Crypto Exchange Hacks in Review: Προληπτικά βήματα και συμβουλές από ειδικούς

Έχει ήδη παραβιαστεί η ανταλλαγή κρυπτονομισμάτων στην οποία διαπραγματεύεστε συνήθως; Εάν όχι ακόμα, αυτό είναι πολύ δυνατό. Οι κεντρικές ανταλλαγές, τις οποίες ήθελε ο Vitalik Buterin να «κάψουν στην κόλαση» χειριστείτε τα χρήματα των χρηστών και αντιμετωπίζετε τακτικές επιθέσεις, ενώ οι αποκεντρωμένοι φαίνεται ότι δεν έχουν βρει ακόμη έναν ισορροπημένο συμβιβασμό μεταξύ ασφάλειας και χρηστικότητας. Ταυτόχρονα, η εμπειρία των παραδοσιακών τραπεζών στην εξασφάλιση της ασφάλειας στον κυβερνοχώρο εξακολουθεί να μην απαιτείται στη βιομηχανία κρυπτογράφησης, γεγονός που οδηγεί σε κλοπή εκατομμυρίων δολαρίων χρηστών ή παραβίαση δεδομένων, όπως σε ένα περιστατικό που συνέβη στους ιδιοκτήτες λογαριασμών Atlas Quantum στις 25 Αυγούστου..

Οι πέντε πρώτες επιθέσεις σε ανταλλαγές κρυπτογράφησης είναι γνωστές στους εμπόρους και μελετήθηκαν από ειδικούς στον κυβερνοασφάλεια σε όλο τον κόσμο. Η λίστα είναι επικεφαλής του Mt. Η Gox, η οποία άρχισε πρόσφατα να δέχεται αξιώσεις επιστροφής χρημάτων από τους εμπόρους που επηρεάζονται από την παραβίαση.

Όρος Gox

Χώρα: ΗΠΑ

Ιδρυτές: Jed McCaleb, Mark Karpeles

Κλεμμένα κεφάλαια: 1,35 εκατομμύρια BTC

Όρος Το Gox πρωτοεμφανίστηκε 2011, και μετά το 2014. Οι χάκερ παραβιάστηκε ο λογαριασμός που ανήκει σε ελεγκτή της ανταλλαγής. Στην πρώτη περίπτωση, 500.000 BTC – ισοδύναμο με 8,75 εκατομμύρια δολάρια – έχουν κλαπεί από τους λογαριασμούς και από το αποθετήριο ως αποτέλεσμα της παραβίασης της βάσης δεδομένων της ανταλλαγής. Στη δεύτερη περίπτωση, οι επιτιθέμενοι κατάφεραν να αποσύρουν πολύ περισσότερα – 850.000 BTC.

Οι πολιτικοί ερευνητές, που δεν ήταν εξοικειωμένοι με τις λεπτές αποχρώσεις της βιομηχανίας κρυπτονομισμάτων, μπόρεσαν να το κάνουν επιβεβαιώνω την κίνηση μόνο 200.000 BTC, την οποία οι χάκερ μεταφέρθηκαν στο πορτοφόλι τους, αλλάζοντας μια ονομαστική αξία ενός Bitcoin σε ένα λεπτό. Αυτό που συνέβη με τα υπόλοιπα περιουσιακά στοιχεία είναι ακόμα άγνωστο. Η ανταλλαγή τερματίστηκε Λειτουργεί τον Φεβρουάριο του 2014, με αποτέλεσμα τρία ισχυρά χτυπήματα στη συναλλαγματική ισοτιμία Bitcoin. Έτσι, το 2011, η τιμή κρυπτογράφησης μειώθηκε από 32 $ σε αρκετά σεντ. το 2014, από 720 $ έως 550 $. και το 2018, το Mt. Ο διευθυντής διαιτησίας της Gox Nobuaki Kobayashi πούλησε συνολικά 35.841 BTC στην πτωτική αγορά, επιταχύνοντας την περαιτέρω πτώση του. Πρόσφατες δραστηριότητες του Mt. Η διοίκηση Gox εξοργίζει τους εξαπατημένους χρήστες, οι οποίοι ζήτησε προς την "απλώς δώστε στους ανθρώπους τα χρήματά τους σε BTC!"

Συμβουλές προστασίας

Συμβουλές προστασίας

Ορισμένες ανταλλαγές κρυπτονομισμάτων ενισχύουν την άμυνά τους συνεργαζόμενες με αξιόπιστους ελεγκτές ασφαλείας που έχουν αποδεδειγμένη τεχνογνωσία σε πειράγματα και δεξιότητες λευκών καπέλων. Προτιμούν να συνεργάζονται με έναν ανάδοχο σε σχέση με ελέγχους, μετριασμό DDoS, σάρωση και ενημερώσεις ιστότοπου.

Αυτό ελαχιστοποιεί τον κίνδυνο ευπάθειας που σχετίζεται με τον έλεγχο και την πρόσβαση σε αποθηκευμένα κεφάλαια που πέφτουν σε λάθος χέρια. Για υψηλότερη προστασία, χρησιμοποιούνται πρόσθετα τραπεζικά εργαλεία – όπως διαχωρισμένα κύρια πορτοφόλια, κρύος χώρος αποθήκευσης, επίπεδα εξουσιοδότησης ανάληψης, επαλήθευση διεύθυνσης IP και επιβεβαίωση email, σύνδεση δύο στοιχείων ελέγχου ταυτότητας (2FA) και χρεωστική κάρτα κρυπτογράφησης, τα οποία όλα μπορούν να χρησιμοποιηθούν για επαληθεύστε τις πληρωμές και τις συνδέσεις χρηστών στο χρηματιστήριο.

