Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»
По большому счету, криптовалюты — это такие же электронные деньги, как какие-нибудь WebMoney или Яндекс.Деньги. А значит, и общие проблемы, характерные для электронных платежных систем, им тоже свойственны.
Однако те специфические принципы, по которым работают криптовалюты, порой делают возникновение этих проблем более вероятным, а последствия — более неприятными. Кроме того, эти же особые принципы определяют некоторое количество рисков, которые уникальны именно для криптовалют.
Начнем с проблем простых и привычных, например, с банального воровства. Скажем, вы переводите деньги другу. Скопировали адрес его кошелька, а троян в буфере обмена этот адрес подменил на свой. Не каждый пользователь сохраняет бдительность и перепроверяет адрес после копирования. Особенно если этот адрес выглядит как набор более-менее случайных символов.
Или, например, фишинг. Как и в случае с привычными электронными деньгами, пользователя можно обманом завлечь на поддельный сайт, на который пользователь сам загрузит кошелек и введет пароль.
Конечно, подобные неприятности могут ожидать и пользователя традиционного банка или платежной системы. Однако в случае с традиционной системой всегда есть немаленький шанс отменить перевод. В случае криптовалюты можно разве что написать жалобу в «Спортлото». То, что попало в блокчейн, остается в блокчейне.
Кроме того, даже самый настоящий платежный портал с правильным адресом может стать причиной потери денег. В июне 2017 года самый популярный веб-кошелек для криптовалюты Ethereum Classic, расположенный по оригинальному адресу https://classicetherwallet.com, вдруг начал воровать деньги с кошельков пользователей.
Хакеры применили методы социальной инженерии и убедили хостинг-провайдера, что они являются настоящими владельцами домена. Получив доступ, они начали вмешиваться в финансовые потоки.
К счастью, хакеры использовали неоптимальную стратегию — они сразу подменяли получателя денег, поэтому быстро «спалились» и сумели украсть всего 300 000 долларов за несколько часов. Если бы они собирали кошельки и оставляли на потом, они бы гораздо дольше оставались незамеченными — и ущерб наверняка был бы гораздо больше.
Справедливости ради, подобное может случиться и с классическим финансовым сервисом. Например, в этом году в Бразилии хакеры умудрились угнать сразу целый банк.
Это были стандартные проблемы электронных денег, но, как уже было сказано выше, криптовалюты добавляют к ним и свои собственные. Например, есть риск, весьма специфичный именно для криптовалют — потеря денег из-за ошибки в адресе, на который совершается перевод.
Например, в случае Ethereum не скопировали последнюю циферку адреса — и деньги улетели в никуда. Или наоборот, улетели куда надо, но вместо той суммы, которую вы собирались перевести, внезапно перевелось в 256 раз больше.
В случае с адресами Биткойн подобная ошибка исключена — в этой системе есть встроенная проверка валидности адресов. Но там можно просто случайно непонятно кому послать деньги, скажем, 800 биткойнов (примерно 3,2 миллиона долларов по курсу на 28.09.2017). Или случайно заплатить комиссию в размере 80 биткойнов (около 320 000 долларов). Справедливости ради, вряд ли удастся так ошибиться с популярным Биткойн-клиентом. Вероятно, использовалось что-то самодельное.
Еще есть риск взять кредит под залог квартиры и все деньги вложить в биткойны. Но тут уж дело не в криптовалютах. Риск — обычное дело для инвестиций.
Еще одна типичная именно для криптовалют проблема — потеря или кража кошелька. Большинство пользователей хранят файлы своих криптовалютных кошельков на своих компьютерах. А значит, их можно украсть при помощи вредоносов, или они могут пропасть из-за сбоя жесткого диска.
Поэтому самые продвинутые пользователи записывают копию секретного ключа на бумажку и заказывают аппаратные USB-кошельки. Но доля таких пользователей невелика.
В случае с «централизованными» электронными деньгами на данный момент ситуация кардинально лучше. Мало какой интернет-банк не требует обязательной двухфакторной аутентификации и подтверждения транзакций при помощи SMS с одноразовыми паролями. А если речь идет о юридических лицах или больших суммах, то обязательно использование USB-токена.
