Биржа электронных валют Gatecoin подверглась атаке

Рейтинг честных онлайн казино за 2020 год:
  • CasinoX
    CasinoX

    #1 по бонусам и отдаче с автоматов! Джекпот 100 млн

  • JoyCasino
    JoyCasino

    Приветственный бонус 30 000 руб, за каждый депозит по 100 000 руб!

  • Чемпион
    Чемпион

    Полностью на русском! Большие бонусы за регистрацию и пополнения!

Цена хайпа: как взламывают криптовалютные биржи

Прогремевший в конце января 2020 года взлом японской криптовалютной биржи Coicheck не только лишил пользователей токенов на сумму, эквивалентную более $500 млн, но и здорово пошатнул уверенность криптосообщества в степени киберзащиты подобных центров обмена.

В результате 5 марта японцы объединились против внешнего врага — организация, в которую войдут 16 лицензированных бирж, будет не только заниматься саморегулированием, но и противостоять атакам хакеров. Растущая популярность всего, обладающего приставкой «блокчейн» и пахнущего быстрыми деньгами, неизбежным образом привлекает к этой сфере мошенников. Пока криптобиржи, разработчики и держатели электронных кошельков пренебрегают безопасностью, растет число сообщений об «ограблениях века» и многомиллионных хищениях с криптовалютных площадок. Чем промышляют криптобандиты, каков их набор средств и — самое главное! — что делать, чтобы не стать жертвой.

Как мухи на варенье

Согласно отчету Group-IB, одного из лидеров рынка по кибербезопасности, блокчейн-проекты остаются лакомым куском для тех, кто промышляет разного рода атаками и хищениями. В среднем один ICO проект подвергается атакам как минимум 100 раз. Международные криптовалютные площадки, где оборот средств в разы выше, становятся мишенями злоумышленников ничуть не реже. Только цифры и убытки, как правило, гораздо внушительнее.

Южнокорейская криптовалютная биржа Youbit подвергалась хакерским взломам в апреле и декабре 2020 года. Первый взлом привел к потере около 4000 биткоинов, второй лишил биржу 17% всех активов и привел к закрытию. NiceHash, площадка для покупки, продажи и аренды майнингового оборудования, была взломана в начале декабря 2020 года, общая сумма ущерба — $80 млн. Популярную японскую криптобиржу Coincheck в конце января 2020 года навестили злоумышленники, которым удалось перевести на свои электронные кошельки 523 млн токенов криптовалюты NEM, стоивших на тот момент, примерно $534 млн. А были еще кейсы с биржами Bithumb, Mt. Gox — cписок можно продолжать, как говорят американцы, you name it.

«Количество атак на криптовалютные биржи резко возросло как раз в тот момент, когда сами цифровые валюты начали расти в цене. В декабре 2020 года стоимость Bitcoin достигла $20 000, что не могло не привлечь внимание киберпреступников, — отмечает генеральный директор компании SEC Consult Services Георгий Лагода. — При этом уровень защиты этих площадок против кибератак оказался недостаточно высоким, чтобы предотвратить миллионные потери».

Ловись, биржа, большая и маленькая

В чем уязвимость блокчейна при кибератаке? Во-первых, разработчики неверным образом зачастую полагают, что слова «крипто» и «блокчейн» означают безопасность по умолчанию. «Должное внимание не уделяется ни качеству кода, ни сетевой архитектуре, — замечает Георгий Лагода, — а ведь они могут быть уязвимы. Отдельного внимания заслуживает безопасность смарт-контрактов. И здесь зачастую полагаются на безопасность структуры блокчейна, упуская из виду небезопасное использование генераторов псевдослучайных чисел, используя данные из основной сети Bitcoin или аналогичных валют в качестве источника случайной величины».

В феврале специалисты подсчитали, что из миллиона смарт-контрактов Ethereum уязвимостями обладают более 34 000. Исследователи из Университетского Колледжа Лондона проверили свои предположения на 3000 смарт-контрактах блокчейна Ethereum. 89% из них оказались носителями тех или иных багов, что теоретически позволило бы украсть эфиров на сумму $6 млн.

Самыми популярными атаками на сегодняшний день являются атаки типа DDoS и фишинг.

В целом, аббревиатура DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) уже давно украшает сводки новостей и вызывает трепет пользователей. При такой атаке хакеры направляют на сервер искусственно созданный трафик, имеющий несколько источников, чтобы создать для сервера непосильную нагрузку, и «кладут» его. В этом случае биржи также теряют деньги, ведь при отсутствии доступа, особенно длительного, пользователи биржи не могут использовать ее функции, и капитал не движется. Криптовалютная биржа Bitfinex в декабре 2020 года подверглась мощнейшей атаке такого рода.

Фишинг (phishing) — мошенничество, основанное на принципах социальной инженерии. Сначала создается практически точная копия сайта, например, выбранной злоумышленниками биржи. Затем при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от биржи.

Почти в точности повторяются логотипы, имена и фамилии реальных руководителей. Сообщается о том, что из-за смены программного обеспечения или — вот ирония! — из-за нападения хакеров пользователю необходимо подтвердить или изменить свои учетные данные. Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте. Пользователи популярной криптовалютной биржи Binance несколько недель назад стали жертвами таких трюкачей, причем отличить настоящий сайт от фейка невооруженным глазом было почти невозможно.