Ο COO του iBitt Chris Schwarzenbach μοιράστηκε με την Cointelegraph ότι το υψηλότερο επίπεδο ασφάλειας στον κυβερνοχώρο είναι δυνατό μόνο με μια κεντρική υπηρεσία ανταλλαγής, η οποία διαθέτει τους πόρους ανάπτυξης, την ομάδα ασφαλείας, τους κρυμμένους διακομιστές και τον αποκριτικό έλεγχο που απαιτούνται για τη λειτουργία ασφάλειας στρατιωτικού επιπέδου για μια ανταλλαγή κρυπτογράφησης.

BitFloor

Χώρα: ΗΠΑ

Ιδρυτής: Roman Shtylman

Κλεμμένα χρήματα: 24.000 BTC

Το BitFloor υπέφερε από το δεύτερο μεγαλύτερο hack στην ιστορία της κρυπτογράφησης τον Σεπτέμβριο του 2012. Όλα ξεκίνησαν όταν ο διακομιστής του Exchange έσπασε, είτε υπό την επίδραση μιας επίθεσης DDoS είτε λόγω διακοπής ρεύματος στο κέντρο δεδομένων – όπως ήταν αξιώθηκε από τον ιδιοκτήτη της Roman Shtylman.

Τέσσερις ημέρες μετά, οι χάκερς χρησιμοποίησαν ένα αντίγραφο ασφαλείας του κλειδιού από το καυτό πορτοφόλι της ανταλλαγής, όπου αποθηκεύτηκαν τα χρήματα των εμπόρων και αποσύρθηκαν 24.000 BTC. Ο Shtilman έκανε μια ανεπιτυχή προσπάθεια αποζημίωσης των θυμάτων με την πώληση μεριδίου στην ιδιοκτησία του BitFloor, αλλά δεν μπόρεσε να βρει ένα ενδιαφερόμενο μέρος. Το 2013, το χρηματιστήριο έκλεισε, αφήνοντας τους πληγέντες επενδυτές χωρίς τίποτα.

Συμβουλές προστασίας

Σύμφωνα με εμπειρογνώμονες ασφαλείας, Η Bitfloor έκανε δύο σφάλματα ταυτόχρονα που οδήγησαν σε μια τόσο σοβαρή οικονομική απώλεια. Το πρώτο ήταν η αποθήκευση των δεδομένων με έναν μη κρυπτογραφημένο τρόπο – τον οποίο ο Shtylman ειλικρινά ομολόγησε – και το δεύτερο, το οποίο επιδείνωσε μόνο την κατάσταση, άφησε μεγάλα χρηματικά ποσά σε ένα ζεστό πορτοφόλι με πρόσβαση στο διαδίκτυο.

Η απλούστερη ενέργεια που πρέπει να γίνει από οποιαδήποτε ανταλλαγή προκειμένου να αποφευχθεί η κλοπή νομισμάτων είναι να διατηρήσει το μεγαλύτερο μέρος των κεφαλαίων του σε «ψυκτική αποθήκευση», η οποία διασφαλίζει ότι τα ιδιωτικά κλειδιά δεν αγγίζουν ποτέ οποιονδήποτε υπολογιστή προσβάσιμο από το Διαδίκτυο. ThomasV, ο κύριος προγραμματιστής του πελάτη Electrum, υπό την προϋπόθεση επτά βασικές προτάσεις για ανταλλαγές κρυπτονομισμάτων:

  • Μην αποθηκεύετε περισσότερο Bitcoin εκτός ψυχρού χώρου αποθήκευσης από ό, τι μπορείτε να χάσετε και να παραμείνετε διαλύτης
  • Οι καταθέσεις πρέπει να αποστέλλονται απευθείας σε διευθύνσεις ψυχρής αποθήκευσης
  • Η μεταφορά από ψυκτική αποθήκευση σε ζεστό χώρο αποθήκευσης πρέπει να είναι μόνο χειροκίνητη
  • Ένας εισβολέας δεν πρέπει να μπορεί να συγκαλύψει μια κλοπή ως μια σειρά αποσύρσεων από πελάτες
  • Εάν ένα αίτημα ανάληψης υπερβαίνει το διαθέσιμο ποσό στο ζεστό πορτοφόλι, ο πελάτης θα πρέπει να περιμένει. Η λήψη κερμάτων 24 ώρες αργότερα είναι καλύτερη από ποτέ
  • Κλωνοποιήστε τη βάση δεδομένων σας σε ένα μέρος όπου ένας εισβολέας δεν μπορεί να την τροποποιήσει ή να τη διαγράψει ανεπανόρθωτα από το διακομιστή
  • Να στέλνετε τακτικά ψηφιακά υπογεγραμμένες δηλώσεις λογαριασμού στους πελάτες, χρησιμοποιώντας ένα κλειδί που δεν βρίσκεται στον δημόσιο διακομιστή

Poloniex

Χώρα: ΗΠΑ

Ιδρυτής: Tristan D’Agosta

Κλεμμένα χρήματα: 97 BTC

Το Poloniex παίρνει την 3η θέση στη μεγάλη λίστα των θυμάτων. Τον Μάιο του 2017, οι χάκερ ανακάλυψαν μια κρίσιμη ευπάθεια στο λογισμικό της ανταλλαγής – όλα τα αιτήματα ανάληψης που αποστέλλονται ταυτόχρονα, υποβλήθηκαν σε επεξεργασία αυτόματα ανεξάρτητα από το υπόλοιπο του λογαριασμού. Ο ιδιοκτήτης του Poloniex, Tristan D’Agosta, δεν ανέφερε το ακριβές ποσό των κλεμμένων αγαθών, αλλά ανακοίνωσε ότι τα συνολικά χρήματα των χρηστών μειώθηκαν κατά τη στιγμή του ισοδύναμου εισβολής κατά 12,3% ή 97 BTC.