В 2017 году среди держателей криптовалют стало особенно популярным заниматься инвестированием в различные проекты, обычно связанного с блокчейном или криптовалютами. Подобное привлечение средств называется ICO — Initial Coin Offering.
О том, как все это происходит, что такое сеть Ethereum и как работают смарт-контракты, у нас есть отдельный пост, так что не будем повторять здесь технические детали. Факт в том, что использование криптовалют позволило упростить процесс сбора денег до безобразия. За 2017 год через ICO уже было привлечено более 1,5 миллиарда долларов. Об успешных проектах слышно мало, но инвесторы не теряют оптимизма.
В чем же проблема? Проблема в том, что рынок криптовалют пока никак не регулируется, механизмов оценки рисков нет, и возврат инвестиций не гарантирован никем и ничем, кроме честного слова автора очередного проекта.
По большому счету, то, что у кого-то есть идея, вовсе не значит, что идея хорошая и реализуемая, что получившийся продукт действительно будет приносить прибыль, что автор действительно будет тратить деньги на реализацию, а не на зарплату директору (себе). В конце концов, он может попросту сбежать с деньгами, ведь на рынке криптовалют не так просто выследить и деанонимизировать получателя платежа.
Но бывает, что схема отъема денег еще проще. Обычно сбор средств в рамках ICO открывается в оговоренный момент и закрывается, когда наберется требуемая сумма. Адрес сбора вывешивается на сайте проекта в момент открытия, хотя эта практика кажется нам совершенно необоснованной.
При проведении одного ICO хакер получил доступ к сайту проекта и в самый момент открытия сборов подменил адрес на свой. Буквально за час 2000 участников накидали 8 миллионов долларов. После этого адрес был помечен как подложный. Но даже это не остановило жаждущих вложиться — многие продолжали переводить деньги на тот же подложный адрес. За сутки набралось еще 2 миллиона долларов.
Подытожим написанное и дадим несколько базовых советов.
1. Всегда проверяйте адрес веб-кошелька, не переходите по ссылкам, завлекающим в интернет-банк или в веб-кошелек.
2. Перепроверяйте перед отправкой адрес получателя (хотя бы первые и последние символы), отправляемую сумму и величину комиссии.
3. Запишите мнемоническую фразу, при помощи которой можно восстановить криптокошелек в случае, если вы его потеряете или забудете пароль.
4. При криптоинвестировании сохраняйте трезвую голову и принимайте взвешенные решения, не поддавайтесь панике, не спешите.
5. Не инвестируйте больше, чем вы готовы потерять. Диверсифицируйте свои инвестиции.
6. Используйте аппаратные кошельки криптовалют.
7. Используйте качественную антивирусную защиту.
По большому счету, криптовалюты — это такие же электронные деньги, как какие-нибудь WebMoney или Яндекс.Деньги. А значит, и общие проблемы, характерные для электронных платежных систем, им тоже свойственны.
Однако те специфические принципы, по которым работают криптовалюты, порой делают возникновение этих проблем более вероятным, а последствия — более неприятными. Кроме того, эти же особые принципы определяют некоторое количество рисков, которые уникальны именно для криптовалют.
Подмена платежных реквизитов и фишинг
Начнем с проблем простых и привычных, например, с банального воровства. Скажем, вы переводите деньги другу. Скопировали адрес его кошелька, а троян в буфере обмена этот адрес подменил на свой. Не каждый пользователь сохраняет бдительность и перепроверяет адрес после копирования. Особенно если этот адрес выглядит как набор более-менее случайных символов.
Или, например, фишинг. Как и в случае с привычными электронными деньгами, пользователя можно обманом завлечь на поддельный сайт, на который пользователь сам загрузит кошелек и введет пароль.
Конечно, подобные неприятности могут ожидать и пользователя традиционного банка или платежной системы. Однако в случае с традиционной системой всегда есть немаленький шанс отменить перевод. В случае криптовалюты можно разве что написать жалобу в «Спортлото». То, что попало в блокчейн, остается в блокчейне.
Взлом платежного портала
Кроме того, даже самый настоящий платежный портал с правильным адресом может стать причиной потери денег. В июне 2017 года самый популярный веб-кошелек для криптовалюты Ethereum Classic, расположенный по оригинальному адресу https://classicetherwallet.com, вдруг начал воровать деньги с кошельков пользователей.
