Илья Обушенко: «Раньше отбирали кошельки на улицах, теперь...»
Эксперт по защите ICO и блокчейн проектов компании Group-IB Илья Обушенко рассказал, как совершаются атаки на криптовалютные кошельки, биржи и ICO-проекты и почему биткоины лучше всего хранить на «холодных» кошельках, а приватные ключи – в собственной голове. - Финансовые организации, в частности банки, худо-бедно справляются с атаками кибермошенников. В сфере криптоактивов ситуация немного иная. Чем обусловлена их уязвимость? - Банки и финансовые организации в целом не так подвержены мошеннической активности, потому что они, скажем так, набили шишки. Прошел длительный период времени, были моменты, когда взламывали банки, уводили огромные суммы. Постепенно индустрия перешла на новый уровень. Стали понимать, что мошенническая активность есть, и от нее надо защищаться. То же самое сейчас с криптоиндустрией происходит. Она молодая сравнительно. Буквально год, как активность начала расти. Предприниматели думают о том, как заработать, как сделать больше проектов, но редко задумываются о мошеннической активности. Есть такие вектора, которые могут принести потери. Можно привести пример. В результате мошеннических действий было уведено 900 тысяч биткоинов – в рамках только пяти крупнейших атак на биржи. А 900 тысяч биткоинов по нынешнему курсу – это 7 млрд долларов. Все материалы Finversia-TV - За прошлый год? - Нет, это пять крупнейших атак на биржи, начиная с 2014 года. За прошедший год, по статистике (у нас было исследование с EY), на ICO (первичном привлечении финансов за счет выпуска токенов) было потеряно порядка 10%. Было привлечено 3,7 млрд долларов, а потеряно около 400 млн долларов. Это довольно крупные суммы, которые были потеряны в основном из-за мошеннической активности. Но также были моменты, когда по халатности проекта они уплывали. - Практически каждый проект ICO сталкивается с такими атаками? - Да, практически каждый. Причем атаки разные, и их масштаб разный. Были проекты, которые теряли 200 млн долларов, и были те, которые теряли 30 тыс. долларов. В среднем по рынку, цифра 10% - она актуальна. - По вашим данным, каковы объемы хищений с криптокошельков? - Ответить на этот вопрос довольно тяжело, потому что потери с криптокошельков тяжело учитывать – понимать, были ли это потери или нет. Но, наверное, та же цифра в 10%, она и здесь релевантна. Потому что, если говорить о потерях всего рынка, это 10%, на потери при ICO приходится также 10%. Криптоиндустрия и ICO завязаны на криптокошельках, и можно говорить о том, что пользователи теряют таким образом деньги с них. Как таковых уводов с кошельков было не так много, но суммы там тоже довольно большие. Начинаются они от миллиона долларов и выше. Потому что многие активности были не замечены, и по разным векторам происходили атаки. Это могли быть взломы кошельков, взломы бирж или мошенническая активность, связанная с фишингом, когда пользователи просто оставляли свои private key на сайте и теряли все деньги. - То есть атаки, как правило, носят целевой характер? - Да, они носят целевой характер, но есть тенденция, что атаки становятся веерными, такими broadcast-рассылками. Мошенники стали из банковской области переходить в область криптоиндутрии, потому что здесь большие деньги и здесь они легкие сравнительно. Многие банковские трояны переквалифицировались, теперь они не только считывают данные, которые вводит пользователь на банковских сайтах (номер карты, CVV, пин-код и проч.), но и воруют номера кошельков и private key, и деньги переводят на свои кошельки. - Кошельки с какими криптовалютами чаще атакуют? Есть такая статистика? - Статистка тут вполне понятная. Это биткоин и эфириум, потому что это две самые популярные монеты. Но могу сказать, что и на другие монеты направлена большая активность, просто эти истории не такие публичные. Если