Για να καλύψει τις απώλειες, η Poloniex έπρεπε να μειώσει το υπόλοιπο όλων των χρηστών με αυτό το ποσό. Αυτά τα χρήματα παγώθηκαν προσωρινά και στη συνέχεια επέστρεψαν στους χρήστες από προσωπικά χρήματα, με αύξηση των τελών της ανταλλαγής 1,5 τοις εκατό. Οι χρήστες θεώρησαν αυτήν την απόφαση αποδεκτή και η Poloniex έσωσε τη φήμη της και συνέχισε να εργάζεται – περιοδικά μικρές επιθέσεις. Τώρα η ανταλλαγή ανήκει στον αμερικανικό κύκλο συστημάτων πληρωμών.

Συμβουλές προστασίας

Ο Tristan D’Agosta αποκάλυψε δημόσια στο δικό του Δημοσίευση BitcoinTalk ποια κρίσιμα λάθη είχε κάνει η διοίκηση:

«Το μεγάλο πρόβλημα εδώ ήταν ότι οι αποσύρσεις έπρεπε να ήταν στην ουρά σε κάθε βήμα. Αυτό δεν θα μπορούσε να συμβεί εάν τα αιτήματα ανάληψης υποβάλλονταν σε επεξεργασία διαδοχικά αντί ταυτόχρονα. Επιπλέον, οι δυνατότητες ελέγχου και ασφάλειας δεν αναζητούσαν ρητά αρνητικά υπόλοιπα. Προσθέτουν καταθέσεις και αναλήψεις και ελέγχουν ότι οι λογαριασμοί είναι σε ισορροπία. Εάν έχετε 2 BTC, αποσύρετε 10 BTC και απομείνετε με -8 BTC, το λογισμικό θα δει ότι καταθέσατε 2, αποσύρατε το 10 και έχετε ακριβώς αυτό που πρέπει: -8. “

Η Agosta έχει επίσης συμβουλεύσει να ληφθούν προληπτικά μέτρα προκειμένου να αποφευχθούν τέτοιες μη αναστρέψιμες ζημιές και μοιράστηκαν νέες αλλαγές στο σύστημα ασφαλείας της ανταλλαγής:

«Οι αναλήψεις και η δημιουργία παραγγελιών έχουν αλλάξει σε μια μέθοδο ουράς, όπου το πρώτο βήμα είναι να προσθέσετε την εργασία σε μια ουρά καθολικής εκτέλεσης που επεξεργάζεται διαδοχικά. Κάθε βήμα κρίσιμων λειτουργιών βάσης δεδομένων επαληθεύεται πριν προχωρήσει και τέτοιες λειτουργίες βρίσκονται στη διαδικασία μετατροπής σε συναλλαγές. Έχω προσλάβει επιπλέον προγραμματιστές για να βοηθήσω στην ενίσχυση της ασφάλειας στο Poloniex, καθώς επίσης και δημιούργησα ένα bug bounty. “

Bitstamp

Bitstamp

Χώρα: Σλοβενία

Ιδρυτές: Merlak αδελφοί

Κλεμμένα χρήματα: 19.000 BTC

Το 2015, το Bitstamp έχασε 19.000 BTC, που είχαν κλαπεί από χάκερ από το καυτό πορτοφόλι του χρηματιστηρίου. Εκείνη την εποχή, οι απώλειες ήταν ισοδύναμες με 5 εκατομμύρια δολάρια. Παραδόξως, μια επιθετική phishing επίθεση χρησιμοποιήθηκε από χάκερ – οι υπάλληλοι της ανταλλαγής έλαβαν προσωπικά email και μηνύματα στο Skype από φαινομενικά φιλικές πηγές.

Αυτό που ίσως είναι ακόμη πιο εκπληκτικό είναι ότι ο υπεύθυνος για την ασφάλεια, ο διαχειριστής του συστήματος Bitstamp, Luka Kodrich, έκανε κλικ στον σύνδεσμο και κατέβασε κακόβουλο λογισμικό στον υπολογιστή που εργαζόταν, μετά τον οποίο η ανταλλαγή εισπράχθηκε. Η Bitstamp έσπευσε να ενημερώσει τους εμπόρους για το τι συνέβαινε, ωστόσο, οι επιτιθέμενοι είχαν ήδη κλέψει τα χρήματα. Δεν ακολούθησε αποζημίωση, αλλά το καθεστώς ασφαλείας ενισχύθηκε που βοήθησε την ανταλλαγή να ανακάμψει γρήγορα. Για την ανάπτυξη προστασίας πολλαπλών υπογραφών, η Bitstamp συνεργάστηκε με την BitGo.

ΔΙΑΚΟΠΗ. @Bitstamp συνεργάτες με @BitGo για multi-sig # bitcoin ασφάλεια και επανατοποθετεί την ανταλλαγή https://t.co/Yg8FMQo2iB

– BitGo (@BitGo) 9 Ιανουαρίου 2015

Τώρα, η πραγματοποίηση συναλλαγών στο Bitstamp απαιτεί τη χρήση πολλαπλών υπογραφών και 98 τοις εκατό του κρυπτονομίσματος αποθηκεύεται σε κρύο πορτοφόλι.

Bitfinex

Bitfinex

Χώρα: Βρετανικές Παρθένοι Νήσοι

Ιδρυτής: Rafael Nicole

Κλεμμένα χρήματα: 120.000 BTC

Το Bitfinex έγινε θύμα χάκερ τον Αύγουστο του 2016. Άγνωστα άτομα χρησιμοποίησαν ένα σφάλμα στο σύστημα πολλαπλών υπογραφών, το οποίο υποστηρίχθηκε από τη συνεργαζόμενη εταιρεία της BitGo. Οι χάκερ εξαπάτησαν τους αλγορίθμους BitGo με άγνωστο τρόπο, αναγκάζοντάς τους να εγκρίνουν συναλλαγές και αποσύρθηκαν 120.000 BTC από το καυτό πορτοφόλι, αξίζει το αντίστοιχο των 72 εκατομμυρίων δολαρίων με τη συναλλαγματική ισοτιμία εκείνη τη στιγμή.

