По данным портала HedgewithCrypto, за последние 10 лет хакеры взломали 49 криптобирж и украли $2,7 млрд. Тем не менее площадки постоянно улучшают защиту — крупных краж становится все меньше. В 2020 году произошло девять взломов, в прошлом году — четыре, а в этом — всего один.
Вместе с Gate.io рассказываем, какие векторы атаки чаще всего используют хакеры, как платформа защищает средства клиентов и чего боятся крупнейшие криптобиржи.
Из чего состоит безопасность биржи
Самая частая причина взлома бирж — уязвимости хранилища приватных ключей к горячим кошелькам. Согласно HedgewithCrypto, хакеры также использовали:
баги торговой платформы;фишинг; бреши в защите серверов;рассылку вредоносных программ;подкуп сотрудников.
Чтобы защитить клиентов, площадки должны закрыть эти уязвимости и разработать сценарии реагирования на разные угрозы. Некоторые биржи используют уникальные меры:
Gate.io разработала программу для ончейн-аудита резервов и первой из мейнстримных криптобирж предоставила доказательство 100% обеспечения балансов пользователей;
BitMEX реализовала в торговом движке сверку балансов пользователей после каждой сделки и стоп-кран для остановки операций, если счет хоть одного трейдера не сойдется с историей его сделок;
Coinbase запустила Coinbase Tracer — собственный сервис для проверки чистоты транзакций;
Kraken установила в серверных системы видеонаблюдения и приставила к ним вооруженную охрану.
Комплексная защита площадки обходится дорого: Gate.io тратит на нее миллионы долларов в год. Точная сумма находится под секретом.
Защита горячих и холодных кошельков
Биржи используют два вида кошельков: горячие для ежедневных операций по принятию депозитов и вывода средств и холодные для безопасного хранения активов.
Ключи от горячих кошельков обычно находятся в компьютере с подключением к интернету, чтобы площадка могла быстро подписывать транзакции. Это опасно — хакеры могут получить доступ к машине, украсть приватный ключ или перенаправить транзакции на свои адреса.
Для управления горячими и холодными кошельками Gate.io использует мультиподпись, а значит кража одного ключа не приведет к потере контроля над активами.
Кроме того, Gate.io держит ключи и бэкапы в аппаратных модулях безопасности (Hardware Security Module) — аналогах Trezor и Ledger для задач бизнеса. Все холодные кошельки отключены от интернета.
Безопасность сайта и серверов
В 2020 году хакеры получили доступ к серверам биржи Livecoin, повысили котировки биткоина и Ethereum до $220 000 и $65 000 соответственно, а затем похитили более $2 млн. С 2014 года от подобных взломов пострадали восемь бирж.
Чтобы противостоять таким атакам, Gate.io использует:
протокол HTTPS для безопасной передачи данных между пользователями и серверами;собственный анти-DDoS и файрвол CloudFlare для защиты от трафика, который может замедлить или парализовать работу платформы;Web Application Firewall (WAF) для борьбы с сетевыми атаками — SQL-инъекциями, подменой токенов доступа, исполнением вредоносного кода в браузере и попытками перебора паролей;защищенные DNS, чтобы хакеры не смогли перенаправить пользователей на фишинговый сайт.
Торговое ядро Gate.io состоит из раздельных модулей. Такой подход не позволяет хакерам реализовать сценарий с подменой котировок криптовалют, доходности инструментов или любых других параметров платформы.
Для обеспечения внутренней безопасности биржа внедрила корпоративные файрволы и систему контроля доступа к корпоративным ресурсам. При заражении одного рабочего компьютера система выявит вирус при первых попытках прочесть данные.
Безопасность аккаунтов
Если злоумышленник получит доступ к аккаунту пользователя, то сможет украсть его средства несмотря на меры защиты кошельков и платформы. Поэтому Gate.io обязывает пользователей настраивать двухфакторную аутентификацию одним из способов:
код в SMS или письме на электронную почту;
Google Authenticator;
подтверждение входа через аппаратный ключ безопасности YubiKey, аппаратный кошелек Gate.io Wallet S1 со сканером отпечатка пальца или другое устройство с поддержкой стандарта FIDO2.
Пользователь также задает торговый пароль. Платформа запрашивает его перед любой операцией с активами: открытием или закрытием позиции, переводом средств или выводом криптовалюты на внешний кошелек. Кроме того, он может настроить белый список адресов для вывода.
Даже при наличии логина и пароля от аккаунта хакер не сможет вывести или по-другому использовать средства на счету. При этом Gate.io пришлет владельцу счета уведомление о входе с нового IP-адреса и запишет его в журнал логинов.
Для непредвиденных обстоятельств на Gate.io работает сервис наследования аккаунтов. Пользователь указывает контактные данные близких или друзей. Если он не будет заходить на платформу в течение длительного времени, биржа свяжется с указанными людьми и после подтверждения личности передаст им доступ к аккаунту.
Прозрачность платформы
В 2022 году криптоэнтузиасты столкнулись с новой проблемой: биржи использовали их депозиты для собственных операций. Из-за падения курсов биткоина и Ethereum позиции площадок стали убыточными. Компании приостанавливали вывод средств или даже объявляли о банкротстве.
За два года до этого Gate.io разработала ончейн-решение Proof-of-Reserves для независимого аудита резервов. В нем можно узнать свой реальный баланс на холодном кошельке биржи по хешу UID.
В июле 2022 года аудиторская компания Armanino LLP подтвердила, что Proof-of-Reserves работает правильно и Gate.io хранит 100% внесенных средств.
Безопасность экосистемы
Криптобиржи запускают блокчейны и токены, но не могут гарантировать безопасность децентрализованных приложений. Так, в марте 2021 года хакеры захватили DNS Pancake Swap на BNB Chain, и перехватили приватные ключи части трейдеров.
Для устранения этой уязвимости Gate.io добавила в GateChain механизм отмены транзакций и резервного вывода. Пользователи создают специальные адреса-хранилища и задают количество блоков, в рамках которого могут отменить отправленные транзакции.
Кроме того, владелец хранилища может привязать к нему резервный адрес для вывода средств в случае потери приватного ключа. Для этого нужно обратиться в техподдержку Gate.io.
Выводы
После ребрендинга на странице «О Gate.io» появился слоган «Наш высший приоритет — безопасность данных и активов пользователей». И это правда: система безопасности биржи закрывает известные уязвимости торговых площадок.
Но Gate.io не останавливается на достигнутом: биржа запустила баунти-программу для белых хакеров и разработала аппаратный кошелек со сканером отпечатков пальца Wallet S1.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
