиржи – это убедиться, что площадка публикует отчёты Proof-of-Reserve (доказательства резервов). Такие отчёты стали публиковать централизованные криптобиржи после краха FTX в 2022 году. В тот момент многие осознали, насколько важно иметь возможность подтвердить, есть ли у биржи достаточные резервы для покрытия всех обязательств перед пользователями.
Первой биржей, опубликовавшей Proof-of-Reserve, стала OKX, и это было знаковым событием в индустрии. Позднее к инициативе присоединились и другие крупные биржи. В последние пару лет регулярная публикация Proof-of-Reserves стала негласным правилом хорошего тона для централизованных криптобирж.
Proof-of-Reserve (PoR) работает следующим образом: биржа публикует балансы своих криптокошельков, которые находятся в блокчейне и видны всем. Чтобы доказать, что эти кошельки действительно принадлежат бирже, она подписывает небольшие тестовые транзакции с них, что подтверждает контроль над активами.
Для проверки обязательств (депозитов) биржа использует дерево Меркла, структуру данных, которая объединяет информацию обо всех пользовательских депозитах в виде хешей. Это позволяет проверить, что общая сумма обязательств совпадает с резервами, без раскрытия личных данных пользователей.
Биржи, которые регулярно публикуют такие отчёты, доказывают свою финансовую прозрачность и надёжность, чего нельзя сказать о тех, кто избегает этого шага. В случае возникновения проблем с ликвидностью, как это было с FTX, пользователи биржи, не имеющей Proof-of-Reserve, могут столкнуться с невозможностью вернуть свои активы. Поэтому публикация таких отчётов — это не только показатель ответственности, но и защита интересов клиентов.
Защита горячего кошелька
Биржи хранят основной объём пользовательских средств на холодных кошельках, которые представляют собой самый безопасный метод хранения за счёт отсутствия подключения к интернету и ончейн-кошелькам. Но биржам нужны и горячие кошельки, именно через них проходят операции по обработке пополнения и вывода средств от пользователей. Именно горячие кошельки чаще всего и становятся объектом хакерских атак, поэтому при выборе криптобиржи следует изучить, каким образом биржа защищает свои горячие кошельки от взлома.
Конечно, централизованные биржи не раскрывают все детали и способы защиты, следуя принципу security through obscurity. Предполагается, что ограниченный доступ к информации о внутренней работе платформы усложняет для злоумышленников поиск и эксплуатацию потенциальных уязвимостей. Тем не менее биржи всё же предоставляют общую информацию о своих мерах безопасности, чтобы продемонстрировать пользователям свою надёжность.
Так, у OKX система безопасности горячих кошельков использует такие технические решения, как:
- полуавтономные серверы, которые хранят закрытые ключи в RAM, а не в постоянной памяти. Это помогает предотвратить и хакерские атаки онлайн, и физические атаки.
- полуавтономные и распределённые мультиподписи: при отправке транзакций используется не типичный TCP/IP, а специальный протокол, защищающий от кибератак. Помимо этого, система мультиподписи требует несколько подтверждений от уполномоченных сотрудников, которые находятся в разных точках планеты и имеют резервные копии закрытых ключей.
- полуавтономные системы управления рисками на основе big data: она анализирует транзакции и выявляется возможные аномалии в поведении пользователей. Даже если злоумышленник сумеет начать вывод средств, система быстро распознает аномальное поведение и остановит вывод в кратчайшие сроки.
При выборе криптобиржи следует также убедиться, что объём средств, находящийся единовременно на горячих кошельках, не превышает 5%-10% от общего объёма пользовательских средств.
Защита холодного кошелька
При выборе криптобиржи важно обратить внимание на надёжность системы защиты холодного кошелька, поскольку на таких кошельках обычно хранится основной объём пользовательских средств. Холодные кошельки не имеют подключения к интернету, что делает их более защищёнными от взломов. Но периодически с кошельком необходимо взаимодействовать: переносить средства от пополнения с горячих кошельков, осуществлять выводы.
Система защиты холодных кошельков должна использовать многоэтапный процесс, а также умело защищать от человеческого фактора и не зависеть от одного человека, как это произошло с канадской биржей Quadriga CX. Это некогда крупнейшая криптовалютная биржа в Канаде обанкротилась в феврале 2019 года вскоре после того, как её соучредитель скончался, унеся с собой в могилу закрытые ключи к автономным системам хранения Quadriga CX.
Биржа должна, с одной стороны, надёжно защищать ключи от утечек, а с другой – иметь возможность их восстановить. Каждая биржа решает по-своему эту дилемму. Наиболее полно этот процесс описала криптобиржа OKX. Сначала на офлайн-компьютере генерируются 10 000 закрытых ключей и соответствующих адресов. Затем эти ключи шифруются с помощью AES на другом оффлайн-устройстве, создаётся мастер-пароль для расшифровки, который хранится у двух сотрудников в разных странах. Исходные ключи удаляются, а зашифрованные ключи сохраняются в виде QR-кодов. Каждый адрес используется только один раз, а QR-коды с ключами распечатываются и хранятся в банковских хранилищах, что делает их физически защищенными.
Аудит систем безопасности
Технологии и методы атак постоянно развиваются, поэтому регулярные проверки позволяют биржам адаптироваться к новым угрозам и поддерживать высокий уровень защиты. Это помогает предотвратить взломы и утечки данных, сохраняя доверие клиентов.
Кроме того, независимые аудиты демонстрируют прозрачность работы биржи. Пользователи хотят быть уверены, что их средства находятся в безопасности, а проверенные аудиторами системы показывают, что биржа соблюдает стандарты безопасности и ответственно относится к хранению активов.
Ведущими компаниями в области аудита смарт-контрактов и безопасности блокчейнов считаются такие фирмы, как CertiK, основанная в США выходцами из Йельского и Колумбийского университетов, и гонконгская SlowMist. Среди их клиентов – криптобиржи Binance, Crypto.com, OKX и другие.
В 2024 году лучшим криптокошельком в мире по показателю кибербезопасности, по версии CertiK, был признан OKX Wallet. В тройку лидеров также вошли кошельки MetaMask и Trust Wallet.
Фонд защиты
Какой бы надёжной ни была система кибербезопасности, риск взлома всё равно существует, пусть и минимальный. Криптобиржи, которые заботятся о своей репутации, создают специальные резервные фонды, которые пополняют из собственных средств. Эти фонды нужны для того, чтобы в случае утечки средств возместить потери и не допустить, чтобы пользователи пострадали.
Первой криптобиржей, запустившей такой фонд, стала Binance. В июле 2018 года она объявила о создании фонда SAFU – Secure Asset Fund for Users. Фонд пополняется за счёт доли от доходов, полученных биржей с торговых комиссий. Похожую практику быстро подхватили и другие крупные игроки отрасли. Сейчас резервные фонды есть у большинстве крупных CEX. Их объём исчисляется сотнями миллионов долларов. Так, размер фонда SAFU у Binance превышает $2 млрд, фонд OKX Risk Shield насчитывает $700 млн.
Обсуждение криптовалют, политики и технологий, видео и мемы в нашем Telegram-канале. Подпишись!