Важные новости

Насколько надежен blockchain кошелек, где хранить криптовалюту

Если блокчейн настолько безопасен, почему его так часто взламывают

Если вы следите за новостями криптовалют, вы наверняка часто слышите о взломах и кражах в криптовалютной отрасли. По данным CNBC, общая сумма украденных криптовалют лишь за первую половину 2018 года составила 1,1 миллиарда долларов. А с учетом того, как повсюду говорят о надежности блокчейна, можно задать резонный вопрос: откуда столько краж, если блокчейн так безопасен?

насколько надежен блокчейн

На самом деле, ответ довольно прост: большинство краж не имеют ничего общего с уязвимостями в самом блокчейне, их причиной, чаще всего, служит человеческая ошибка. В традиционной банковской системе мы в значительной степени полагаемся на средства, используемые банками и правительствами, чтобы обеспечить безопасность наших денег.

С криптовалютами вы действуете как собственный банк. Вы несете единоличную ответственность за безопасность ваших средств и без надлежащего уровня знаний по этому вопросу, вы можете легко потерять ваши цифровые деньги. Хуже того, владельцы криптовалюты не имеют законодательной поддержки для покрытия своих потерь в случае взлома, поэтому часто нет надежды на восстановление украденных средств.

RusCoinsInfo предлагает вашему вниманию объяснение самых популярных типов кибер-краж, а также советы, как их избежать.

Криптовалютный кошелек: уязвимости

Одним из первых шагов к обеспечению безопасности криптовалюты является поиск правильного кошелька для ее хранения. Существует два основных типа кошельков: горячие кошельки и холодные кошельки.

Горячие кошельки – это цифровые кошельки, которые подключены к интернету. По своей природе горячие кошельки не защищены, поскольку они открыты для входящих сетевых подключений. Безопасность средств в горячем кошельке напрямую зависит от осторожности отдельного лица, контролирующего кошелек.

Распространенной формой горячего кошелька является биржевой кошелек (exchange wallet). Чтобы обеспечить беспрерывную торговлю между пользователями по всему миру, биржевые кошельки должны оставаться подключенными к интернету в любое время. Эта восприимчивость в сочетании с объемом средств, которые они удерживают, делает биржевые кошельки главной целью для хакеров.

Холодные кошельки – это цифровые кошельки, которые не подключены к интернету, что делает их более безопасным вариантом. Наиболее распространенной формой холодного кошелька является бумажный кошелек. Бумажный кошелек – это напечатанный лист бумаги, который содержит секретные ключи для определенного кошелька, обычно в виде QR-кода.

До тех пор, пока этот секретный ключ не будет отсканирован и не попадет в интернет, он будет полностью отключен от всех входящих сетевых подключений и, следовательно, не может быть украден.

Большинство держателей криптовалют имеют как горячие кошельки, так и холодные кошельки. Они хранят небольшие денежные средства в горячих кошельках для ежедневных транзакций, подобно расчетному счету, а большие суммы держат в холодных кошельках для долгосрочного хранения, аналогично сберегательному счету.

Важно отметить, что биржевые кошельки – это не единственная форма горячего кошелька, и даже настольные кошельки, такие как Exodus, могут быть скомпрометированы. При использовании настольных кошельков пользователь контролирует свои личные ключи, но кошелек все же находится на компьютере и остается уязвимым для любых вредоносных программ или вирусов, которые загружаются и устанавливаются на хост.

Фишинг и мошенничество

Наиболее распространенными (и успешными) формами кибер-кражи являются мошеннические операции, которые заставляют криптодержателей передавать свои средства или, что еще хуже, ключи к их кошелькам.

Фишинг-атаки – это умные способы маскировки вредоносных сайтов под привычные, законные сервисы, чтобы украсть пароли, личные ключи и, в конечном итоге, деньги. Новые фишинг-атаки придумываются каждый год, но один из самых старых и проверенных временем методов – небольшая орфографическая ошибка в URL-адресе.

Например, чтобы украсть пароли пользователей Binance, мошенник мог бы разместить точную копию сайта или «зеркало» по URL-адресу www.bínance.com, а «i» заменить «í» с акцентом. Фейковый URL-адрес выглядит достаточно похожим на реальный адрес www.binance.com, а когда ничего не подозревающая жертва войдет в систему, не обратив внимание на неточность в адресе, она предоставит свои пароли ворам.