Οι ιδρυτές του Bitfinex αντιμετώπισαν τους χρήστες σχετικά με το γεγονός ότι οι οικονομικές απώλειες θα κατανεμηθούν σε όλους τους χρήστες, 36,067 τοις εκατό των οποίων τα νομίσματα θα παγώνονταν. Αυτά τα χρήματα αντισταθμίστηκαν αργότερα από μάρκες BFX, τα οποία θα μπορούσαν να μετατραπούν σε δολάρια ΗΠΑ με τη συναλλαγματική ισοτιμία ή σε μετοχές της iFinex Inc., η οποία ανήκει στον ιδρυτή της Bitfinex. Αυτή η επιλεγμένη – και φαινομενικά κατάλληλη – πολιτική βοήθησε την ανταλλαγή να παραμείνει στην κορυφή μέχρι σήμερα.

Συμβουλές προστασίας

Emin Gün Sirer, ένας διάσημος επιστήμονας υπολογιστών, ειδικός στις έρευνες πειρατείας και καθηγητής στο Πανεπιστήμιο Cornell, προτείνεται μια λύση που δεν σπάει την υπερβολικά κρίσιμη μη αντιστρεπτότητα του Bitcoin όταν αντιμετωπίζει ξένους, αλλά επιτρέπει σε κάποιον να πάρει πίσω τα χρήματά του σε περίπτωση χακαρίσματος:

«Το ιδιαίτερο πράγμα για τα θησαυροφυλάκια είναι ότι έρχονται με δύο κλειδιά. Ένα κλειδί χρησιμοποιείται για να ξεκλειδώσετε το θησαυροφυλάκιο και να μεταφέρετε τα χρήματά σας σε ένα κανονικό πορτοφόλι. Το άλλο, που ονομάζεται κλειδί ανάκτησης, χρησιμοποιείται όταν παρατηρήσετε ότι τα χρήματά σας παραβιάστηκαν και μετακινήθηκαν από το θησαυροφυλάκιο από έναν χάκερ. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το κλειδί ανάκτησης για να αναιρέσετε την παραβίαση – έχετε 24 ώρες για να παρατηρήσετε και να ξεκινήσετε την ανάκτηση και να επιστρέψετε όλα τα χρήματα. Παρατηρήστε ότι δεν μπορείτε να ξεγελάσετε έναν έμπορο με αυτό το τέχνασμα και να επαναφέρετε μια πραγματική συναλλαγή. Το μόνο που μπορείτε να κάνετε είναι να πάρετε πίσω τα δικά σας χρήματα από κάποιον που προσπαθεί να τα κλέψει. Αν μπορώ να το πω και εγώ, είναι ένα πολύ έξυπνο σχέδιο. Είναι σχεδόν σαν κάποιος να δουλεύει πάνω του. “

Χρονικό του 2018

Παρά όλες τις ελπίδες της κοινότητας κρυπτογράφησης, η χρονιά δεν έφερε τίποτα νέο στην καθιερωμένη πρακτική διασφάλισης των ιστότοπων ανταλλαγής και το 2018 χαρακτηρίζεται από πολλές επιθέσεις που έγιναν με τη βοήθεια νέων εξελιγμένων κόλπων πειρατείας. Σύμφωνα με την Wall Street Journal, από τις αρχές του έτους, οι χάκερ έχουν καταφέρει να κλέψουν περισσότερα από 800 εκατομμύρια δολάρια και δεν πρόκειται να σταματήσουν εκεί.

Coincheck

Χώρα: Ιαπωνία

Ιδρυτές: Koichiro Wada, Yusuke Otsuka

Κλεμμένα κεφάλαια: 523 εκατομμύρια NEM

Το Coincheck δέχτηκε επίθεση από χάκερ τις τελευταίες ημέρες του Ιανουαρίου 2018. Ο στόχος, όπως στις περισσότερες περιπτώσεις, ήταν το καυτό πορτοφόλι της ανταλλαγής, από το οποίο κλέφθηκαν 523 εκατομμύρια μάρκες NEM. Παρά όλα τα προηγούμενα παραδείγματα, η ανταλλαγή συνέχισε να διατηρεί τα χρήματα των χρηστών και ακόμη και τα δικά τους χρήματα στο ζεστό πορτοφόλι και δεν χρησιμοποίησε την πολλαπλή υπογραφή για προστασία.

Θα εξαργυρώσουν οι εισβολείς τα κλεμμένα αγαθά; Μετά βίας. Η κοινότητα κρυπτογράφησης ενώθηκε μετά από αυτήν την κλοπή και τελικά άρχισε να ανταλλάσσει ενεργά πληροφορίες προκειμένου να αποτρέψει περαιτέρω κινήσεις κλεμμένων χρημάτων. Ειδικότερα, η υπηρεσία ανταλλαγής άμεσων ανταλλαγών ShapeShift απαγόρευσε την ανταλλαγή κερμάτων NEM. Αυτό το παράδειγμα ακολουθήθηκε από άλλες υπηρεσίες, καθώς 11 ανώνυμες διευθύνσεις, στις οποίες είχαν μεταφερθεί τα κλεμμένα διακριτικά, έχουν επισημανθεί με ένα σύμβολο "coincheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker," οπότε δεν είναι δύσκολο να παρακολουθείτε συναλλαγές που πραγματοποιούνται από εισβολείς. Συνεχίζεται η διερεύνηση του συμβάντος και η ανάπτυξη επιλογών αποζημίωσης για τους χρήστες.