Поэтому красной линией любых списков рекомендаций от экспертов всегда проходит заклинание: не хранить значительные средства на биржах и использовать эти площадки только для сделок. «Атаки на ICO — те вообще происходят постоянно, — утверждает Евгений Юртаев, директор финтех-компании Zerion, производителя программного обеспечения. — Один из самых частых примеров — спуфинг, когда злоумышленники получают доступ к DNS сайта и перенаправляют его на несуществующий домен. От такой атаки пострадала, например, Enigma, когда на поддельном сайте выставили адрес, куда надо было отправлять эфиры, и было украдено больше $500 000. Общей рекомендацией остается не хранить крупные суммы денег на централизованных биржах и по возможности использовать децентрализованные альтернативы, которые набирают ликвидность».

Рейтинг русскоязычных казино с лицензией:
  • CasinoX
    CasinoX

    #1 по бонусам и отдаче с автоматов! Джекпот 100 млн

  • JoyCasino
    JoyCasino

    Приветственный бонус 30 000 руб, за каждый депозит по 100 000 руб!

  • Чемпион
    Чемпион

    Полностью на русском! Большие бонусы за регистрацию и пополнения!

Щит, меч и регистрация

Что делать? Существует способ приблизить размер рисков к нулю: проведение внутренних и внешних аудитов информационной безопасности, постоянный мониторинг активности пользователей и использование рекомендованных экспертами решений. Существует, например, чаще других используемый аудиторами международный стандарт CobiT (Control Objectives for Information and related Technology).

Одна из основ блокчейна — использование смарт-контракта. Его всесторонний аудит также нужно проводить в обязательном порядке. Отличие от «обычной» защиты информации в критичности системы и объеме денег, который постоянно крутится в проекте, а также в своей логике работы системы.

Чтобы защитить своих пользователей, бирже нужно прежде всего защитить себя. Самым распространенным решением является использование двухфакторной аутентификации (2FA) и «холодных» серверов.

Некоторые биржи идут дальше и просят пользователей предоставить копии документов. Например, на Bittrex тре­бу­ет­ся ве­ри­фи­ка­ция ак­ка­ун­та с ука­за­ни­ем пер­со­наль­ных дан­ных для вы­во­да циф­ро­вой ва­лю­ты общим объ­е­мом до 3 бит­ко­и­нов в день. При вы­во­де до 100 бит­ко­и­нов в день — с предо­став­ле­ни­ем копии удо­сто­ве­ре­ния лич­но­сти. Кроме того, ос­нов­ная часть всех циф­ро­вых ак­ти­вов биржи хра­нит­ся офлайн на «хо­лод­ных», то есть фи­зи­че­ски не под­клю­чен­ных ни к ка­ко­му ком­пью­те­ру, но­си­те­лям и вы­во­дит­ся он­лайн толь­ко при со­вер­ше­нии тран­зак­ций.

Также существуют процедуры AML (Anti Money Laundering — борьба с отмыванием денег) и КУС (Know Your Client — знай своего клиента), которые биржи объявляют обязательными.

Ключ от квартиры, где деньги лежат

Говорят, что существует три вида лжи: ложь во благо, отъявленная ложь и статистика. Так вот, статистика говорит, что на 1000 строк исходного кода в среднем насчитывается 1 ошибка. И нет никакой уверенности, что именно этот баг не будет связан с безопасностью.

Как утверждают эксперты по кибербезопасности, даже если разработчики биржи напишут идеальный код, всегда остается риск, что в сторонних проектах, которые им приходится использовать, будут уязвимости.

«Поскольку любая биржа, и не только криптовалютная, это «про деньги», отдельное место в общем спектре атак играют атаки, основанные на социальной инженерии. А также, как ни удивительно, случайные события, причиной которых служат обычная человеческая глупость и невнимательность. Рядовые пользователи — часто большие любители слабых паролей, потерянных «холодных» кошельков, использования «горячих» кошельков и публичного Wi-Fi для доступа к большому объему средств, перехода по подозрительным ссылкам», — описывает распространенные ошибки Георгий Лагода.

В конечном итоге пользователь или площадка, у которых украли средства тем или иным способом, вынуждены рассчитывать лишь на честность хакеров, так как в отличие от традиционной финансовой среды алгоритмы возмещения утраченных средств в криптосфере не отработаны. Если хакеры взломают ваш банковский счет и уведут с него значительную сумму денег, то банк может отследить и аннулировать криминальные транзакции, возместив ущерб. Компенсация украденной криптовалюты проблематична или просто невозможна по технологическим причинам и в силу анонимности транзакций. Тем более любопытно выглядит история неизвестного Робина Гуда хакерского происхождения, который по неизвестной причине вернул $26 млн в токенах Ethereum в лоно ограбленной им в прошлом году биржи CoinDash. Рассчитывать на подобный альтруизм в большинстве случаев не приходится. Поэтому стоит помнить:

— во-первых, и у хайпа есть цена;

— во-вторых, безопасность, как всегда, превыше всего.