Чтобы избежать потери доступа к паролю, важно хранить в закладках ваши любимые биржи, а для надежности вводить веб-адреса вручную, чтобы убедиться, что вы попали на правильные сайты. Кроме того, вы должны воспользоваться всеми функциями безопасности, предлагаемыми вашими торговыми платформами.

Все топ-биржи предлагают двухфакторную аутентификацию, которая добавляет уровень проверки пользователя при входе в систему, гарантируя, что ваша учетная запись остается безопасной, даже если ваш пароль попадает в чужие руки.

К сожалению, некоторые виды обмана не так просты в защите, включая мошеннические ICO. С хорошим веб-сайтом, грамотной белой книгой и убедительной «командой» проекта ловкие мошенники могут обманывать инвесторов на десятки миллионов долларов.

Злоумышленники собирают средства для поддельного проекта без каких-либо намерений выполнить обещания, изложенные в дорожной карте, а как только сбор средств будет закончен, они просто исчезнут с деньгами. Благодаря анонимности многих криптовалют это слишком легко осуществить, и инвесторы не должны попадать в такие ловушки.

Внимательно читайте все белые книги проектов, в которые вы хотите инвестировать, проверяйте членов их команды и избегайте любых проектов, которые делают нереалистичные обещания.

Атака 51%

Одним из видов хакерской атаки, чаще всего упоминающейся в статьях в этом году, называется атака 51%. Чтобы понять, что это такое, нужно в первую очередь разобраться с тем, что делает блокчейн безопасным. Причина, по которой блокчейн биткоина не может быть изменен, заключается в том, что данные в нем проверяются миллионами майнеров по всему миру.

Ни у одного майнера нет «контрольного пакета» мощности проверки сети (хэшрейта), и поэтому никто не может влиять или изменять проверяемую информацию. Когда блокчейн правильно распределяется подобным образом, информация внутри него остается защищенной от несанкционированного доступа.

Проблема с небольшими сетями, например, с Verge, заключается в том, что в сети недостаточно валидаторов, и поэтому основная доля мощности проверки может быть произведена одной стороной – учитывая, что она обладает достаточной майнинговой мощностью, чтобы конкурировать с остальной частью сетевых валидаторов.

Как только злоумышленники получают большинство (51%) хэшрейта сети, блокчейн по существу принадлежит им, и они могут переписывать данные, как сами этого захотят. Мошенники могут использовать атаку 51% для изменения истории транзакций в сети, перенаправляя десятки тысяч монет на свои личные кошельки.

Как мошенники воруют биткоины с кошельков — 7 способов

До недавнего времени все взломы, кражи и скамы в сфере криптовалют, так или иначе, были связаны с уязвимостью инфраструктуры — криптовалютных бирж, кошельков и сервисов. Но что будет, если взломают защиту основы основ — блокчейна биткоина.

По словам главы криптовалютной биржи Coinbase, Брайана Армстронга, вероятность, что кто-то найдет математическую уязвимость в системе криптографии в основе блокчейне биткоина, крайне мала, но риск все-таки есть. Более того, Филип Мартина, главы отдела безопасности в Coinbase, считает, что проблема куда серьезнее. [Forbes]

«Математическая уязвимость? В этом случае развал биткоина — это последнее, что будет нас беспокоить. Речь идет о цифровом апокалипсисе и коллапсе всего интернета», — уверен Мартин.

Дело в том, что шифрование лежит в основе всех цифровых процессов, протекающих в интернете. Триллионы долларов ежедневно текут по электронным сетям, защищенным шифрованием. Поэтому, если хакеры найдут уязвимость в системе шифрования, проблема окажется значительно глубже, чем воровство цифровых активов (совокупная рыночная капитализация всех криптовалют в обращении на момент написания статьи составляет 284 млрд долларов).

Итак, какие факторы риска могут оказаться фатальными для биткоина.