взять топ-50 монет, но на них на всех мошенники пытаются заработать. Например, на нашего клиента – Waves (из топ-50) – в день приходится порядка 100 фишинговых ссылок, которые мы находим. Это могут быть и сайты, и посты в фейсбуке и в твиттере. Все эти ссылки мы вычищаем, естественно. Сто в день – это довольно большое количество, если прикинуть, сколько их получается в месяц. На многие из этих ссылок пользователь попадает, потому что гонится за наживой. Многие, кто сейчас в этой индустрии, они стараются как можно быстрее и больше заработать и как можно меньше рисков понести. Как прямых, так и издержек. - Все-таки, если человек решил инвестировать в какое-то ICO, как ему не попасть на фишинговый сайт, есть ли способы их отличить? - Это довольно просто. Если сайт призывает вас спешить, то это показатель фишинга. Они стараются потенциальную жертву заставить что-то быстрее сделать. Лучше остановиться и подумать несколько раз. Фишинговые сайты отличаются довольно легко. Когда вы в первый раз попадаете на проект, который вам интересен, нужно первым делом занести ссылку на него в закладки у себя в браузере и запомнить точный адрес сайта. Потому что фишинговые сайты чаще всего используют такое же название, но чуть-чуть меняют его: две «l» делают или «s» в конце, или другую доменную зону выбирают. Чаще всего люди не помнят, как точно называется сайт проекта, в какой он доменной зоне, и они просто заходят и перечисляют деньги. Даже крупные проекты, например, MyEtherWallet, если вбить в Google, то первые же три ссылки в Google adwords будут на фишинговые сайты. В день на них создается невероятное количество фишинговых сайтов, автоматизированные средства подключены, мошенники на этом зарабатывают приличные деньги. - Есть ли способы защитить кошелек от взлома? Простому пользователю как выбрать тип кошелька, где и как хранить ключи? - Мы как компания, которая занимается кибербезопасностью, не рекомендуем использовать для хранения своих средств третьи стороны – фонды, биржи. Если вы имеете довольно-таки крупную сумму на счете, то лучше ее перевести в холодные кошельки так называемые. Это условный компьютер, на который скачана вся цепочка, например, биткоина, и там хранится ваш кошелёк со средствами. И компьютер этот не подключен к интернету – это самое важное. Каждый раз, когда вы хотите сделать транзакцию, то вы должны вставить флэшку в компьютер, подписать эту транзакцию данным компьютером, извлечь флэшку, подойти к компьютеру, который подключен к интернету, вставить флэшку с подписью условной и сделать транзакцию. Это самый безопасный способ. Взломать пользователя, у которого холодный кошелек – это практически невозможно. Единственный вариант – это, наверно, физический, если ворвутся в квартиру и заберут компьютер. А если говорить о приватном ключе, то правильно его, наверно, все-таки записать. Хотя обычно не рекомендуют записывать, но это довольно-таки длинная последовательность, и если пароль забыт, то доступ к кошельку уже не восстановить. - На бумажку записать? - Можно записать на бумажку и положить в банковскую ячейку. Это самый безопасный способ. Гораздо лучше, конечно, запомнить, особенно если вы часто пользуетесь своим кошельком, часто будете подписывать транзакции, делать их, заходить. Ведь вам понадобится гораздо чаще его вводить. И вообще запоминать – это полезно для здоровья. - Вы упомянули о физических атаках. Есть статистика таких случаев? - Статистики нет, но уже были прецеденты, когда у людей выносили из офисов холодные кошельки. Врывались, взрывали дверь, взламывали и забирали холодные кошельки на серверах. Известный случай есть, когда в Таиланде, насколько я помню, семейная пара из России находилась, их поймали, держали без воды и еды, и заставили сообщить свои приватные ключи, чтобы с их кошельков вывести деньги. Раньше отбирали кошельки