Bitcoin Gold подвергся атаке двойных расходов, биржи теряют миллионы

Злоумышленники успешно выполнили атаку двойных расходов в сети Bitcoin Gold на прошлой неделе, сделав BTG по крайней мере третьим альтокоином, который подвергся атаке сети в течение последней недели.

Директор по коммуникациям Bitcoin Gold, Эдвард Искра (Edward Iskra), впервые предостерег пользователей об атаке 18 мая, объяснив, что злоумышленники использовали эксплойт для похищения средств из криптовалютных бирж.

Чтобы выполнить атаку, мошенники получили по крайней мере 51 процент общей хеш-мощности сети, которое предоставило им временный контроль над блокчейном.

Получение таких мощностей невероятно дорого, даже для такой сети как Bitcoin Gold, но это может быть монетизировано, если использовать атаку двойных расходов.

После того, как злоумышленники получили контроль над сетью, они начали депонирование BTG на биржи криптовалют, а также пытались отправить те же монеты в кошелек под своим контролем.

Как правило, блокчейн решает это, включив только первую транзакцию в блок, но злоумышленники могли откорректировать транзакции, поскольку они имели контроль над сетью.

Следовательно, они могли депонировать средства на биржи и быстро снять их снова, после чего они изменили начальную транзакцию, чтобы отправить монеты, которые сначала депонировали на другой кошелек.

Адрес Bitcoin Gold, причастный к атаке, получил более 388,200 BTG с 16 мая. Можно предположить, что все эти транзакции были связаны с двойным использованием средств, преступники похитили BTG на сумму 18,6 миллионов долларов на биржах.

Последняя транзакция была отправлена ​​18 мая, но атакующие могли теоретически попробовать возобновить атаку, если все еще имеют доступ к достаточной хеш-мощности, чтобы получить контроль над блокчейном.

Разработчики Bitcoin Gold консультировали биржи для решения этой проблемы, увеличивая количество подтверждений, необходимых для депонирования на счета клиентов.

Данные блокчейна указывают на то, что злоумышленники успешно осуществили обратные операции еще на 22 блока, и разработчики советуют требования подтверждения до 50 блоков.

В настоящее время Bitcoin Gold занимает 27-е место среди криптовалют с капитализацией 808 миллионов долларов.

Как мы сообщали, майнер манипулировал двумя алгоритмами хеширования приватной монеты, чтобы похитить более 35 миллионов Verge (около 1,75 миллиона долларов), всего за несколько часов.

Ранее японская криптовалюта Monacoin также подверглась подобной атаке, после того, как майнер получил почти 57% хешрейта сети.

Крипто-биржа Gatecoin будет ликвидирована по решению суда

Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно.
Необходимо обновить браузер или попробовать использовать другой.

Гонконгская крипто-биржа Gatecoin закрывается и переходит к этапу ликвидации в соответствии с распоряжением суда, свидетельствует уведомление на сайте компании.

«В свете сложившихся обстоятельств мы испытывали финансовые трудности на протяжении некоторого времени, масштаб которых не позволяет нам продолжать вести свою операционную деятельность, – пишет биржа. – 13 марта 2020 года суд вынес решение о ликвидации нашей компании».

В 2020 году Gatecoin подверглась хакерской атаке, потеряв 185 000 Ethereum и 250 биткоинов или около $2 млн. Хотя этот инцидент оказал значительное влияние на благосостояние биржи, он не стал той причиной, из-за которой Gatecoin пришлось закрыться.

В официальном заявлении Gatecoin связывает принудительную ликвидацию своего бизнеса с действиями сторонних поставщиков платёжных услуг: «Как вам может быть известно, после того как у нас начались проблемы с банковскими партнёрами в сентябре прошлого года, мы стали работать с поставщиком платёжных услуг (PSP). PSP, однако, не проводил большую часть платежей своевременно, что, в свою очередь, почти парализовало нашу операционную деятельность на несколько месяцев и стало причиной существенных убытков с нашей стороны».

«Даже после того как нам удалось избежать дальнейших убытков путём ухода от PSP к более надёжному альтернативному сервису, который занялся обработкой переводов клиентов, ситуация не улучшилась, потому что значительная часть наших средств оставалась в распоряжении PSP. Потратив несколько месяцев на попытки возврата этих средств, мы подали в суд на PSP, но получили ответ, согласно которому мы вряд ли смогли бы вернуть все причитающиеся нам средства», – добавляет биржа.

Gatecoin была основана в 2020 году и являлась одной из первых регулируемых бирж криптовалют. Оставшиеся на её счетах активы компания намерена распределить в пользу кредиторов.

Топ-4 казино по размерам бонусов и Джекпотам:
  • CasinoX
    CasinoX

    #1 по бонусам и отдаче с автоматов! Джекпот 100 млн

  • JoyCasino
    JoyCasino

    Приветственный бонус 30 000 руб, за каждый депозит по 100 000 руб!

  • Чемпион
    Чемпион

    Полностью на русском! Большие бонусы за регистрацию и пополнения!

Добавить комментарий