Ошибка в реализации

Биткоин основан на принципах эллиптической криптографии (ECC). До настоящего времени никому не удавалось найти уязвимость в исходном коде первой криптомонеты, однако, обойти эту защиту на самом деле не так уж и трудно. Японская корпорация Sony и американская Microsoft знают об этом не понаслышке. Обе компании пострадали, потому что хакеры нашли лазейки в реализации системы защиты с использованием ЕСС. Например, чтобы бесплатно играть в игры на PlayStation, достаточно было знать два валидных кода и немного алгебры на уровне старших классов средней школы.

Биткоин безуспешно пытаются взломать уже 11 лет, но нет никаких гарантий, что рано или поздно кто-то не наткнется на уязвимость в коде.

Насколько реален взлом Биткоина?

Небольшой экскурс в мир открытых кодов, смарт-контрактов и… уязвимостей.

Можно ли взломать биткоин? Любое программное обеспечение можно взломать, но в этом нет ничего плохого — взломы лишь усиливают безопасность криптовалют, ведь все, что не убивает нас, делает нас сильнее, так?

Безопасность биткоина: Парень из пузыря и канализационная крыса

На YouTube есть выступление Андреаса Антонопулоса под названием «Безопасность биткоина: Парень из пузыря и канализационная крыса» (Bitcoin Security: Bubble Boy and the Sewer Rat). В этой лекции он представляет централизованные системы как «пузыри», где безопасность обеспечивается за счет изоляции от внешних сил. Пребывание в изоляции не позволяет системе развить защитные механизмы, но рано или поздно пузырь лопается, оставляя ее беззащитной.

Открытые блокчейны же, по его словам, подобны канализационным крысам, живущим в дикой природе и окруженным врагами, — их иммунная система вынужденно развивается. Да, взломы случаются, но это помогает найти решения, защищающие от будущих атак.

В конце выступления Антонопулос говорит:

«Любая криптография может быть взломана, и когда-нибудь это произойдет с любой из них. Биткоина это тоже касается. Это лишь вопрос времени. Мы ожидаем взлома, мы знаем, что в любой системе и подсистеме биткоина может быть найдена уязвимость, и нам важно, чтобы подобные уязвимости были локальными, и чтобы мы успевали их выявлять и исправлять, чтобы это не перерастало в системную проблему. А для этого нужно, чтобы среда была открытой, способствующей сотрудничеству, и тогда информация об этих потенциальных проблемах будет появляться достаточно рано».

Открытый код

Как и у многих криптовалютных проектов, код биткоина открыт, то есть, его может прочесть каждый. Если вам интересно, можно ли взломать биткоин, просто скачайте код и посмотрите! Чем больше людей читают и анализируют код, тем скорее находятся и исправляются любые проблемы.

По сути, ошибка и уязвимость в программе — это одно и то же, только в одном случае пользователь случайно нажимает последовательность клавиш и вызывает сбой приложения, а в другом хакер намеренно нажимает те же кнопки, чтобы получить доступ туда, куда не следует. Пользователь обнаруживает ошибку случайно, хакер использует ее для атаки на систему. Да, биткоин — это ПО, в любом ПО есть ошибки, и хакеры этим пользуются.

Раскрытие уязвимости

В апреле 2021 года разработчик, работающий над кодом биткоина в проекте Digital Currency Initiative в MIT Media Lab, обнаружил уязвимость в Bitcoin Cash. Здесь нужно заметить, что сообщества биткоина и отделившегося от него Bitcoin Cash друг друга на дух не переносят.

Найденная уязвимость была очень серьезной и могла бы похоронить Bitcoin Cash, но программист повел себя достойно и сообщил разработчикам о проблеме. В итоге никто не успел воспользоваться ошибкой для взлома, она была исправлена, и 7 мая 2021 года было опубликовано соответствующее обновление.

Смарт-контракты (умные и не очень)

Если говорить о безопасности, то реализация смарт-контрактов — это очень сложная задача. Смарт-контракты — это фрагменты исполняемого кода для управления транзакциями, и они записаны в блокчейне, а значит, вечны. И, поскольку они вечны, любые ошибки и уязвимости, допущенные в таком контракте при создании, тоже вечны.

Таким образом, плохо спроектированный или реализованный код смарт-контракта может привести к огромным финансовым потерям, как это случилось в печально известной истории с DAO — в результате плохо написанного смарт-контракта.

