Работа с криптовалютой происходит на базе технологии блокчейна (blockchain или block chain) - децентрализованной системе, которая фиксирует все операции и транзакции, когда-либо совершаемые в ней. Сеть блокчейна состоит из множества последовательных блоков, которые находятся на большом количестве технических средств независимых друг от друга. Чтобы атака хакера в этом случае имела успех, ему требуется получить доступ и скомпрометировать большую часть этих узлов - в настоящий момент, это реализовать практически невозможно (под словосочетанием "практически невозможно" подразумевается, что это все-таки возможно, однако требует очень и очень больших ресурсов, как технических, так и физических).
Таким образом, можно сказать, что блокчейн, на данный момент - это одна из самых надежных и безопасных систем для работы с криптовалютой. Несмотря на такой вывод, не стоит забывать о существование хакеров и халатно относится к безопасности.
Наличие совершенной технологии блокчейна не гарантирует сохранность Вашей криптовалюты, поскольку для ее конвертации и передачи используются криптовалютные биржи - именно они являются основной проблемой и целью для хакеров.
Начиная с 2011 года, на популярные и не очень криптовалютные биржи было совершено более 30 хакерских атак, которые повлекли за собой огромные убытки, на сотни тысяч и миллионов долларов. Можно посмотреть более подробный список и масштабы атак на сайте CoinIQ.
Уязвимость бирж заключена в централизованной системе, когда все операции и криптовалюта хранится на каком-либо определенном сервере или серверах, которые и становятся главным объектом для хакеров. Цифровая валюта сохраняется на сервере, а его гораздо легче взломать, чем децентрализованную технологию блокчейна. При этом, мошенничество в сфере криптовалют происходит и через мобильные платформы, с помощью фишинговых приложений.
Некоторые веб-сайты (т.е. биржи), идут на шаг впереди своих конкурентов и формируют децентрализованные системы (DEX - decentralized exchange), которые являются более надежными, поскольку они выступают в роли платформы, где просто совершается покупка и продажа между пользователями, без посредников. Они не хранят денежные средства и персональную информацию клиентов и действуют, по сути, как рынок (у меня вот есть: Bitcoin, Ethereum, Ripple, Litecoin, Dash, Nem, а у Вас есть: доллар, евро, рубли, гривны - мы можем быть полезны друг другу) который соединяет трейдеров. Однако, подобные биржи не самые удобные в использовании, а также не дают полной гарантии надежности каждого конкретного продавца и покупателя.
Поскольку криптовалютные биржи - это ничто иное, как веб-сайты, очевидно, что они должны иметь и соблюдать меры безопасности, такие, например, как защита от DDoS-атак или шифрование персональных данных пользователя, как минимум, сайт должен иметь бесплатный, а лучше платный ssl-сертфикат.
Что самое удивительное, далеко не все биржи соблюдают эти базовые требования. Платформа мониторинга и защиты безопасности Sqreen проанализировали 140 платформ и обнаружили массу проблем безопасности на биржах криптовалют. Согласно их отчету:
В настоящее время, двухфакторная аутентификация - один из наиболее эффективных и распространенных механизмов защиты, который зарекомендовал себя среди многих интернет-ресурсов: веб-сайтов, социальных сетей, форумов, блогов и финансовых приложений.
Применение 2FA требует от пользователя помимо логина и пароля еще и знание ключа (кода) авторизации. Чаще всего биржи (и не только они) предлагают несколько подходов к получению данного кода:
Конечно, это не дает 100% гарантии безопасности, поскольку хакеры все еще могут получить доступ к Вашему телефону, однако для этого требуется дополнительные усилия.
Зачастую для подтверждения транзакции от пользователя требуется один ключ, но для повышения безопасности можно применить технологию мультиподписи, которая требует двух и более ключей (2-2, 2-3, 3-5).
Timelock - позволяет ограничить транзакцию до момента достижения определенного времени. В этом случае, завершение операции произойдет после ввода по крайней мере двух подписей в течение некоторого определенного промежутка времени. Первый ключ можно ввести, когда захотите, а второй - спустя время (например, на 18 День Рождения Вашего ребенка) или же через 24 часа, неделю, месяц и т.д. Таким образом, хакеры не смогут воспользоваться Вашими денежными средствами, даже если они получили доступ к открытому ключу.
Еще одна из довольно-таки популярных особенностей - хранение персональных данных и криптовалюты на оборудование, которое не подключено к интернету. Теоретически, хакеры не могут скомпрометировать оборудование, которое не имеет доступа в интернет, поэтому информация и цифровая валюта в безопасности. Тем не менее, на практике, существует понятие социальной инженерии и если злоумышленник знает физическое расположения биржи - он имеет возможность проникнуть и похитить физический носитель информации.
Если биржа криптовалюты является сторонником политик AML (Anti Money Laundering) и KYC (Know your customer), иными словами, поддерживает борьбы с отмыванием денежных средств, то в этом случае каждый пользователь должен пройти верификацию, прежде, чем совершать какие-либо операции и транзакции на бирже. От клиентов требуется документальное подтверждение личности (наличие паспортных данных, ИНН и т.д.)
В этом случае, специальная группа будет отслеживать операции и в случае возникновения подозрений - отклонять их. В то время, как некоторые утверждают, что политика KYC и AML противоречит идее анонимности и формирует ряд других трудностей, следование этим принципам имеет положительный аспект, поскольку позволяет успешно предотвратить мошенничество.
Эта мера безопасности довольно редкая среди бирж криптовалюты, поскольку она не защищает сайт и пользователей от хакеров, хищения персональных данных и монет. Тем не менее, в случае возникновения подобных инцидентов биржа берет на себя ответственность и компенсирует утрату клиентов.
В конечном итоге, чтобы защитить свою криптавалюту, не полагайтесь только на биржи. При любых транзакциях, стоит быть предельно внимательными, перепроверьте все адреса и ключи, прежде, чем закончить продажу, покупку или обмен.