на улицах, сейчас будут требовать приватный ключ и на месте будут переводить деньги с кошелька жертвы. - Вы сказали, что с криптобиржами лучше не работать. Но все-таки, когда возникает такая необходимость, как выбрать? На юрисдикцию определенную ориентироваться или на что-то еще? - Если говорить о биржах, то можно рекомендовать юрисдикцию, например, США. Это довольно хорошо обезопасит пользователя. Также надо следить за тем, как биржа в принципе подходит к безопасности своих пользователей. Это может по-разному проявляться. Во-первых, когда биржа говорит, что пользователь в опасности, просит следить за фишинговыми сайтами, рассказывает, как правильно пользоваться услугами. Во-вторых, когда биржа сообщает, что был проведен аудит. Аудит – это когда сторонняя компания пытается, условно, взломать биржу для того, чтобы посмотреть, какие есть уязвимые места в самой инфраструктуре, чтобы биржа потом могла их закрыть. Использовать стоит все-таки крупные биржи. Как ни крути, из-за того, что у них огромная база, они следят за тем, чтобы их пользователей не взломали. И они попадают под разные юрисдикции, в которых следят, что происходит на данных биржах. Если биржа будет взломана, то государство может вполне заставить выслать пользователям как минимум некоторые компенсации. Уже были такие прецеденты в США. Использовать маленькие биржи тоже можно, но надо следить за несколькими аспектами: команда биржи, аудит, какие данные требуют при входе. Например, если биржа не требует ни паспорт, никаких данных при входе, то можно сказать смело, что не стоит пользоваться ее услугами. Если пароль будет доступен кому-то другому, то он легко сможет зайти. Использовать малые биржи стоит только в тех случаях, когда на крупных биржах нет, например, нужных пар или если комиссия ниже, если хочется поиграть и заработать на этом. Но в целом я рекомендую выводить на биржи небольшие суммы со своих холодных кошельков, стараться не хранить огромные суммы на бирже для того чтобы играть, потому что это чревато возможными потерями. Это все-таки третья сторона, которой доверять невозможно. Мы все слышали про Coincheck, у которых увели 533 млн долларов, потому что они не думали о мультиподписях, не было их. - При выборе криптовалютного фонда какая должна быть логика? - Я бы сказал, что та же логика. Надо смотреть на основателей проекта, понимать, где они участвовали, в каких проектах, насколько эти проекты взлетели и что они представляют из себя сейчас. Надо смотреть на то, какие документы предоставляет фонд, на проведённые аудиты, на то, под какие юрисдикции попадает фонд. И, опять же, надо понимать, что фонды должны проводить KYC, то есть проверку своих пользователей. - Существуют вирусы-майнеры. Как они действуют? Насколько велик масштаб проблемы? И как от них защититься? - Вирусы-майнеры как таковые не приносят потерь для пользователей, кроме потери вычислительных мощностей и более быстрого износа устройств. И это в принципе неудобно. Вирусы-майнеры очень сильно развиваются, они есть в разных проявлениях: и трояны, которые заражают телефоны (недавно буквально появился на Android, майнит Monero), и большое количество троянов для ПК (чаще всего на Windows), и третий вид – это те вирусы, которые «вшиваются» в сайты и с помощью браузера получают доступ к мощностям и майнят. Например, на Piratebay, сайте с торрентами, они были одними из первых, кто подключил майнинговый скрипт. Пользователи заходили, и происходил майнинг. Следующая история – когда в рекламу вшивают скрипты майнинговые. Например, были прецеденты на Youtube. Те, кто умудряется заразить большое количество устройств, зарабатывают довольно крупные суммы. Говорить о каких-то цифрах тут тяжело, но они большие, я уверен. Потому что тенденция растет, а если она растет, значит, на этом зарабатывают неплохо. - Для iOS пока не придумали аналогичных вирусов? - Пока не было, насколько я знаю, прецедентов. Но, я думаю, такое вполне возможно. - Какие еще типы кибератак есть в криптосфере? - Существует довольно много разновидностей атак. Раскрою на примере ICO. Во-первых, фишинг. Это самая большая проблема. На фишинг приходится 56% потерянных средств на ICO. Во-вторых, взломы сайтов. Например, сайт Coincheck был взломан и на нем был заменён кошелек. Были разные истории, например, когда в течение первых пяти минут после взлома было перечислено 7 млн долларов на кошельки злоумышленников. В-третьих, DDoS-атаки, которые чаще всего идут вместе с фишингом. Это атаки типа «отказ в обслуживании». То есть сайт перестает работать, пользователь не может зайти на него, видит ошибку. В это время мошенники поднимают свой сайт в поисковой выдаче за счет рекламы, например, в Google adwords. Платят условные несколько сотен долларов, выводят свои сайты вверх, пока сайты легитимные находятся вне зоны. Пользователь чаще всего видит, что именно сейчас идёт ICO, если сейчас вложить деньги, то можно получить крупную сумму сверху. Поэтому стараются как можно быстрее найти этот сайт и перечислить деньги. И находят мошеннические сайты. В-четвертых, взломы смарт-контрактов. Эти истории не такие частые, но они самые масштабные. Смарт-контракты по-разному «ломают». Например, The Dao – их взломали, так как была уязвимость в смарт-контракте. И в итоге была потеря в 60 млн долларов. Смарт-контракт был новой, только зарождавшейся технологией, да и сейчас всё это только-только развивается, и нет ещё большого количества компаний, которые делают аудиты смарт-контрактов. Чаще всего это энтузиасты, которые раньше программировали, а теперь начали писать смарт-контракты, и теперь могут делать аудит. Потому что аудит подразумевает не только проверки вручную, но и автоматизированные проверки, которые надо самим писать. В-пятых, взлом самих серверов, инфраструктуры, которая связана с блокчейном как таковым. Это может быть и ICO, и другой проект, связанный блокчейном и криптовалютами. Сама технология несёт и свои риски. Например, «риск пятьдесят одного». Представим картину: у меня есть кошелёк, у вас есть кошелёк, я вам перевожу деньги, например, биткоин, и вы мне даёте какой-то товар за это. Но если потом 51% всех пользователей скажет, что вы должны вернуть деньги мне, то по системе эти деньги вернутся мне. Так устроен блокчейн и биткоин. Условно, я забираю у вас этот биткоин обратно, и товар остаётся у меня. Это самый примитивный пример. А когда на это навешивается новый стек технологий, появляются сервера, смарт-контракты ещё сверху, многие-многие вещи, то этот стек прибавляет ещё большое количество уязвимостей для проекта, в принципе для индустрии. Когда взломают сервер какой-нибудь, на нём может быть база данных критичная, на нём может быть неправильно настроен смарт-контракт с какими-то функциями, которые злоумышленник может использовать. В-шестых, самый важный пункт – социальное воздействие на людей. Например, в 2016 году произошла утечка данных пользователей крупнейшего облачного хранилища DropBox. Пароль там многие использовали такой же, как и на главном своём почтовом ящике. Злоумышленник находил пароль от DropBox, получал доступ к серверу, на котором хостится сайт, доступ ещё куда-нибудь, в записную книжку условную где-нибудь, в которой хранится private key от его кошелька. Мошенник получает доступ к кошельку и выводит оттуда деньги. Если это был, например, founder одного из проектов ICO, то злоумышленник заходит на сервер сайта и меняет там адрес кошелька. Разновидностей атак большое количество, зависят они от полёта фантазии злоумышленников. Сейчас они переквалифицируются на данную область. Потому что понимают, что у банков своровать деньги сложнее. Своровать криптовалюты гораздо легче, как и спрятать их. - Ходят