Почему опасность подстерегает проекты на базе Ethereum, и каким образом хакеры крадут деньги пользователей? Комментирует Дмитрий Волков, технический директор криптобиржи CEX.IO.
По данным исследования Atlas VPN с 2012 года по сегодняшний день блокчейн-индустрия потеряла целых $13,6 миллиардов по причине хакерских атак. При этом кроме нападений на биржи и кошельки, достаточно солидные потери пришлись на встроенные приложения блокчейна, так называемые DAPPS. В одной только системе Ethereum хакерам удалось провести 33 успешных атаки на DAPPS и украсть $364,38 миллиона.
Что такое DAPPS?
DAPPS (Distributed Applications) — это распределенные приложения, которые работают внутри самого блокчейна. Они запускаются на суперкомпьютере, состоящем из машин-майнеров. Любое приложение такого типа имеет множество копий и работает одновременно на всех компьютерах сети.
DAPPS могут иметь разное назначение: они способны принимать и отправлять криптовалюту, выступать торговыми роботами, обслуживать биржи, выполнять роль ICO-токенов или даже быть играми.
Меры проверки KYC и AML — новый тренд или реальная необходимость? Комментирует Дмитрий Волков, технический директор CEX.IO
Аббревиатура KYC обозначает Know Your Client (знай своего клиента), а AML — Anti-Money Laundering (противодействие отмыванию денег). Эти два направления тесно связаны друг с другом. Они включает в себя изучение личности клиента и происхождения крупных сумм на счетах. Это подразумевает некоторое знакомство с клиентом. Например, для полноценной работы с нашей биржей мы просим пройти авторизацию, подтвердить свою личность, привязать банковскую карту и так далее.
Еще несколько лет назад эти практики были добровольными, и криптобиржи часто оставались вне поле зрения регуляторов. Но в последнее время государственные органы стали предъявлять требования и задавать вопросы крипто-компаниям. Ведь формально понятие AML финансисты начали употреблять еще в 1989 году в Париже во время заседания группы разработки финансовых мер борьбы с отмыванием денег (FATF). Термин KYC появился позже. Он был введен Департаментом Казначейства по борьбе с финансовыми преступлениями FinCEN в США в 2016 году.
Комментирует Дмитрий Волков, технический директор CEX.IO
Криптовалютные кошельки, в том числе принадлежащие биржам, подвержены рискам взлома, несмотря на все меры для их минимизации. Недавний крупный взлом биржи KuCoin, приведший к убыткам на $150 миллионов, еще раз напомнил о проблемах безопасности криптовалютных сервисов и индустрии в целом. После взломов хакерам очень часто удается отмыть и обналичить украденные криптоактивы.
Процесс отмывания денег после кражи особенно интересен в мире криптовалют по сравнению с классическим миром финансов.
Если кража произошла с банковского счета, то злоумышленник пытается делать запутанные банковские переводы, используя разные страны, разные платежные системы, чтобы усложнить заморозку средств. Любой банк и платежная система могут заблокировать счет или даже отменить транзакцию. Поэтому важно, насколько быстро будут отслеживаться операции и счета, используемые преступником для отмывания и насколько финансовые структуры будут сотрудничать между собой для борьбы с отмыванием денег. Главное здесь — сама возможность блокировки счетов до вывода с них денег. Она практически всегда существует в мире классических финансов.
Недавно в сети TOR, используемой для анонимного выхода в интернет, была обнаружена уязвимость, позволяющая хакерам красть активы пользователей криптобирж и кошельков. Это лишь дополнило спектр популярных методов, которыми хакеры нападают на владельцев криптовалют через их браузеры. Дмитрий Волков, технический директор CEX.IO, дал несколько советов, как защитить себя от подобных атак.
Когда речь идет о попытке украсть криптовалюту, в фокусе злоумышленников почти всегда находится браузер, через который большинство пользователей заходят на биржи и обмениваются своими криптоактивами.
Первый и самый простой способ атаки — это фишинг. Злоумышленники подсовывают пользователям фальшивые сайты, очень похожие на оригинал. При этом активно используется социальная инженерия, чтобы убедить жертву в необходимости срочно совершить какое-то действие. И если в браузере не стоит запрет на работу по незащищенным протоколам, отключена проверка подозрительных сайтов и наличия сертификатов, угроза взлома многократно увеличивается.
FATF недавно выпустила отчет с критериями, на основе которых регуляторы, биржи и другие участники индустрии могут выявлять незаконную деятельность с криптовалютами. Дмитрий Волков, технический директор CEX.IO, высказал свое мнение о том, как криптобиржа может определять подозрительное поведение среди своих клиентов.
Важным элементом противодействия незаконной деятельности в сфере криптовалют является процедура верификации личности (KYC).
Есть интересное свойство AML/KYC, о котором не все задумываются — в процессе мы действительно узнаем клиента или его типаж. Это дает не только данные о пользователе, но и позволяет составить его психологический портрет. На основе этого можно сопоставлять нормальное ожидаемое поведение, как счета, так и клиента, при пользовании биржей. А значит, мы можем выявлять ситуации, когда поведение вне ожидаемого формата.
Ведение учета адресов, которые ранее были задействованы в обманных схемах — часть программы по противодействию мошенничеству, которая помогает предотвращать потерю средств пользователями.
Если пользователь будет замечен в подозрительной активности, многие биржи оставляют за собой право временно заблокировать его аккаунт для выяснения обстоятельств.
Полный материал читайте по ссылке:
Международная криптовалютная биржа CEX.IO вошла в ТОП-10 CryptoCompare по итогам июля, получив общую оценку “А”. Рейтинг CryptoCompare Exchange Benchmark оценивает работу более чем 165 бирж по всему миру по таким параметрам, как соответствие регуляциям, защищенность платформы, ликвидность, разнообразие активов и количество негативных событий, обеспечивая необходимую прозрачность в сфере обмена криптоактивами.
CEX.IO, одна из крупнейших криптобирж в мире, базируется в Лондоне. Биржа функционирует с 2013 года и имеет более 7 лет опыта работы на рынке цифровых валют. На данный момент её офисы находятся в Великобритании, США, Украине, Гибралтаре и на Кипре. CEX.IO ориентирована на широкую целевую аудиторию: от начинающих частных трейдеров до профессиональных финансовых организаций.
Свой высший балл в рейтинге – 12.5 баллов из 15 возможных – CEX.IO получила в категории «Безопасность», заняв 3 место среди бирж-конкурентов. При оценке учитывались наличие сертификатов безопасности и двухфакторной аутентификации, рейтинг SSL, процент использования холодных кошельков, распределение ключей, а также количество хакерских атак. По данным, опубликованным CryptoCompare, за месяц на CEX.IO не было зарегистрировано ни одного негативного события.
Для справки: Стейблкоин представляет собой криптовалюту, привязанную к запасам фиатных валют или физических товаров. Именно эта привязка позволяет удерживать стоимость стейблкоинов и избегать волатильности курса, которая наблюдается у традиционных криптовалют.
В банке рассматривают вариант выпуска актива, который станет инструментом расчета. Об этом сообщил директор дивизиона «Транзакционный бизнес» банка Сергей Попов в ходе онлайн-дискуссии «Цифровые финансовые активы на практике».
«С точки зрения банка, для нас также интересно. Наверное, мы можем выпустить на основании того закона, который был принят, токен, который мы можем привязать к рублю, такой соответствующий стейблкоин, который может стать основой, инструментом расчетов за некоторые другие цифровые финансовые активы».