Хакеры любят сложный код, потому что в нем больше ошибок. И наоборот, безопасность — это простота. Биткоин-сообщество разработало язык Bitcoin Script, специально упростив и ограничив его — во имя безопасности.

Альтернативный проект, Ethereum, стремится обеспечить платформу для программирования децентрализованных приложений, поэтому язык Solidity, который там используется, тьюринг-полный, то есть способен реализовать всю сложность компьютерных вычислений.

Игры Capture The Flag (CTF) заключаются в поиске уязвимостей, и у компании Security Innovation есть бесплатная игра такого рода для смарт-контрактов — Blockchain CTF. Программирование смарт-контрактов на Solidity под платформу Ethereum требует хорошей практики в области безопасности. Можно ли взломать Ethereum? Да, как и биткоин.

27 июля 2021 года ICO проекта KICKICO на платформе Ethereum было взломано и потеряло 7,7 млн долларов: хакеры получили секретный ключ проекта и взломали смарт-контракт. Справедливости ради, здесь дело было не в уязвимости в смарт-контракте, а в неправильной защите ключа.

Немного о кошельках

Хранением личных ключей занимается кошелек, и именно он отвечает за их неприкосновенность. Если вы пользуетесь онлайн-кошельком, ваши личные данные живут на чужом сервере со всеми его уязвимостями. С другой стороны, если держать кошелек у себя на жестком диске, то можно утратить средства, когда диск сломается. Безопаснее всего — офлайновые аппаратные кошельки.

Онлайн-кошельки — зло

Хранение криптовалюты в онлайн-кошельке — это, практически, приглашение ко взлому. Происходить это может так: сначала хакер узнает адрес электронной почты и телефон жертвы, — это обычно общедоступная информация, — а потом запрашивает сброс пароля для учетной записи и использует уязвимость в протоколе телефонии Signal System 7 (SS7), который используют в своих сетях, к примеру, крупнейшие американские сотовые операторы AT&T и Verizon. Так хакер перехватывает токен авторизации. Теперь у него есть доступ к кодам двухфакторной авторизации, отправляемым на телефон жертвы, и с их помощью они заходят в сервис кошелька, после чего делают с криптовалютой все, что хотят.

Уязвимость в Monero

Любопытно, что иногда уязвимости оборачиваются против самих хакеров. Исследователи из ряда университетов, включая Принстон, Карнеги-Меллон, Бостонский университет и Массачусетский технологический институт обнаружили проблему конфиденциальности в Monero. Как известно, эта криптовалюта призвана обеспечивать анонимность действий пользователей, а уязвимость позволяла получить сведения о транзакции и определить, кто ее совершает.

И, поскольку данные в блокчейне хранятся вечно, эта ошибка позволяет заглянуть в прошлое на любую глубину. Представьте себе, что у вас украли деньги, воспользовавшись уязвимостью, и хакер рассчитывал остаться анонимным, но из-за ошибки в программе его стало можно выследить — какая ирония!

Так можно ли взломать биткоин?

Ошибки бывают разные, серьезные и не очень, но зачастую для взлома совершенно не нужно ничего делать с программой.

В декабре 2021 года проект NiceHash приостановил работу из-за взлома, в ходе которого было украдено 64 млн долларов. В компании утверждали, что атака была «высокопрофессиональной» и опиралась на «сложную социальную инженерию».

Но социальная инженерия — это просто жульничество. Хакеры обманом заставляют людей отдать им пароли, предоставить доступ к тому или иному аккаунту или сообщить им какую-то секретную информацию.

Можно ли взломать биткоин? Конечно, это случалось много раз. Но каждый такой взлом изучается — и только укрепляет защиту системы.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram. Обсудить актуальные новости и события на Форуме

Человеческий фактор

На самом деле, чтобы украсть у кого-то биткоины, можно вообще не знать алгебру и даже не помнить таблицу умножения. Достаточно обладать даром убеждения и лгать без зазрения совести. По словам Джейми Армстеда, вице-президента банковского консорциума, управляющего платежной сетью Zelle, его беспокоят не хакерские атаки, а фишинг.