многочисленные истории о потерянных паролях от кошельков, о выброшенных системных блоках. Люди теперь рвут на голове волосы, что называется… Возможно ли какое-то решение проблем подобного рода? - Скорее нет, чем да. Решить это будет возможно, если появятся какие-то квантовые компьютеры, которые смогут это всё расшифровывать, но тогда и блокчейн в нынешнем виде потеряет свою актуальность. Но если смотреть на ближайшее будущее, то, скорее всего, это будет невозможно. Если пароль утерян, то вернуть его нельзя. Единственное, есть специальные курсы медитации для таких целей, когда люди садятся и пытаются вспомнить свой приватный ключ. Наверно, это единственный вариант. - То есть это тоже уже целая индустрия? - Да, на разных этапах пытаются заработать люди. - Регулирование криптовалютной сферы, которое сейчас пытаются ввести, избавит хотя бы от части описанных проблем? - Я бы сказал, да. Были прецеденты, когда шло расследование кражи денег с криптокошельков, были найдены злоумышленники, но подвести их под уголовную ответственность невозможно, потому что государство не признаёт криптовалюты как таковые. Единственное, что возможно –это подвести данные случаи под закон о защите прав потребителей. Там уголовной ответственности не выйдет, будет только административное наказание. Поэтому злоумышленники чувствуют себя безнаказанно во многих юрисдикциях. Они не боятся. Даже если их поймают после того, как они увели крупную сумму денег, им ничего за это не будет. Или будет, но минимально. Если начнется регулирование, то злоумышленники, наверно, начнут действовать осторожно, как минимум, не так нагло. Но регулирование может привести и к другим вещам. Например, к тому, что криптовалюты будут в принципе запрещены. Государство вообще не признаёт криптовалюты, Центробанк говорит, что это денежный суррогат. Могут сказать: «Это не деньги, мы ничего с этим не делаем. Это никак не связано ни с какими ценностями и средствами». Надеюсь, все-таки придём к тому, что злоумышленники будут думать, прежде чем ли красть деньги, потому что это может подвести их под уголовную ответственность. Илья Обушенко, эксперт по защите ICO и блокчейн проектов компании Group-IB С 2017 года занимается безопасностью криптоиндустрии и проектов, выходящих на ICO, в компании Group-IB. Проекты, в которых участвовал Илья, собрали в сумме около $300 млн. на ICO за 2017 год. Помимо защиты криптоиндустрии, Илья занимается киберообразованием детей от 7 до 18 лет, а также ведет лекции в Московском Политехническом Университете. Учится в Московском Политехническом Университете по специальности «Информационная безопасность автоматизированных систем».
Cегодня
-
19:38 НОвый перспективный токен от MyTonWallet
-
19:05 Разработчики Bitcoin планируют провести одно из самых крупных с 2021 года обновлений сети
-
17:20 Вестник институционала: Babylon привлек $70 млн, а Colendi — $65 млн
-
10:30 Worldcoin официально запущен в Колумбии
-
10:04 PointPay: Ваш Главный Помощник в Мире Криптоинвестирования
-
09:20 Бывший гендиректор Binance Чанпэн Чжао прибыл в тюрьму для отбытия срока
-
08:48 Майнеры готовятся к новой гонке вычислительных мощностей
-
08:31 Сообщество EOS снизило ограничение на количество монет в пять раз
В мире за неделю
-
30 Май, 13:53+5 Криптоаналитик: DOGE может вырасти до $0,322 в одном случае От Happy Coin News
-
30 Май, 09:45+6 Виталик Бутерин назвал L2-решения «культурным продолжением» Ethereum
-
29 Май, 07:46+6 Суд приговорил экс-директора FTX Райана Саламе к 7,5 годам тюрьмы
-
29 Май, 07:01+4 Суд закрыл дело против Debt Box и обязал SEC заплатить штраф $1,75 млн
-
27 Май, 21:14+5 OCP Capital: Эфир сможет рассчитывать на поддержку на уровне $3000
-
27 Май, 04:22+4 В ОАЭ пригрозили штрафами на майнинг криптовалют на фермах
-
26 Май, 05:48+5 После легализации Ethereum-ETF ожидается то же самое для SOL
