За первые месяцы 2018 года кибермошенники успели украсть $ 1,3 млрд в криптовалюте с онлайн-бирж, а объем ежедневных краж составляет $ 9 млн. Увы, пока нет никаких предпосылок для того, чтобы атаки прекратились, ведь биржи — лакомый кусочек для преступников.
Cryptonomist рассказывает вместе с экспертом, как обезопасить себя и свои монеты от ушлых хакеров.
Список худших
Пока не существует официальных рейтингов наиболее сомнительных криптовалютных бирж. Однако в 2017 году на известном форуме bits. media проводили опрос на тему того, какие биржи пользователи обходят стороной и считают ненадежными. Результаты следующие:
BTC-E (закрыта, сервера арестованы ФБР)
Poloniex
Exmo
Yobit.net
Bittrex
LiveCoin
Cex.io.
У этих сайтов впечатляющие объёмы торгов, что критически важно при выборе биржи. В чем же тогда минусы?
Помимо локальных недостатков (проблемы с выводом средств, санкции США) в Сети появлялось довольно много сообщений о том, что сайт той или иной биржи из этого списка вдруг переставал работать на несколько часов или даже дней. Это значит, что сайт не справляется с потоком пользователей и транзакций или же подвергается мощным хакерским атакам. И ваши монеты могут к вам уже не вернуться.
Увы, взломы случаются постоянно — как с ненадежными биржами, так и с более уважаемыми. В 2014 году Mt. Gox, занимавшая третье место по объему торгов, потеряла $ 473 млн в биткоинах из-за хакеров. В 2015 году с кошельков на криптобирже Bitstamp пропало более $ 5 млн, так как сисадмин сайта попался на фишинг. А в 2016 году Bitfinex потерял биткоинов на $ 72 млн из-за уязвимости в своих кошельках.
Как защищаются биржи
Сохранность ваших криптовалют зависит от того, как биржа себя защищает. «Криптобиржи — приватные инфраструктуры, они стараются не раскрывать свои защитные решения, — говорит Илья Обушенко, эксперт по безопасности Group-IB. — Однако есть несколько факторов, которые могут многое сказать об их надежности».
Например, это юрисдикция, в которой находится биржа. Максимально защищенные сайты зарегистрированы в США, и это дает определенные гарантии того, что биржа соблюдает законы.
Хорошим знаком можно считать и то, что биржа идентифицирует пользователей по паспортным данным. «Да, для человека это может быть неудобно и долго, — признается специалист. — Зато на площадке будут присутствовать только легитимные пользователи, мошеннические схемы не пройдут легко и просто».
Еще один плюс — аудиты информационной безопасности, которые может проводить криптобиржа. По словам эксперта, их нелегко найти в интернете, лучше искать у компаний, которые занимаются кибербезопасностью. «Наличие подобных аудитов означает, что биржа не только зарабатывает на пользователях, но и тратит средства на их безопасность», — утверждает эксперт.
Впрочем, никаких обязательных аккредитаций и сертификаций бирж не существует, поэтому меры безопасности остаются на их совести.
Как защититься самому
- Использовать двухфакторную аутентификацию, работая с биржей. Например, через СМС. «Если мошенник пройдет первый этап, без второго у него все равно ничего не выйдет», — напоминает Илья Обушенко.
- Соответственно, пароль от вашей почты, привязанной к аккаунту, должен быть сложным.
- А пароль от самой криптобиржи должен быть еще сложнее. «Пароль не должен содержать слов, лучше использовать набор из 50 символов, который можно сгенерировать в интернете», — советует эксперт.
- Не используйте ОС Windows для работы с криптовалютой. В идеале — Ubuntu, можно и macOS.
- Браузер должен быть «пуст» — никаких расширений.
- Внимательно проверяйте URL биржи, чтобы не попасть на фишинг. Это излюбленный инструмент преступников, из-за которого 10% денег, вложенных в ICO, не доходят до предпринимателей (Ernst&Young).
- Избегайте мобильных приложений криптобирж. «Во-первых, их часто подделывают, — говорит Обушенко. — Во-вторых, их использование автоматически означает, что ваш горячий кошелек хранится на серверах».
- Последнее и самое важное: храните криптовалюту не на биржах (то есть у третьих лиц), а в «холодных» кошельках. Ключи можно держать в голове или зашифровать. Также для хранения можно использовать аппаратные кошельки, но это уже дороже.