Например, фальшивые электронные письма на почту корпоративного казначея, или голосовые команды, позволяющие получить контроль над вашим устройством. Не говоря уже об угрозах перехвата сообщений на пути от отправителя к получателю. Специалисты в области кибербезопасности постоянно работают над улучшением протоколов коммуникации, но они все равно остаются слабым звеном.

Может ли какая-нибудь масштабная дезинформация заставить большинство нод в сети биткоин одновременно совершить фатальную ошибку? Тут нужен какой-то очень хитроумный обман, но потенциально такое возможно.

Аккуратнее с обновлениями

Показателен пример кошелька Electrum для биткоина. Хакеры в одной из атак заработали более 200 биткоинов через вмешательство в инфраструктуру приложения.

В этой атаке настоящее приложение Electrum на компьютере выводило сообщение для пользователей о том, что нужно загрузить обновление. При этом ссылка из сообщения шла на другой репозиторий GitHub, который принадлежал мошенникам. Пользователи загружали другой кошелек, который воровал данные. Атака была остановлена только когда администрация GitHub удалила репозиторий хакеров.

Хакеры добавили десятки серверов в сеть кошельков. Пользователи настоящих кошельков Electrum инициируют биткойн-транзакцию. Если транзакция достигает одного из вредоносных серверов, эти серверы отвечают сообщением об ошибке, которое призывает пользователей загрузить обновление приложения кошелька с подставного GitHub.

Пользователь скачивает приложение. Оно запрашивает код двухфакторной аутентификации. Это действие должно вызывать подозрение, поскольку коды 2FA нужны только перед отправкой средств, а не на этапе запуска. Кошелек же использует этот код для кражи средств: транзакция уходит на кошелек хакера.

Окно выглядело очень официально, потому что Electrum отображал серверные сообщения в виде форматированных текстов. После атаки разработчики убрали эту возможность.

Мораль: не обновляйте кошелек не проверив официальное заявление от поставщика приложения. Также проверяйте официальную страницу на GitHub или официальный сайт, чтобы обновление было действительно легитимным. Взлом биткоин-кошельков часто проходит через подмену ссылок.

Высшая математика

Методы шифрования в целом выглядят надежными и достаточно хорошо изученными. Однако нужно понимать, что это не доказанная надежностью. Не исключено, что кто-то может найти частный случай, который разрушит всю стройную картину.

Простой пример: французский математик Ферма сделал простое предположение относительно экспонент двух чисел, которое казалось правильным, но было недоказуемым. Три сотни лет люди безуспешно пытались доказать его. И вот не так давно это удалось — отчасти благодаря эллиптическим кривым.

Две стороны безопасности биткоина

Биткоин не имеет физической сущности, а значит — его нельзя украсть подобно деньгам. Мошенник не может на улице вытащить из кармана у жертвы биткоины. Доступ к кошельку можно получить только благодаря наличию двух ключей: частного и публичного.

Это значит, что при должной аккуратности мошенники не смогут украсть биткоины, вообще никак. Но они ухищряются вводить в заблуждение пользователей, и обманным способом получать их личные данные. Речь идет о доступе к аккаунтам на обменных биржах, краже приватных ключей, денежных вымогательствах, призыв к участию в изначально проблемных проектах.

Квантовые компьютеры

Квантовые компьютеры теоретически способны сократить время, необходимое на дешифровку кода, с миллиардов лет до часов. В октябре прошлого года Google посеял панику среди криптографов, заявив о достижении квантового превосходства: экспериментальному устройству за 200 секунд выполнить вычисления, на которые у обычного компьютера ушли был 10 тыс. лет. Эксперты IBM утверждают, что Google мастер на квантовые преувеличения. Но как бы там ни было вектор движения понятен. Не исключено, что лет через десять то, что сейчас возможно лишь в теории, станет реальностью.

Все время с момента создания биткоина криптовалютная отрасль подвергалась нападкам хакеров, скаммеров, мошенников всех сортов и мастей. В будущем ничего не изменится — биржи будут взламываться, люди будут обманываться, системы защиты ломаться. Вероятность большого коллапса, способного разрушить всю систему, невелика. И тем не менее она существует.

Как можно украсть биткоины при обмене

Иногда кошельки взламывают, получают доступ к секретным ключам и меняют на свои.