Хакеры применили методы социальной инженерии и убедили хостинг-провайдера, что они являются настоящими владельцами домена. Получив доступ, они начали вмешиваться в финансовые потоки.
К счастью, хакеры использовали неоптимальную стратегию — они сразу подменяли получателя денег, поэтому быстро «спалились» и сумели украсть всего 300 000 долларов за несколько часов. Если бы они собирали кошельки и оставляли на потом, они бы гораздо дольше оставались незамеченными — и ущерб наверняка был бы гораздо больше.
Справедливости ради, подобное может случиться и с классическим финансовым сервисом. Например, в этом году в Бразилии хакеры умудрились угнать сразу целый банк.
Ошибка в адресе получателя
Это были стандартные проблемы электронных денег, но, как уже было сказано выше, криптовалюты добавляют к ним и свои собственные. Например, есть риск, весьма специфичный именно для криптовалют — потеря денег из-за ошибки в адресе, на который совершается перевод.
Например, в случае Ethereum не скопировали последнюю циферку адреса — и деньги улетели в никуда. Или наоборот, улетели куда надо, но вместо той суммы, которую вы собирались перевести, внезапно перевелось в 256 раз больше.
В случае с адресами Биткойн подобная ошибка исключена — в этой системе есть встроенная проверка валидности адресов. Но там можно просто случайно непонятно кому послать деньги, скажем, 800 биткойнов (примерно 3,2 миллиона долларов по курсу на 28.09.2017). Или случайно заплатить комиссию в размере 80 биткойнов (около 320 000 долларов). Справедливости ради, вряд ли удастся так ошибиться с популярным Биткойн-клиентом. Вероятно, использовалось что-то самодельное.
Еще есть риск взять кредит под залог квартиры и все деньги вложить в биткойны. Но тут уж дело не в криптовалютах. Риск — обычное дело для инвестиций.
Потеря файла-кошелька
Еще одна типичная именно для криптовалют проблема — потеря или кража кошелька. Большинство пользователей хранят файлы своих криптовалютных кошельков на своих компьютерах. А значит, их можно украсть при помощи вредоносов, или они могут пропасть из-за сбоя жесткого диска.
Поэтому самые продвинутые пользователи записывают копию секретного ключа на бумажку и заказывают аппаратные USB-кошельки. Но доля таких пользователей невелика.
В случае с «централизованными» электронными деньгами на данный момент ситуация кардинально лучше. Мало какой интернет-банк не требует обязательной двухфакторной аутентификации и подтверждения транзакций при помощи SMS с одноразовыми паролями. А если речь идет о юридических лицах или больших суммах, то обязательно использование USB-токена.
Ненадежные ICO
В 2017 году среди держателей криптовалют стало особенно популярным заниматься инвестированием в различные проекты, обычно связанного с блокчейном или криптовалютами. Подобное привлечение средств называется ICO — Initial Coin Offering.
О том, как все это происходит, что такое сеть Ethereum и как работают смарт-контракты, у нас есть отдельный пост, так что не будем повторять здесь технические детали. Факт в том, что использование криптовалют позволило упростить процесс сбора денег до безобразия. За 2017 год через ICO уже было привлечено более 1,5 миллиарда долларов. Об успешных проектах слышно мало, но инвесторы не теряют оптимизма.
В чем же проблема? Проблема в том, что рынок криптовалют пока никак не регулируется, механизмов оценки рисков нет, и возврат инвестиций не гарантирован никем и ничем, кроме честного слова автора очередного проекта.
По большому счету, то, что у кого-то есть идея, вовсе не значит, что идея хорошая и реализуемая, что получившийся продукт действительно будет приносить прибыль, что автор действительно будет тратить деньги на реализацию, а не на зарплату директору (себе). В конце концов, он может попросту сбежать с деньгами, ведь на рынке криптовалют не так просто выследить и деанонимизировать получателя платежа.
Подмена адреса получателя
Но бывает, что схема отъема денег еще проще. Обычно сбор средств в рамках ICO открывается в оговоренный момент и закрывается, когда наберется требуемая сумма. Адрес сбора вывешивается на сайте проекта в момент открытия, хотя эта практика кажется нам совершенно необоснованной.
При проведении одного ICO хакер получил доступ к сайту проекта и в самый момент открытия сборов подменил адрес на свой. Буквально за час 2000 участников накидали 8 миллионов долларов. После этого адрес был помечен как подложный. Но даже это не остановило жаждущих вложиться — многие продолжали переводить деньги на тот же подложный адрес. За сутки набралось еще 2 миллиона долларов.
Советы держателям криптовалют и криптоинвесторам
Подытожим написанное и дадим несколько базовых советов.
1. Всегда проверяйте адрес веб-кошелька, не переходите по ссылкам, завлекающим в интернет-банк или в веб-кошелек.
2. Перепроверяйте перед отправкой адрес получателя (хотя бы первые и последние символы), отправляемую сумму и величину комиссии.
3. Запишите мнемоническую фразу, при помощи которой можно восстановить криптокошелек в случае, если вы его потеряете или забудете пароль.
4. При криптоинвестировании сохраняйте трезвую голову и принимайте взвешенные решения, не поддавайтесь панике, не спешите.
5. Не инвестируйте больше, чем вы готовы потерять. Диверсифицируйте свои инвестиции.
6. Используйте аппаратные кошельки криптовалют.
7. Используйте качественную антивирусную защиту.
Комментарии (21)
StarMarine
03.11.2017 14:01Чем ЯД отличаются от счета в банке «по большому счету»?
Тем, что относительно денег в банке действует законодательство закрепляющее за владельцем счета права владения. Относительно счета в банке действует законодательство по гарантии возврата средств в случае банкротства института. Если банк обанкротится, то он вам всё равно будет должен денег. Деньги в банке можно передать по наследству и т.д.
Относительно Яндекс.Денег? Открываем офферту и видим «в любой момент и без объяснения причин мы можем закрыть Ваш кошелек».
Что такое «неограниченная ликвидность», почему она важна, и кто про нее писал, к сожалению, не понял.
Как я понял, Википедия про это пишет. Неограниченная ликвидность денег важна чтобы на деньги можно было что-то купить. Вся суть зарабатывания денег и капиталов теряется, если у денег нет неограниченной ликвидности.AlexeyVanilov
03.11.2017 14:13ЯД регулируется законом 161-ФЗ «О национальной платежной системе» (Статья 12. Оператор электронных денежных средств и требования к его деятельности) и другими законами. В том числе есть требования к обеспечению.
То, что многие сервисы могут без объяснения причин прекратить оказывать вам услуги, это не значит, что сервисы плохие, это лишь значит, что у них есть такое право. Деньги при этом как раз вернут.
На доллары тоже в РФ много не купишь (официально), однако валютой (и деньгами) они являются. А вот на денежные суррогаты можно многое купить. Ликвидность у криптовалют есть. Совершенно непонятно, что именно вас так разозлило. По существу в статье все верно.StarMarine
03.11.2017 14:18-1То, что многие сервисы могут без объяснения причин прекратить оказывать вам услуги, это не значит, что сервисы плохие, это лишь значит, что у них есть такое право.
Право ограничивать ликвидность моих денег? Ну вот, это и требовалось доказать… Я же говорю, хотелось бы видеть экспертов более высокого уровня.
timelle
04.11.2017 18:40+1В определенных условиях, к вам без объяснения причин может приехать пативен с угрюмыми людьми в штатском и без объяснения причин отгрузить всю обнаруженную при вас наличность в теплое и сухое место (ограничить ликвидность).
Потом вам, конечно, объяснят причину, за что вам дали 5 лет колонии и держали в СИЗО (держали под стражей и лишали свободы).
В чем мега-разница «электронных денег», налички и «электронных денег на блокчейне»? Во всех трёх случаях главный элемент — это вы. Ограничения накладываются на вас, на привязанные к вашему имени счета. В чём они будут выражены — вообще не важно.StarMarine
04.11.2017 19:46-1Оооо, дикуссия перешла в запугивание! Кажется посиделки удались!
timelle
05.11.2017 02:49Просто мы рассмотрели ситуацию со сферическим гражданином Захарченко в камере. Никаких запугиваний
HexaByte
05.11.2017 11:49То, что многие сервисы могут без объяснения причин прекратить оказывать вам услуги, это не значит, что сервисы плохие, это лишь значит, что у них есть такое право. Деньги при этом как раз вернут.
