Взлом Криптобиржи: Как Обезопасить Себя

Согласно исследованиям Carbon Black, компании по разработке средств защиты от спама, вирусов, DDoS, хакерских атак и прочих киберугроз, на криптовалютные биржи приходится 27% всех атак, связанных с криптовалютой. Так, только в первой половине 2018 года злоумышленникам удалось украсть более 1 млрд долларов. Далее мы рассмотрим, как и благодаря чему им это удалось.

Мобильные приложения

Самый простой способ кражи денег с депозитов криптовалютных кошельков — взлом мобильных приложений, например, Bitfinex, EXMO, Cex.io, Bitstamp. К такому выводу пришли аналитики Positive Technologies, которые протестировали пять популярных приложений для устройств на базе IOS и шесть для Android. Оказалось, что все участвовавшие в исследовании приложения имеют проблемы с безопасностью, при этом 70% из них содержат как минимум одну критическую ошибку, которую можно использовать для кражи денег или персональных данных. Большинство проблем связаны с хранением данных и ключей безопасности. Способы взлома мобильных приложений криптовалютных бирж:

1. Действия от имени трейдера. В трети случаев уязвимости позволяют злоумышленникам осуществлять финансовые операции или манипулировать информацией на экране устройства пользователя. В первом случае можно просто украсть деньги, во втором — заставить большое количество людей покупать или продавать активы в нужное время, тем самым повышая или понижая спрос на них.


2. Кража данных. Две трети программ содержат уязвимости, позволяющие получить доступ к учетным данным, которые хранятся в устройстве или базе биржи.


3. Подбор PIN-кода. Пятая часть приложений разрешает устанавливать простые пароли, до 8 символов без латинских букв. При банальном подборе PIN-кода хакер способен найти нужную комбинацию и перевести деньги жертвы на свой счет либо осуществить фишинговую атаку.


4. Незащищенный HTTP. Пятая часть платформ для девайсов Apple и половина для Android не шифруют HTTP-соединение при переходе на внутренние интернет-ресурсы.

Перехватив этот трафик, злоумышленники могут перенаправить трейдеров на фишинговые ресурсы или заразить устройство вредоносным софтом. Подобные атаки редко оказывают существенное влияние на криптовалютные платформы, так как они направлены на пользователей, а не на саму платформу. Однако это большая проблема для простых трейдеров, поскольку их потери при подобных атаках никто не компенсирует.

Десктопные приложения

Программы, которые устанавливают на компьютеры, ноутбуки и планшеты, также уязвимы. Так, в 2017 году этичные хакеры Positive Technologies обошли внешний периметр защиты 70% компаний. И хотя финансовые учреждения вкладывают значительно больше ресурсов для киберзащиты, нежели обычные компании, но и их усилия в 22% случаев оказались неэффективными.

Вероятность успеха взлома десктопных приложений криптовалютных бирж можно увеличить с 22 до 75%, если воспользоваться атаками, выстроенными на основе социальной инженерии — фишинге. Об этом будет сказано ниже. Способы взлома десктопных приложений:

1. Контроль над устройством трейдера. Когда приложения подключаются к торговой платформе для проверки наличия обновлений, это соединение часто не зашифровано. Если подменить сервер во время такого обращения, можно вместо обновления установить вредоносный софт.


2. Подделка операций. Если передача данных по умолчанию осуществляется в открытом виде, хакеры могут подключиться к сети жертвы, перехватить трафик и произвести финансовую транзакцию от ее имени.


3. Кража данных. Некоторые приложения также не шифруют соединения, которые содержат логины и пароли пользователей. Подключившись к сети трейдера, можно их перехватить и войти в его учетную запись.


4. Манипуляция данными. В некоторых случаях уязвимости дают возможность менять информацию, которую видит трейдер на экране.

Изменив ее, можно заставить людей покупать или продавать активы в нужное время. Подобные атаки могут быть направлены как на официальное программное обеспечение криптовалютных бирж, так и на сторонние программы, которые автоматизируют торговые операции, например, MetaTrader 4, Qt Bitcoin Trader или TerminalCoin. Их можно подключить к криптовалютным биржам Poloniex, Bithumb, YoBit, Bittrex.

Веб-терминалы

Для взлома криптовалютных бирж также можно использовать прямую атаку на веб-терминал (веб-версия торговой платформы) и, заразив его, украсть деньги с горячих кошельков. Кроме того, можно перехватить трафик платформы и отослать на устройства пользователей запрос на проведение операций, чтобы украсть деньги с внебиржевых кошельков трейдеров.

Способы взлома веб-терминалов криптовалютных бирж:

1. XSS. Практически все торговые терминалы уязвимы перед атакой типа Cross-Site Scripting. С помощью найденных уязвимостей злоумышленники внедряют на страницу веб-ресурса вредоносный код, который перенаправляет трейдеров на сторонние веб-ресурсы и/или заражает устройства пользователей вредоносным софтом.


2. Уязвимости конфигурации. У веб-терминалов могут отсутствовать HTTP-заголовки, которые повышают защищенность от некоторых разновидностей хакерских атак. Так, заголовок ContentSecurity-Policy защищает от атак, связанных с внедрением вредоносного контента, в том числе от XSS;


3. X-Frame-Options — от атак типа Clickjacking; Strict-Transport-Security принудительно устанавливает защищенное соединение посредством HyperText Transfer Protocol Secure (HTTPS).

Уязвимости в коде

Исследования компании Coverity, специализирующейся на решениях по тестированию качества программного обеспечения и безопасности, показали, что на каждые 1000 строк кода приходится 0,52 ошибки в продуктах с открытым кодом и 0,72 в проприетарных (стандарт качества — менее 1 ошибки на 1000 строк кода).

И нет никаких гарантий, что эти ошибки не повлияют на безопасность платформы. Более того, даже если программисты биржи напишут идеальный код без единой ошибки, всегда есть риск, что в стороннем софте, который они используют, будут уязвимости.

Например, в операционной системе (Windows, Linux, MacOS), платежном шлюзе (интернет-банкинг, PayPal), мессенджере (WhatsApp, Facebook Messenger, Viber) или игре, которую они запускают во время обеденного перерыва. Дыры в этих программах можно использовать для фишинга или установки вредоносного софта на устройства сотрудников биржи.

Пример 1: Mt Gox (473 млн долларов)

Один из самых показательных примеров взлома криптовалютной биржи, так как площадка просто «напрашивалась» на неприятности, пренебрегая практически всеми правилами безопасности. Речь о следующем:

1. Отсутствие программного обеспечения Version Control System (VCS). То есть платформа никак не отслеживала изменения в коде.


2. Отсутствие политики тестирования кода. Разработчики платформы буквально выдавали пользователям непроверенный код.


3. Все изменения в коде должны были быть одобрены генеральным директором. Это крайне неэффективный способ управления, так как один человек не в состоянии за всем уследить. - Администрированием Mt Gox занимался талантливый программист, но менеджером он был посредственным. Результатом этих проблем стали взломы платформы.

Сначала в 2011 году, когда хакеры атаковали компьютер аудитора Mt Gox, использовав его для перевода биткоинов трейдеров на свои кошельки (8,75 млн долларов по курсу на тот момент). Последствия атаки удалось сгладить, выплатив компенсации. Второй взлом Mt Gox произошел в 2014 году. Хакерам удалось украсть 470 млн долларов (в биткоинах), используя уязвимость, которая позволяла вносить изменения в данные о транзакции трейдеров до того, как сведения о них вносились в блокчейн. Этого биржа не пережила.

Пример 2: BitGrail (170 млн долларов)

В 2018 году BitGrail объявила, что потеряла 17 миллионов монет криптовалюты Nano на сумму, эквивалентную 170 млн долларов по курсу на то время. Хакеры использовали ошибку вывода средств, которая позволила им получать двойной баланс.

То есть они делали запрос на вывод, например, 100 монет Nano, а получали 200 монет. Представители платформы говорят, что это стало возможным из-за ошибки в коде криптовалюты, а не из-за ошибок в самой платформе. Разработчики Nano отвергли обвинения, указав на то, что на других криптовалютных биржах таких проблем нет.

Пример 3: Poloniex (12,3% активов биржи)

В 2014 году представители Poloniex объявили, что их платформа лишилась 12,3% активов из-за ошибки в коде. Проблему якобы использовали хакеры, которые заметили, что если сделать запрос на вывод нескольких операций одновременно, система даст сбой и выполнит эти транзакции, несмотря на то, что суммарно они могут быть больше текущего баланса.

Примечательно, что, судя по сообщениям на форумах, ошибку обнаружили и использовали не злостные хакеры, а обычные пользователи (хакеры присоединились спустя некоторое время). Правда, нажиться удалось не всем. Узнав о проблеме, Poloniex отследила часть «счастливчиков» и заставила их вернуть лишнее.

Пример 4: Coincheck (500 млн долларов)

Это самое рекордное в истории ограбление криптовалютной биржи произошло в начале 2018 года. Неизвестным удалось найти уязвимость в защите горячих кошельков биржи и украсть монеты NEM на 500 млн долларов. Хакеры с помощью электронной почты заразили вирусом внутреннюю сеть платформы, и вирус искал и передавал им учетные данные пользователей.

Несмотря на огромное количество украденных монет, биржа пережила взлом и даже начала делать выплаты жертвам (260 000 человек): 88.5 японских иен за 1 монету NEM, то есть 0.83 доллара за 1 монету NEM. А также была написана программа для криптовалютных бирж, блокирующая обмен украденных монет NEM.

Пример 5: Bitfinex (72 млн долларов)

В 2016 году криптовалютная биржа Bitfinex потеряла 120 000 биткоинов на сумму, эквивалентную 72 млн долларов по курсу на тот момент. Хакеры использовали ошибку в мультисигнатурной системе компании-партнера BitGo, которая позволила опустошить горячие кошельки биржи.

По задумке, мультисигнатурная система защиты должна была использовать два ключа для подтверждения подлинности транзакций: один от Bitfinex, второй от BitGo. Но на деле деньги выводились без участия BitGo посредством лишь одного ключа Bitfinex (почему так — не ясно). Хакеры обнаружили эту уязвимость, завладели ключом биржи и вывели деньги с горячих кошельков.

Это яркий пример того, как использовать уязвимости стороннего софта для взлома криптовалютных бирж. А также того, как пренебрежение банальными правилами безопасности приводит к очень большим проблемам.

Фишинг (социальная инженерия)

Разновидность интернет-мошенничества, цель которого с помощью уловок выманить у пользователя учетные данные, деньги или заставить сделать нужное мошенникам действие. Обычно для этого используют приемы социальной инженерии, поскольку с их помощью можно заставить жертву самостоятельно сделать нужное действие.