Συμβουλές προστασίας

Το παράδειγμα του Coincheck τόνισε τη σημασία της σωστά οργανωμένης αποθήκευσης χρημάτων χρηστών στο χρηματιστήριο. Τα επίπεδα ασφαλείας και οι ενεργοποιητές προειδοποίησης είναι απαραίτητο για οποιαδήποτε υπηρεσία ανταλλαγής, λέει ο Nick Moore, Διευθύνων Σύμβουλος της Investa, ένα χρηματιστήριο κρυπτογράφησης στο Ηνωμένο Βασίλειο, το οποίο διαθέτει επίσης χρεωστικές κάρτες και ATM:

«Διατηρούμε ελάχιστα νομίσματα στα καυτά πορτοφόλια μας και λειτουργούμε μια καθυστέρηση στις αναλήψεις με μη αυτόματη διαδικασία ελέγχου, οπότε η ικανότητα εισβολής λογαριασμού και του ποσού των κερμάτων που διατηρούνται στην ανταλλαγή είναι χαμηλή. Ο κίνδυνος απώλειας ελαχιστοποιείται μέσω των μη αυτόματων διαδικασιών μεταφοράς νομισμάτων σε ψυκτική αποθήκευση όταν εντοπίζουμε ότι τυχόν επιπλέον κεφάλαια έχουν συσσωρευτεί και δεν χρειάζονται για άμεση ρευστότητα. Η αποθήκευση των χρημάτων σε κρύα πορτοφόλια διασφαλίζει ότι δεν μπορούν να χακαριστούν και η διατήρηση ενός ελάχιστου επιπλέουν σε ζεστά πορτοφόλια βοηθά στην εξοικονόμηση ρευστότητας.

“Είμαι βέβαιος ότι οι χρήστες δεν με πειράζουν να περιμένουν λίγο περισσότερο για τις αποσύρσεις τους, όταν συνειδητοποιούν ότι αυτός είναι ένας από τους καλύτερους τρόπους για την καταπολέμηση των χάκερ.”

BitGrail

Χώρα: Ιταλία

Ιδρυτής: Francesco Firano

Κλεμμένα κεφάλαια: 170 εκατομμύρια δολάρια

Στις 13 Φεβρουαρίου, το BitGrail έχασε 170 εκατομμύρια δολάρια σε Nano (XRB) ως αποτέλεσμα επιθέσεων hacking. Ταυτόχρονα, οι ιδρυτές της ανταλλαγής ξεκίνησαν μια δημόσια συζήτηση με προγραμματιστές του blockchain του Nano για να προσδιορίσουν ποια πλευρά ήταν υπεύθυνη για το σφάλμα που οδήγησε στο hack.

Οι προγραμματιστές του κρυπτονομίσματος κατηγόρησαν το BitGrail ότι δεν έδωσε επαρκή προσοχή στη διασφάλιση της ασφάλειας – ιδίως, ελλείψει της διαδικασίας ελέγχου ταυτότητας για τους χρήστες. Αργότερα η ανταλλαγή σταμάτησε να λειτουργεί και έδωσε την έρευνα στην αστυνομία.

Οι αρχές της Φλωρεντίας κατάσχεσαν όλη την κρυπτογράφηση από την κατάθεση BitGrail για να εξασφαλίσουν την αξίωση των επηρεαζόμενων χρηστών και το Ίδρυμα Nano υποσχέθηκε να συμμετάσχει στην προστασία των συμφερόντων τους και στην αποζημίωση για απώλειες.

Νομισματοκοπείο

Χώρα: Νότια Κορέα

Ιδρυτής: Lee Nuss

Κλεμμένα κεφάλαια: 40 εκατομμύρια δολάρια

Ο Coinrail έπεσε θύμα επίθεσης hacking στις 10 Ιουνίου 2018 και έχασε συνολικά 40 εκατομμύρια δολάρια σε 11 κρυπτονομίσματα. Αμέσως μετά την επίθεση, οι εκπρόσωποι της ανταλλαγής δεν ήταν έτοιμοι να παράσχουν κατανοητές πληροφορίες, επομένως οι λεπτομέρειες της κλοπής ήταν αποκάλυψε από τους συμμετέχοντες στο έργο Pundi X, των οποίων τα διακριτικά ήταν επίσης μεταξύ των απαχθέντων.

Ένα μήνα αργότερα, στις 15 Ιουλίου, η ανταλλαγή επανέλαβε διαπραγμάτευση και πρόσφερε στα θύματα δύο συστήματα αποζημίωσης: μια σταδιακή επιστροφή χρημάτων μέσω της αγοράς κλεμμένων κρυπτονομισμάτων και αποζημίωσης με μάρκες Coinrail RAIL, τα οποία μπορούν στη συνέχεια να μετατραπούν σε κρυπτογράφηση με την εσωτερική τιμή.

Συμβουλές προστασίας

Ο Rik Ferguson, αναλυτής της εταιρείας Cyberecurity Trend Micro, πιστεύει το πρόβλημα είναι η αδυναμία της ομάδας ανάπτυξης, η ανεπαρκής εκπαίδευση του προσωπικού στον κυβερνοχώρο και η κακή επένδυση στην ανάλυση απάτης:

«Σε γενικές γραμμές, αυτές οι ανταλλαγές είναι μικρές επιχειρήσεις και συνήθως βρίσκονται σε κατάσταση μόνιμης εκκίνησης, διευκολύνοντας τις συναλλαγές. Αυτοί οι οργανισμοί έχουν μικρές ομάδες ασφαλείας, εάν έχουν καθόλου, ελάχιστη έως καθόλου εμπειρία στην εξασφάλιση ενός χρηματοοικονομικού ιδρύματος και γενικά ενός πολύ μεγάλου, ελκυστικού σωρού χρημάτων. “

Bithumb

Bithumb

Χώρα: Νότια Κορέα

Ιδρυτής: Kim De Shi

Κλεμμένα κεφάλαια: 30 εκατομμύρια δολάρια

Ο Bithumb πειρατήθηκε στις 19 Ιουνίου, λίγες μέρες μετά ΕΠΙΚΑΙΡΟΠΟΙΗΜΕΝΟ τα συστήματα ασφαλείας του. 30 εκατομμύρια δολάρια, που ήταν το 10 τοις εκατό του συνολικού όγκου συναλλαγών, είχαν κλαπεί από τους επιτιθέμενους. Αυτό είναι το δεύτερο περιστατικό στο χρονικό του Bithumb. Το πρώτο συνέβη στις 29 Ιουνίου 2017, όταν τα προσωπικά δεδομένα του 30.000 χρήστες – ισοδύναμο με το 3 τοις εκατό όλων των χρηστών μέχρι τότε – είχε παραβιαστεί. Οι χάκερ προσπάθησαν να αποκτήσουν πρόσβαση στους κωδικούς πρόσβασης ενός χρήστη, αλλά η ανταλλαγή παγώνει τις συναλλαγές και έκανε αλλαγές στο σύστημα ασφαλείας.

