Как хакери успешно продължават да крадат биткойни за милиони долари

Binance е една от най-големите борси за криптовалути в света, а в началото на май хакери откраднаха от там биткойни на стойност 40 милиона долара (над 35 милиона евро).

От базираната в Тайван борса съобщиха на 7 май за хакерската атака, при която чрез единична транзакция са изтеглени около 7000 биткойна. Хакерите са използвали различни методи, включително фишинг и вируси, в нещо, което компанията описва като "мащабен пробив в сигурността".

Това далеч не е първият път, в който криптовалутите са мишена на крадци. Технологията, за която се предполага, че е свръх-надеждна и сигурна, на практика се оказва забележително зле защитена.

Един от най-мащабните подобни случаи беше с борсата Mt. Gox, която се срина през 2014 г. след като изгуби 460 милиона долара, вероятно от ръцете на хакери. През 2016 г. хакери откраднаха биткойни на стойност 72 милиона долара от борсата Bitfinex. А през 2018 г. бяха откраднати други 500 милиона долара под формата на дигитални токени от борсата Coincheck.

Според Wall Street Journal криптовалути на стойност над 1,7 милиарда долара са били откраднати през годините досега, повечето от тях от борси, предимно в Азия.

Обирът на Binance, подобно на предишни хаквания на борси, би трябвало да послужи като предупреждение за инвестиращите в криптовалути: парите ви може и да не са толкова защитени, колкото си мислите.

Робърт Лонг, адвокат и бивш федерален прокурор, казва, че кражбата на криптовалути "донякъде е като грабеж на банка, като изключим, че може да се направи от хиляди километри, от комфорта на собствения дом". Според него парите, които хакерите получават, са почти непроследими, и могат да бъдат скрити като бъдат "изпрани" чрез транзакции през многобройни портфейли за броени минути.

Какво се е случило в Binance: кратко обяснение

Според изявление от борсата хакерите са се снабдили с потребителски API ключове, кодове за двуфакторна идентификация и друга информация, за да реализират плана си и да изтеглят 7000 биткойни в единична транзакция.

Хакването е засегнало т.нар. "горещ портфейл" на Binance, който по същността си е хранилище за данни, свързано с интернет и използвано за ликвидност, така че биткойните да могат да се обменят.

Според Binance, само 2% от общите притежавани биткойни са били в "горещия портфейл". За останалите се предполага, че са били в "студено хранилище", което означава биткойни, държани офлайн. Ако Binance бяха държали повече от биткойните си в своя горещ портфейл, хакването можеше да доведе до много по-тежки загуби.

От борсата казват, че хакерите "са имали търпението да чакат и да реализират добре синхронизирани действия чрез многобройни привидно несвързани акаунти в най-подходящия момент", както и че транзакцията е била структурирана така, че да премине през проверките за сигурност.

Клиентите на Binance няма обаче да изгубят пари, заради техния "Фонд за сигурни активи на потребителите" - застрахователен фонд за критични ситуации, създаден през юли 2018 г.

Какво прави биткойн борсите толкова удобни за хакване

Дискусиите за сигурността на биткойните са двустранни: от една страна е самата технология, от другата - начинът, по който се трансферират и съхраняват криптовалутите.

Блокчейн, технологията на разпределен регистър, на която е базиран биткойнът, е много надеждна и защитена сама по себе си. Тя е "неотменим или почти неотменим запис на това кой е прехвърлил биткойни и на кого", казва Питър ван Валкенбърг, директор по изследванията в лобистката фирма за публични политики Coin Center.

Според него проблемът със сигурността реално се изразява в това кой има правото да извършва транзакции чрез блокчейн - "всеки, който има ключовете, съответстващи на биткойните на определен адрес".

Ако имате собствени "ключове" — на практика набор от букви и цифри, съответстващи на вашите биткойни — те са защитени. Но след като ги предадете на някой друг, от рода на борса или портфейл за съхранение, от системите и практиките за киберсигурност на тази организация зависи валутата да остане защитена. Много организации са податливи на пробиви в защитата на данните — перфектни примери са Equifax, Yahoo и Target. Борсите за криптовалути не са изключение.

Въпросът с биткойните е, че след като веднъж изчезнат, те изчезват окончателно. Вече нямате ключа, той е у някой друг. Същата фундаментална сигурност на блокчейните, от която сте се възползвали, сега работи и за хакерите.

Джеръми Гарднър е управляващ партньор в инвестиционна фирма и предприемач в бранша на криптовалутите. Той обяснява, че "ако Binance имат уязвимост в системата си за сигурност и хакер се възползва и извлече тази стойност, която е неотменима и напълно надеждна на фундаментално ниво, и я прехвърли от портфейла на Binance в своя портфейл, той става притежател на валутата". По думите му това е функция на биткойн, а не бъг.

И не можете да получите обратно биткойните си.

Професорът по финанси в университета "Виланова" Джон Седунов посочва, че тези типове валути са "невероятно привлекателни за крадци или хакери, заради анонимното си естество".  Ако ограбите банка, бивате заснет от охранителни камери и т.н. Ако откраднете биткойн от борса, с вас е свързан низ от случайни букви и числа, и никой няма да разбере кой сте, пояснява Седунов.

Wall Street Journal през 2018 г. формулира други фактори, които правят кражбата на биткойни особено привлекателна.

Първо, че за разлика от фондовите борси, които улесняват търговията, но реално не държат ценни книжа от името на инвеститорите, много борси за крихтовалути удържат такси за търговия, и съхраняват валутите на клиентите си. Анализатори казват, че това прави борсите за криптовалути очевидни мишени.

Крадците, които успеят да проникнат, могат да направят нещо подобно на грабежа на банка — да се снабдят с ценни криптовалути, които могат да осребрят срещу реални пари.

Освен това борсите за криптовалути са "лесни за пробив, с минимални усилия и разходи от атакуващите и с максимална възвръщаемост на инвестициите". Такова е мнението на Робърт Статика, президент на BLAKFX - компания за киберсигурност в Ню Йорк.

Регулациите около биткойните варират в различните държави, което означава, че на някои места се изисква борсите да спазват по-строги правила, докато при други режимът е по-свободен.

Когато се случат хаквания, международни и национални правоприлагащи органи се ангажират в опит да проследят престъпниците и в такива случаи наказанията са сравними с тези за другите типове кражби. В САЩ например органите на реда от рода на ФБР са предприемали действия срещу крадците и други незаконни употреби на криптовалути.

Как да инвестирате надеждно в биткойни

Инвестирането винаги е рисково, включително, и вероятно особено когато става дума за криптовалути. Извън опасенията за сигурността, остава простият факт, че криптовалутите са обект на някои крайно непредвидими вариации на цените.

В края на 2017 г. например цената на 1 биткойн почти достигна 20 000 долара; в момента тя е под 6000 долара.

Ако сте инвестирали в криптовалути — или обмисляте да започнете да инвестирате там — не можете да направите много, за да предотвратите флуктуациите на цените (освен може би да не връзвате много биткойни с кредитната си карта). Но има мерки за сигурност, които можете да предприемете.

Някои хора избират да съхраняват самостоятелно криптовалутите си, но за тези, които не са толкова технологично квалифицирани, има борси и дигитални портфейли, които се поддържат от трети страни.

Ван Валкенбърг формулира някои прости съвети как да оценявате различните варианти: изберете голяма компания, търсете такава, която да е регулирана и да спазва законовите изисквания, особено в САЩ, и следете за зараждащи се добри практики, от рода на борси, които използват "студени хранилища" и имат застраховки.

Гарднър казва, че по-безопасна алтернатива от борсите би бил портфейл, който да разчита на студено хранилище, където идеята е надеждно да се съхранява криптовалута, а не да се търгува с нея. Някои от добрите примери са Xapo, BitGo и Coinbase Vault.

Криптовалутите все още са млада област и въпреки че са изминали доста път от времената на Mt. Gox, те все още има да еволюират, докато достигнат зрялост. Включително и когато става дума за сигурност, а случаят с Binance е поредното доказателство за това.

Или както отбелязва професор Седунов - когато се замислите за това къде да инвестирате, добре е да се уверите, че хората, които ще изберете, ще се погрижат добре за сигурността на вашата инвестиция.

Новините

Най-четените