Топ бирж криптовалют по надежности
Параллельно со стремительным развитием информационных (IT) технологий эволюционируют киберпреступники – хакеры, неустанно разрабатывающие и, зачастую, успешно применяющие различные, порой, уникальные способы хищения цифровых активов из резервов криптобирж, аккаунтов (торговых счетов) пользователей, краж конфиденциальных данных последних. Как следствие, ежегодно возрастают требования к криптовалютным торговым платформам по части защиты и безопасного хранения/использования цифровых активов. Здесь можно изучить рейтинг ТОП криптовалютных бирж в России, подготовленный группой экспертов рынка цифровых активов, выделяющиеся, помимо прочих функциональных характеристик, высоким уровнем безопасности, надежности. Однако, прежде чем приступить к обзору, по мнению большинства специалистов кибербезопасности, наиболее уязвимого звена в цепочке продуктов криптоиндустрии – защита криптобиржами пользовательских средств от хакерских атак, отметим, практически нет ни одной торговой криптоплатформы, обладающей на 100% эффективной системой безопасности.
Благодаря принятию и имплементации законов, ориентированных вывести рынок цифровых активов из «серой зоны», централизованные (CEX) криптобиржи, сравнимы по безопасности с традиционными банковскими системами, что, впрочем, не останавливает киберпреступников. В арсенале последних широкий выбор инструментов, однако чаще всего хакеры прибегают к фишингу, атакам на трафик поставок цифровых активов, обычным взломам пользовательских аккаунтов – онлайн (горячих) криптокошельков.
Актуальные протоколы защиты цифровых активов
Входящие в общую инфраструктуру безопасности на криптовалютная биржа Huobi, Coinbase, KuCoin, Gate.io, Kraken, OKX, прочих ведущих торговых площадках, включая отраслевого фаворита – CEX-криптобиржу Binance:
- фонд возмещения убытков;
- офлайн (холодное) хранение цифровых активов;
- 2F-аутентификация;
- привязка учетной записи к определенным IP-адресам;
- блокировка вывода средств после изменений верифицированных первоначальных контактных данных пользователя;
- программа Bug Bounty;
- специальная служба, деятельность которой ориентирован на борьбу с мошенничеством.
Наличие/отсутствие, а также уровень эффективности этих способов защиты учитывались экспертами информационного web-сайта при ранжировании криптовалютных торговых платформ в рейтинге ТОП-криптобирж по надежности, предоставляющих услуги на территории Российской Федерации. Рассмотрим перечисленные протоколы безопасности подробнее.
Инцидент с японской криптобиржей MtGox (февраль, 2014 года) – пожалуй, самое громкое хищение пользовательских активов за всю историю отрасли. Из онлайн-кошельков клиентов MtGox, на которую в то время приходилось 70% от совокупного количества Bitcoin-транзакций, злоумышленники вывели свыше 850 000 BTC, что по февральскому курсу 2014 года соответствовало, приблизительно, $ 450 млн.
Фонд возмещения убытков
Основополагающий фактор, так как ни одна из ныне функционирующих криптобирж априори не способна дать 100-процентную гарантию сохранности средств пользователей. Впрочем, та же участь ждет торговые криптоплатформы в будущем. Поэтому, наличие фонда возмещения убытков, который формируется и пополняется, как правило, за счет доли от комиссионных сборов, установленных той или иной криптовалютной биржей – архиважный протокол в общей системе безопасности онлайн-сервиса, дающий возможность максимально оперативно и в полной мере восполнить финансовые потери пользователей, сохранив репутацию, доверие и предотвратив отток клиентов. Например, Binance, также не избежавшая хакерских атак как многие прочие ТОП-криптобиржи, быстро возместила убытки клиентов в размере $ 40,5 млн. Инцидент датируется маем 2019 года – с биржевых онлайн-кошельков пользователей Бинанс было незаконно выведено 7 000 BTC.
Офлайн-хранение цифровых активов
Также архиважный протокол в общей системе безопасности средств криптотрейдеров и криптоинвесторов той или иной торговой криптоплатформы из рейтинга ТОП-криптобирж по надежности в России. Как и с фондом возмещения убытков, требование «холодного» хранения криптовалют выдвигаются CEX-криптобиржам. Децентрализованные (DEX) торговые площадки по определению не контролируют средства пользователей, хранящиеся в криптокошельках трейдеров. Как следствие, за безопасность собственных цифровых активов отвечают исключительно клиенты DEX-криптобирж. Централизованные площадки, в свою очередь, имплементируют различные методы – дифференцированное офлайн-хранение, криптографическое кодирование, прочие высокоэффективные протоколы. Главное, практически у всех ТОП-криптобирж на «горячем» хранении находится, как правило, не более 2% от общего объема цифровых активов, депонированных пользователями. Эти средства онлайн-сервисы держат для реализации текущих заявок на вывод виртуальных монет.
Если у читателя появилась мысль о том, что DEX-криптобиржи – абсолютно безопасные платформы для онлайн-торговли криптовалютами, спешим развеять это заблуждение. Просто цель хакеров не пользовательские счета, а резервы онлайн-сервиса. Например, одна из ведущих DEX-криптобирж Bancor подверглась успешному взлому в июле 2018 года на общую сумму $ 23,5 млн в эквиваленте ETH, BNT (нативный токен площадки), прочих альткоинов. Удар был нанесен в ходе обновления некоторых smart-контрактов, для чего был создан криптокошелек, который скомпрометировали хакеры.
2F-аутентификация, «белые» IP-адреса, блокировка средств
Объединим эти три линии обороны в одну группу, так как, по сути, они направлены против фишинга, взломов пользовательских аккаунтов с использованием социальной инженерии, прочими относительно простыми и часто встречающимися попытками незаконно овладеть личными финансами пользователей, опять-таки, CEX-криптобирж. Наравне с обязательной верификацией, централизованные торговые площадки требуют установки 2F-аутентификации для дополнительной защиты аккаунта. Полезная опция, так как любое ключевое действие – вход в личный кабинет, вывод криптовалюты, фиата, нужно подтверждать, указывая код двухфакторной аутентификации, пришедший на привязанные к учетной записи номер мобильного устройства или email. Любые изменения первоначальных контактных данных, равно как сомнительные движения, фиксируемые в личном кабинете, ведет к блокировке средств пользователя. Мониторинг IP-адресов, которые перманентно проводят надежные криптоплатформы, помогают последним вовремя идентифицировать попытки входа в аккаунт пользователя из непривычной для него геолокации, другого компьютера, браузера.
Bug Bounty и служба безопасности
Также определены в одну группу противодействия злоумышленникам, так как ориентированы на идентификацию слабых мест в общей системе безопасности криптобиржи. Программа Bug Bounty, имплементированная многими торговыми площадками из рейтинга криптовалютных бирж в России по надежности, который можно тщательно изучить здесь, подразумевает привлечение специалистов по кибербезопасности, «этических хакеров» для поиска и выявления уязвимостей в системе за вознаграждение. Служба безопасности нивелирует или старается ликвидировать человеческих фактор – хищение пользовательских средств непосредственно сотрудниками торговой криптоплатформы. История знает прецеденты. Например, схема ноябрьского взлома 2019 года южнокорейской CEX-криптобиржи Upbit, в ходе которого было успешно выведено на неизвестный ранее криптокошелек 342 000 ETH (около $ 50 млн) и незначительное количество Stellar, BitTorrent и Tron на другие электронные бумажники, инициирована и реализована сотрудником криптокомпании.