Ταυτόχρονα, ο Bithumb ξοδεύει οκτώ τοις εκατό των κερδών σχετικά με την ασφάλεια, ακολουθεί αυστηρά τον κανόνα "5.5.7" όταν το πέντε τοις εκατό των εργαζομένων είναι ειδικοί πληροφορικής που έχουν επιβεβαιωμένη εμπειρία, το 5 τοις εκατό διαθέτουν τις δεξιότητες για να διασφαλίσουν την ασφάλεια στον κυβερνοχώρο και τουλάχιστον επτά τοις εκατό των κερδών της εταιρείας δαπανάται για την προστασία των κεφαλαίων της.

Τη στιγμή της παραβίασης, το χρηματιστήριο ανακάλυψε μια πιθανή απειλή και είχε ήδη αποσύρει τα χρήματα των χρηστών σε ένα κρύο πορτοφόλι. Οι επηρεαζόμενοι έμποροι υποσχέθηκαν να αποζημιωθούν από τα προσωπικά κεφάλαια της διοίκησης Bithumb.

Συμβουλές προστασίας

Τσάρλι Λι σε ένα τιτίβισμα εξέφρασε τις ελπίδες για την αποκατάσταση της ανταλλαγής και έδωσε στους χρήστες συνοπτικές συμβουλές, προειδοποιώντας για τέτοιες καταστάσεις:

«Όπως έχω πει πολλές φορές, να είστε έξυπνοι και να διατηρείτε μόνο ανταλλακτικά νομισμάτων που διαπραγματεύεστε ενεργά. Είναι καλύτερο να κάνετε ανάληψη αμέσως μετά τις συναλλαγές. “

Μπάνκορ

Χώρα: Ελβετία

Ιδρυτές: Guy Benartzi, Galia Benartzi, Eyal Hertzog, Yudi Levi

Κλεμμένα κεφάλαια: 23 εκατομμύρια δολάρια (10 εκατομμύρια δολάρια σε BNT)

Ο Μπάνκορ, μια αποκεντρωμένη, αυτοανακηρυγμένη μη θεματολογική ανταλλαγή που δημιουργήθηκε σε αντίθεση με τις συγκεντρωτικές (εκείνες τις οποίες ο Vitalik Buterin αντιμετώπισε πρόσφατα "να καείς στην κόλαση" statement) δέχτηκε επίθεση από χάκερ στις 9 Ιουλίου 2018. Αξίζει να σημειωθεί ότι αυτό συνέβη μια μέρα αφότου η ανταλλαγή εξέφρασε πλήρη συμφωνία με τον Buterin σε μια επίσημη ανάρτηση στο Twitter σχετικά με τις συγκεντρωτικές αποφάσεις και δήλωσε ότι οι αποκεντρωμένες ανταλλαγές είναι το μέλλον.

"Κάψιμο στην κόλαση" είναι λίγο ακραίο, αλλά συμφωνούμε @VitalikButerin ότι # αποκεντρωμένη λύσεις – όπως η Bancor – είναι το μέλλον της # μπλοκ αλυσίδας και ανταλλαγή αξίας. https://t.co/XLqtc82H19 pic.twitter.com/ZuKKbKFwmM

– Bancor (@Bancor) 8 Ιουλίου 2018

Οι χάκερς απέσυραν συνολικά 23,5 εκατομμύρια δολάρια που ανήκουν στο Ίδρυμα Bancor και οι πάροχοι ρευστότητας που συγκεντρώνουν κεφάλαια στο Δίκτυο Bancor – δηλαδή, δεν επηρεάστηκαν χρήματα χρηστών. Σχεδόν τα μισά από τα κλεμμένα κεφάλαια αποτελούσαν τα εγγενή μάρκα BNT της ανταλλαγής (10 εκατομμύρια δολάρια), με επιπλέον Ether (12,5 εκατομμύρια $) και Pundi X (1 εκατομμύριο $) να λείπουν. Τα εγγενή του διακριτικά παγώθηκαν αμέσως, γεγονός που προκάλεσε έντονη κριτική από την κοινότητα κρυπτονομισμάτων, επειδή τέτοιες ενέργειες αντιβαίνουν άμεσα στην αρχή της αποκέντρωσης. Ο Τσάρλι Λι συνόψισε τη συνολική προβολή στο Twitter του, ανακοινώνοντας ότι ο Bancor μπορεί να χειραγωγήσει τα χρήματα των χρηστών.

Ένα πορτοφόλι της Bancor χάθηκε και αυτό το πορτοφόλι έχει τη δυνατότητα να κλέψει νομίσματα από τα δικά του έξυπνα συμβόλαια. &# 129318;‍♂️

Μια ανταλλαγή δεν αποκεντρώνεται εάν μπορεί να χάσει κεφάλαια πελατών Ή εάν μπορεί να παγώσει κεφάλαια πελατών. Ο Μπάνκορ μπορεί να κάνει και τα δύο. Είναι μια λανθασμένη αίσθηση αποκέντρωσης. https://t.co/22UYygIhEF

– Τσάρλι Λι [LTC⚡] (@SatoshiLite) 10 Ιουλίου 2018

Όσον αφορά τα διακριτικά των χρηστών, Bancor αμέσως δημιουργήθηκε ένας συνασπισμός με την υπηρεσία ανταλλαγής άμεσων ανταλλαγών Changelly, μέσω της οποίας οι χάκερ προσπάθησαν να αποσύρουν χρήματα. Οι συναλλαγές παγώθηκαν επίσης εκεί.

Πώς αντιμετωπίζουν οι τράπεζες αυτό?

Οι κλασικές τράπεζες και οι τραπεζικές υπηρεσίες έχουν υποστεί διάφορες επιθέσεις από την εμφάνισή τους – δηλαδή, για αρκετούς αιώνες. Και με την πάροδο του χρόνου, μαθαίνουν να αντιστέκονται σε τέτοιες απειλές. Η μόνη διαφορά είναι ότι πριν από 50 χρόνια, οι τράπεζες δέχτηκαν επίθεση από εγκληματίες όπως η Bonnie και η Clyde και τώρα δέχονται επίθεση από χάκερ και διαδικτυακούς απατεώνες.

Οι κλασικές τράπεζες ακολουθούν το "5.5.7" τύπος και να έχετε διεθνή πρότυπα ασφάλειας πληροφοριών – για παράδειγμα, το CobiT, το οποίο είναι θεωρούνται επίπεδο εισόδου και στη συνέχεια συμπληρώνεται από πολλούς εσωτερικούς κανονισμούς και σενάρια για την απόκριση σε απόπειρες παρέμβασης.

Διευθυντής ειδικών έργων στο Group-IB Ruslan Yusufov είναι σίγουρος ότι η αντίδραση σε περιστατικά πρέπει να περιλαμβάνει και τα δύο συστήματα και ένα σχέδιο έγκαιρης προειδοποίησης και απόκρισης που θα επιτρέπει σε όλους τους υπαλλήλους να ενεργούν σύμφωνα με τους κανονισμούς σε περίπτωση συμβάντος. Όλα είναι έτσι στον τραπεζικό τομέα. Ένα παρόμοιο σχέδιο χρησιμοποιήθηκε από το Bancor exchange, το οποίο πάγωσε αμέσως τα δικά του κουπόνια, υπολόγισε τις υπηρεσίες μέσω των οποίων είχε προγραμματιστεί η απόσυρση, και μπήκε σε συνασπισμό μαζί τους για να παγώσει τα κλεμμένα περιουσιακά στοιχεία.

Η κριτική της κοινότητας κρυπτογράφησης σε αυτήν την περίπτωση είναι λιγότερο σημαντική από τις προσπάθειες διατήρησης των κεφαλαίων των επενδυτών.

Σύμφωνα με στατιστικά στοιχεία, οι εισβολείς, όταν επιτίθενται σε ανταλλαγές κρυπτογράφησης, χρησιμοποιούν εργαλεία που έχουν δοκιμαστεί επανειλημμένα σε τράπεζες fiat. Μια μελέτη για 400 επιτυχείς επιθέσεις hacking στα συστήματα blockchain έδειξε ότι οι δημοφιλείς τραπεζικές υπηρεσίες όπως οι TrickBot trojan, Vawtrak, Qadars, Triba και Marcher τροποποιήθηκαν ελαφρώς για ανταλλαγές κρυπτογράφησης και έφεραν επιτυχία στους χάκερ με αυτόν τον τρόπο επίσης.

Ωστόσο, τα συστήματα ασφαλείας των κλασικών τραπεζών αντιστέκονται επιτυχώς στους χάκερ και η καθιερωμένη πρακτική παρακολούθησης συναλλαγών επιτρέπει στους πελάτες να επιστρέψουν τα κλεμμένα χρήματα. Γιατί να μην δανειστείτε αυτήν την εμπειρία; Δυστυχώς, σε ομάδες ICO – συμπεριλαμβανομένων εκείνων που δημιουργούν ανταλλαγές κρυπτονομισμάτων – δεν υπάρχει ούτε ένας ειδικός πληροφορικής με την εμπειρία στον τομέα της ασφάλειας πληροφοριών των τραπεζών.

Είναι δυνατόν να επιστρέψετε τα χρήματα?

Όπως δείχνει η πρακτική, μετά από ισχυρές επιθέσεις εισβολής, οι ανταλλαγές κρυπτογράφησης χρησιμοποιούν συνήθως τρεις τρόπους για την αποζημίωση των χρηστών που επηρεάζονται:

1. Επιστροφή σε προηγούμενη κατάσταση ή πάγωμα συναλλαγών (οι Bitstamp, Ethereum και Bancor το έκαναν, αλλά αυτό έρχεται σε αντίθεση με την αρχή του μη αναστρέψιμου του blockchain).

2. Αποζημίωση εις βάρος άλλων χρηστών (ο τρόπος αυτός επιλέχθηκε από την Poloniex).

3. Επιστρέψτε τα χρήματα της ανταλλαγής από τα δικά της κέρδη ή εκδίδοντας μάρκες ανταλλαγής (Bitfinex και Coinrail).

Έτσι, σταθερές, μεγάλες ανταλλαγές που ενδιαφέρονται να συνεχίσουν τη λειτουργία της θα προσφέρουν νεότερους και νεότερους τρόπους αντιστάθμισης των χαμένων χρημάτων. Και αυτά είναι καλά νέα για τη βιομηχανία κρυπτονομισμάτων. Προφανώς, η πρακτική όταν οι ιδιοκτήτες ανταλλαγής προσπάθησαν να αποκρύψουν πληροφορίες από την κοινότητα σχετικά με τις λεπτομέρειες της κλοπής και να εξαφανιστούν οι ίδιοι εγκαταλείπεται αργά.

Οι ανταλλαγές κρυπτονομισμάτων θα αντιμετωπίσουν σύντομα το πρόβλημα των επιθέσεων χάραξης; Με τίποτα. Υπάρχουν δύο κύριες προσεγγίσεις για το hacking exchange. Το πρώτο είναι να αποκτήσετε πρόσβαση σε λογαριασμούς και κλειστή λειτουργικότητα μέσω της εισβολής των λογαριασμών των ιδρυτών και στη συνέχεια να χρησιμοποιήσετε κακόβουλα προγράμματα από το οπλοστάσιο των τραπεζικών επιθέσεων. Το δεύτερο είναι μια επίθεση στην υποδομή του ίδιου του exchange, μέσω της εισβολής μιας διαδικτυακής εφαρμογής που συνδέει τον πελάτη με τα χρήματά του στους διακομιστές ανταλλαγής ή μια επίθεση στα λεγόμενα hot wallets.

Κατά συνέπεια, η προστασία των ψηφιακών περιουσιακών στοιχείων μπορεί να επιτευχθεί με τις κοινές προσπάθειες χρηστών και τραπεζών κρυπτογράφησης που εξυπηρετούν τον κύκλο εργασιών των κρυπτονομισμάτων. Ο επικεφαλής δημοσίων σχέσεων του Μπάνκορ, Nate Hindman, έκανε μια δήλωση μετά το hack:

«Αυτοί οι μηχανισμοί περιλαμβάνουν μια μαύρη λίστα σε πραγματικό χρόνο που παρακολουθεί προσβλητικές διευθύνσεις και κλεμμένα περιουσιακά στοιχεία, καθώς και ένα ταμείο έκτακτης ανάγκης που αποζημιώνει έργα όταν συμβαίνουν κλοπές. Υπάρχουν πολλά ακόμη να κάνουμε εδώ και ανυπομονούμε να συνεργαστούμε με τους συναδέλφους μας σε ολόκληρο τον κλάδο για να κάνουμε όλους πιο δυνατούς και εξυπνότερους καθώς προχωράμε μαζί. Η συνεργασία δεν είναι απλώς μια ιδέα, είναι μια πρακτική – και είμαστε ευγνώμονες για την υποστήριξη και τη βοήθεια. “

Ταυτόχρονα, ο Hindman πιστεύει ότι είναι αδύνατο να εξαλειφθεί εντελώς η πιθανότητα εισβολής επιθέσεων, καθώς οι επιτιθέμενοι αναπτύσσουν τις δικές τους στρατηγικές μαζί με τη βιομηχανία κρυπτογράφησης, αλλά αυτές οι επιθέσεις μπορούν να αντισταθούν εάν οι συμμετέχοντες στην αγορά ενωθούν για κοινές δράσεις και ανταλλαγή πληροφοριών.

Όσον αφορά τους απλούς χρήστες, οι συμβουλές για τη διατήρηση ψηφιακών στοιχείων από τους χάκερ είναι γνωστές:

  • Μην κρατάτε χρήματα σε ζεστά πορτοφόλια.
  • Επιλέξτε γνωστές ανταλλαγές που αποκαλύπτουν πολιτικές ασφαλείας.
  • Χρησιμοποιήστε τη λειτουργικότητα που παρέχεται από την ανταλλαγή στο μέγιστο, συμπεριλαμβανομένων των 2FA.
  • Διανείμετε χρήματα μεταξύ πολλών πορτοφολιών και ανταλλαγών.

Πιθανώς οι ανταλλαγές κρυπτονομισμάτων παραβιάζονται τόσο συχνά επειδή είναι εύκολο να γίνει – και η τιμωρία γι ‘αυτό δεν έχει ρυθμιστεί ακόμη. Περισσότερες επιθέσεις εναλλάσσονται, περισσότεροι άνθρωποι μένουν χωρίς χρήματα και κάποιος ξεφεύγει από αυτό. Αλλά φέτος, τα πράγματα μπορεί να αλλάξουν, καθώς όλα αυτά έχουν αρχίσει να αφορούν σοβαρά τις ρυθμιστικές αρχές σε κρατική και ακόμη και σε παγκόσμια κλίμακα.

Μαζί με την G20, πραγματοποιούνται ολόκληρες κοινοπραξίες κορυφών, αφιερωμένες στο ζήτημα της ρύθμισης της δραστηριότητας των κρυπτονομισμάτων. Για παράδειγμα, ένας από τους συγγραφείς του Futurama Blockchain Innovators Summit Joshua Hong ανέφερε στο Cointelegraph:

«Υπάρχουν πολλά περιστατικά που δεν έχουν αναφερθεί σε πειρατεία από σημαντικές ανταλλαγές. Έτσι, από την προοπτική του κανονικού χρήστη, δεν γνωρίζουμε πόσο σοβαρό είναι το επίπεδο εισβολής για τις περισσότερες ανταλλαγές. Για παράδειγμα, η Bithumb δέχθηκε πρόσφατα εισβολή, αλλά ο όγκος συναλλαγών ή τα έσοδα από προμήθειες δεν φαίνεται να επηρεάζονται καθόλου. Από την άλλη πλευρά, άλλες ανταλλαγές έπρεπε να κλείσουν τη λειτουργία τους μετά από ένα μόνο χτύπημα.

Οι ηγέτες των ανταλλαγών αντιδρούν θετικά σε μια τέτοια πρωτοβουλία. Ένας από αυτούς, ο στρατηγικός επενδυτής στο Bithumb Alex Lee εξέφρασε το προσωπικό του ενδιαφέρον να συμμετάσχει σε τέτοιες συζητήσεις:

«[Οι] καλύτερες απαντήσεις στα προβλήματα της βιομηχανίας μας μπορούν να βρεθούν μέσω της προληπτικής ανταλλαγής ιστοριών του άλλου με εξαιρετικά ευπαρουσίαστους τρόπους. Άρα, ανεξάρτητα από το ποια είναι τα ζητήματα, είτε οι κρυπτογραφικές ανταλλαγές γίνονται δεκτές είτε οι ρυθμιστές αισθάνονται την πίεση από δυσαρεστημένους επενδυτές μάρκας που έχασαν χρήματα, η λύση μπορεί να βρεθεί μέσω αλληλεπιδράσεων στην κοινότητα και ειλικρινών, ανοιχτών συνομιλιών. “