Как и кошельки, сервисы обменов обычно имеют доступ к секретным ключам для удобства операций. Гораздо проще совершать транзакции, когда в обменнике хранится ваш личный ключ. Если такой сервис взломают или организаторы решат прекратить деятельность и украсть деньги, вы мало что сможете исправить.

Следует искать надежную обменную компанию, изучая отзывы и комментарии на форумах и тематических сайтах.

Хакер изображает получателя биткоинов

Как это происходит: ряд громких киберкраж произошёл в этом году, когда компании проводили ICO и просили инвесторов платить биткоинами. В некоторых случаях хакеры представлялись компаниями-организаторами при помощи фальшивых веб-сайтов и убеждали инвесторов отправлять миллионы долларов в биткоинах на поддельный кошелёк. Отправленные коины невозможно вернуть, так как транзакции необратимы.

Как это предотвратить: когда вы собираетесь передать биткоины кому-либо, проверьте, что кошелёк является подлинным.

Вор получает пароль от вашего аккаунта в сервисе хранения

Как это происходит: если вы используете сервис вроде Coinbase, вам не нужно беспокоиться о том, как запомнить открытый и закрытый ключи. Это похоже на онлайн-банкинг, где вы используете имя пользователя (обычно адрес электронной почты) и базовый пароль.

И это позволяет ворам обчистить вас, получив ваш пароль. Самый распространённый способ сделать это — взломать аккаунт электронной почты клиента, а затем попросить Coinbase (или любой другой сервис, который вы используете) сбросить пароль. Инструкция по сбросу отправляется на ваш взломанный аккаунт электронной почты, что позволяет вору получить доступ к биткоинам.

Как это предотвратить: во-первых, защитите свой аккаунт электронной почты с помощью двухфакторной аутентификации, чтобы не допустить атак. Во-вторых, сделайте то же самое со своим сервисом хранения биткоинов. Coinbase уже требует двухфакторный вход в систему: он состоит из пароля и полученного по SMS текста. Поскольку SMS могут быть перехвачены, вы должны пользоваться опцией проверки на основе приложения, такого как Google Authenticator. (Это может показаться сложным, хотя это не так. Это кибергигиена, которая должна использоваться для любого защищённого паролем онлайн-сервиса.)

Можно ли взломать кошелек

Взлом Киви интересует не только злоумышленников, но и владельцев аккаунтов. Зная слабые места системы, можно защитить себя от лишних неприятностей и потери денег.

Электронные кошельки пользуются популярностью за счет удобства использования, встроенных кэшбэков и автоматических платежей. При регистрации пользователь указывает свой номер телефона и придумывает пароль для защиты. Дополнительных запросов система не требует.

Перейти на официальную страницу кошелька Qiwi

Для защиты кошелек Киви использует встроенные средства:

  • отправку защитного кода по СМС на номер, указанный при регистрации;
  • отправку ключа и дополнительной информации об активности на электронную почту владельца;
  • современные методы шифрования логина и пароля, которые не разглашаются разработчиками Киви для безопасности.

Важно. Система автоматически собирает данные по работе, в том числе и попытках взлома кошелька и хранит их на сервере. Разработчики применяют сложные методы защиты и постоянно следят за выпуском дополнений.

Клиентов Qiwi часто волнует вопрос, можно ли взломать кошелек и вывести все деньги. Интеллектуальная кража средств исключается за счет встроенной активной защиты, однако злоумышленники могут завладеть счетом за счет невнимательности владельца.

Проблемы со стороны пользователей

Первый по популярности способ взлома — обдурить пользователя. Это самый простой вариант увести деньги с биржи. Он касается одного или нескольких пользователей, а не самой системы.

Причина в том, что биржи не были готовы к наплыву пользователей и предоставляют слабый уровень защиты. В то же время на рынок попали люди, которые новички в деле финансов и не привыкли серьезно относиться к безопасности.

Хакеры, нацеленные на отдельных инвесторов, используют следующие вещи:

https://ruscoins.info/news/esli-blokchejn-nastolko-bezopasen-pochemu-ego-tak-chasto-vzlamyvayut-15020/
https://its-city.ru/ploshchadki/vzlom-bitkoin-koshelkov.html

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *