Не секрет, что криптовалютные биржи остаются одной из главных целей киберпреступников. Однако, согласно данным ИБ-компании Veracode, специализирующейся на безопасности приложений, проблема еще и в наличии серьезных брешей в безопасности таких площадок, администрация которых не несет серьезной ответственности перед пользователями.
Как атакуют криптобиржи
Технический директор Veracode Крис Вайсопал (Chris Wysopal) представил результаты исследования защищенности криптобирж на конференции Collision, которая состоялась в начале мая.
Эксперт рассказал о целом ряде взломов, приведших к серьезным убыткам для инвесторов в криптовалюты, и заявил, что во многих случаях их можно было предотвратить. Вот лишь некоторые из них:
- В 2016 году ошибка в коде смарт-контракта позволила хакерам выполнять транзакции в сети проекта DAO (Distributed Autonomous Organization) — в итоге были украдены средства Ethereum эквивалентные $50 млн.
- В августе 2016 году была атакована криптобиржа Bitfinex, в результате злоумышленники похитили криптовалюты на $73 млн. Это стало возможным из-за того, что ключи доступа к кошельку хранились онлайн, а не офлайн (холодное хранение).
- В январе киберпреступники атаковали биржу Coincheck, похитив $534 млн. И снова это стало возможным из-за того, что японская площадка хранила деньги в «горячем» кошельке.
- В феврале украинская кибегруппировка Coinhoarder украла $50 млн у пользователей кошелька Blockchain.info — для этого они запустили рекламную кампанию поддельного сайта проекта в Google. С тех пор Google, Facebook и Twitter полностью запретили рекламу тем, связанных с криптовалютой.
Как защититься
По мнению Вайсопала, недостаток регулирования сферы криптовалют негативно влияет на защищенность инвесторов. Администрации бирж не несут серьезной ответственности, поэтому могут позволить себе легкомысленно относиться к безопасности — чего не встретить в организациях традиционной финансовой сферы.
Поэтому эксперт советует пользователям криптовалют заботиться о безопасности своих средств самостоятельно. Среди мер предосторожности обязательное использование двухфакторной аутентификации, создание для регистрации аккаунтов криптобирж отдельных почтовых ящиков и использование офлайн-кошельков для хранения криптовалюты.
Что с безопасностью на традиционных биржах
Киберпреступники обращают свое внимание и на традиционные биржи — мы неоднократно писали в блоге о попытках подобных атак. При этом, системы безопасности на современных, в том числе российских биржах, выстроены достаточно неплохо. Например, в 2015 году в нашей стране был создан собственный центр информационной безопасности, активно обменивающийся информацией с банками и биржами. Московская биржа в 2016 году полностью перешла на новую информационную архитектуру и обновила оборудование, чтобы минимизировать потери от технических сбоев.
Если говорить о защищенности брокерского счета конкретного человека в сравнении с банковским, то вероятность взлома существует всегда — теоретически, злоумышленник может получить к нему доступ, похитив ключи шифрования и пароль (например, с помощью шпионской программы).
При этом вывести и обналичить средства будет гораздо сложнее — мошеннику придется начать манипулировать с ценными бумагами, продавая или покупая их с брокерского счета жертвы по невыгодным ценам. Однако это требует серьезных навыков работы на финансовых рынках, которые не обладают большинство хакеров. биржи сегодня ограничивают максимально допустимый диапазон колебания цен во время одной торговой сессии, так что атакующий вряд ли сможет таким образом «вывести» со счета на счет какую-то серьезную сумму.
Помимо этого, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована система риск-менеджмента в торговом терминале ITI Capital SmartX можно узнать по ссылке.
Другие материалы по теме финансов и фондового рынка от ITI Capital:
- Аналитика и обзоры рынка
- Назад в будущее: проверка работоспособности торгового робота с помощью исторических данных
- Событийно-ориентированный бэктестинг на Python шаг за шагом (Часть 1, Часть 2, Часть 3, Часть 4, Часть 5)
vilgeforce
Чем удивляться после статей «блокчейн на X за 15 минут и 100 строк кода»?