Яндекс заблокировал мой счет и не возвращает деньги.(требуют заполнить кучу данных обо мне, заверить у нотариуса и отправить курьерской доставкой в офис яндекс)
В статье пишут что у криптовалют общие проблемы с электронными деньгами. Возможна такая ситуация с криптовалютами?AlexeyVanilov
05.11.2017 12:16Такая ситуация с криптовалютами невозможна. Доказывает ли она, что описанных общих проблем у обычных электронных денег и криптовалют нет?
StarMarine
Жаль, ожидал от лаборатории экспертов более высокого уровня…
thatsme
А они про криптовалюты почти всегда чушь пишут. По специализации своей, в статьях они в принципе всё нормально пишут, но о криптовалютах имеют совершенно поверхностное понимание. Тут действует принцип: «Если нифига не знаешь, научи другого, и всё поймёшь!».
А к вам вопрос: «Что такое деньги?» И каким определениям из списка в ответе на этот вопрос, криптовалюты соответствовать не будут?
StarMarine
Деньги — это знаки эмитированные государством.
Kaspersky_Lab Автор
Де?ньги — специфический товар, обладающий наивысшей ликвидностью, служащий измерителем стоимости других товаров и услуг. Одна из функций денег — роль посредника при обмене одних благ на другие. "
Электро?нные де?ньги — это неоднозначный и эволюционирующий термин, употребляющийся во многих значениях, связанных с использованием компьютерных сетей и систем хранимой стоимости для передачи и хранения денег. Под электронными деньгами понимают системы хранения и передачи как традиционных валют, так и негосударственных частных валют — обращение электронных денег может осуществляться как по правилам, установленным или согласованными с государственными центробанками, так и по собственным правилам негосударственных платежных систем.
Так вы согласны, что многие риски при работе с привычными электронными деньгами присутствуют и при работе с криптовалютами?
Kaspersky_Lab Автор
Не могли бы вы указать конкретно, с каким тезисом из этой или прошлых статей вы не согласны?
Kaspersky_Lab Автор
Не могли бы вы указать конкретно, с каким тезисом из этой или прошлых статей вы не согласны?
StarMarine
Сравненивать криптовалюты с WebMoney или Яндекс.Деньгами — это всё равно, что сравнивать шурмачные с рестораном.
WebMoney и Яндекс.Деньги — это, по-сути, цифры на балансе коммерческих организаций, то есть технически они даже не принадлежат держателям кошельков.
Именно поэтому в публичной оферте Яндекса написано «В любой момент и без объяснения причин мы можем закрыть Ваш кошелек и послать в длинную очередь на возврат с предъявлением паспорта»
Ну и где здесь неограниченная ликвидность?
AlexeyVanilov
Не понял, что не так с шаурмой и рестораном. И там, и там, можно и поесть, и отравиться. «По большому счету» и то, и другое является заведением общественного питания. Боюсь, эта аналогия (или противопоставление?) неуместна. А вот определение электронных денег из Википедии уместно.
Про Яндекс.Деньги — это здорово, но чему это противоречит? Чем ЯД отличаются от счета в банке «по большому счету»?
Что такое «неограниченная ликвидность», почему она важна, и кто про нее писал, к сожалению, не понял.
StarMarine
Относительно Яндекс.Денег? Открываем офферту и видим «в любой момент и без объяснения причин мы можем закрыть Ваш кошелек».
Как я понял, Википедия про это пишет. Неограниченная ликвидность денег важна чтобы на деньги можно было что-то купить. Вся суть зарабатывания денег и капиталов теряется, если у денег нет неограниченной ликвидности.
MaxxxZ
А у криптовалют типа неограниченная ликвидность? Ну сходите — хлеба купите. На яндекс деньги это и то проще будет.
MaxxxZ
Кстати, а как технически принадлежит держателю кошелька цифра на биткоин?
AlexeyVanilov
Кошелек — это файл с секретным ключом. Обладая им, можно подписывать транзакции, распоряжаться деньгами.