// Криптовалюта

Взлом Криптобиржи: Как Обезопасить Себя

Содержание

#1. Мобильные приложения
#2. Десктопные приложения
#3. Веб-терминалы
#4. Уязвимости в коде
#5. Пример 1: Mt Gox (473 млн долларов)
#6. Пример 2: BitGrail (170 млн долларов)
#7. Пример 3: Poloniex (12,3% активов биржи)
#8. Пример 4: Coincheck (500 млн долларов)
#9. Пример 5: Bitfinex (72 млн долларов)
#10. Фишинг (социальная инженерия)
#11. Пример 1: Bitstamp (5 млн долларов)
#12. Пример 2: Binance (неудачно)
#13. Пример 3: Kraken (частные случаи)
#14. Пример 4: Poloniex (фейковое приложение)
#15. SMS-аутентификация

Появились вопросы?
Игорь Илкевич
Автор статьи

Согласно исследованиям Carbon Black, компании по разработке средств защиты от спама, вирусов, DDoS, хакерских атак и прочих киберугроз, на криптовалютные биржи приходится 27% всех атак, связанных с криптовалютой. Так, только в первой половине 2018 года злоумышленникам удалось украсть более 1 млрд долларов. Далее мы рассмотрим, как и благодаря чему им это удалось.

Мобильные приложения

Самый простой способ кражи денег с депозитов криптовалютных кошельков — взлом мобильных приложений, например, Bitfinex, EXMO, Cex.io, Bitstamp. К такому выводу пришли аналитики Positive Technologies, которые протестировали пять популярных приложений для устройств на базе IOS и шесть для Android. Оказалось, что все участвовавшие в исследовании приложения имеют проблемы с безопасностью, при этом 70% из них содержат как минимум одну критическую ошибку, которую можно использовать для кражи денег или персональных данных. Большинство проблем связаны с хранением данных и ключей безопасности. Hack and Protect a Cryptocurrency Exchange: Mobile apps Способы взлома мобильных приложений криптовалютных бирж:

  1. Действия от имени трейдера. В трети случаев уязвимости позволяют злоумышленникам осуществлять финансовые операции или манипулировать информацией на экране устройства пользователя. В первом случае можно просто украсть деньги, во втором — заставить большое количество людей покупать или продавать активы в нужное время, тем самым повышая или понижая спрос на них.
  2. Кража данных. Две трети программ содержат уязвимости, позволяющие получить доступ к учетным данным, которые хранятся в устройстве или базе биржи.
  3. Подбор PIN-кода. Пятая часть приложений разрешает устанавливать простые пароли, до 8 символов без латинских букв. При банальном подборе PIN-кода хакер способен найти нужную комбинацию и перевести деньги жертвы на свой счет либо осуществить фишинговую атаку.
  4. Незащищенный HTTP. Пятая часть платформ для девайсов Apple и половина для Android не шифруют HTTP-соединение при переходе на внутренние интернет-ресурсы.

Перехватив этот трафик, злоумышленники могут перенаправить трейдеров на фишинговые ресурсы или заразить устройство вредоносным софтом. Подобные атаки редко оказывают существенное влияние на криптовалютные платформы, так как они направлены на пользователей, а не на саму платформу. Однако это большая проблема для простых трейдеров, поскольку их потери при подобных атаках никто не компенсирует.

Десктопные приложения

Программы, которые устанавливают на компьютеры, ноутбуки и планшеты, также уязвимы. Так, в 2017 году этичные хакеры Positive Technologies обошли внешний периметр защиты 70% компаний. И хотя финансовые учреждения вкладывают значительно больше ресурсов для киберзащиты, нежели обычные компании, но и их усилия в 22% случаев оказались неэффективными. Hack and Protect a Cryptocurrency Exchange: Scheme 1

Возможные сценарии взлома десктопных приложений. Источник данных

Вероятность успеха взлома десктопных приложений криптовалютных бирж можно увеличить с 22 до 75%, если воспользоваться атаками, выстроенными на основе социальной инженерии — фишинге. Об этом будет сказано ниже. Способы взлома десктопных приложений:

  1. Контроль над устройством трейдера. Когда приложения подключаются к торговой платформе для проверки наличия обновлений, это соединение часто не зашифровано. Если подменить сервер во время такого обращения, можно вместо обновления установить вредоносный софт.
  2. Подделка операций. Если передача данных по умолчанию осуществляется в открытом виде, хакеры могут подключиться к сети жертвы, перехватить трафик и произвести финансовую транзакцию от ее имени.
  3. Кража данных. Некоторые приложения также не шифруют соединения, которые содержат логины и пароли пользователей. Подключившись к сети трейдера, можно их перехватить и войти в его учетную запись.
  4. Манипуляция данными. В некоторых случаях уязвимости дают возможность менять информацию, которую видит трейдер на экране.

Изменив ее, можно заставить людей покупать или продавать активы в нужное время. Подобные атаки могут быть направлены как на официальное программное обеспечение криптовалютных бирж, так и на сторонние программы, которые автоматизируют торговые операции, например, MetaTrader 4, Qt Bitcoin Trader или TerminalCoin. Их можно подключить к криптовалютным биржам Poloniex, Bithumb, YoBit, Bittrex.

Веб-терминалы

Для взлома криптовалютных бирж также можно использовать прямую атаку на веб-терминал (веб-версия торговой платформы) и, заразив его, украсть деньги с горячих кошельков. Кроме того, можно перехватить трафик платформы и отослать на устройства пользователей запрос на проведение операций, чтобы украсть деньги с внебиржевых кошельков трейдеров. Hack and Protect a Cryptocurrency Exchange: Scheme 2

Возможные сценарии взлома веб-терминалов

Способы взлома веб-терминалов криптовалютных бирж:

  1. XSS. Практически все торговые терминалы уязвимы перед атакой типа Cross-Site Scripting. С помощью найденных уязвимостей злоумышленники внедряют на страницу веб-ресурса вредоносный код, который перенаправляет трейдеров на сторонние веб-ресурсы и/или заражает устройства пользователей вредоносным софтом.
  2. Уязвимости конфигурации. У веб-терминалов могут отсутствовать HTTP-заголовки, которые повышают защищенность от некоторых разновидностей хакерских атак. Так, заголовок ContentSecurity-Policy защищает от атак, связанных с внедрением вредоносного контента, в том числе от XSS;
  3. X-Frame-Options — от атак типа Clickjacking; Strict-Transport-Security принудительно устанавливает защищенное соединение посредством HyperText Transfer Protocol Secure (HTTPS).

Уязвимости в коде

Исследования компании Coverity, специализирующейся на решениях по тестированию качества программного обеспечения и безопасности, показали, что на каждые 1000 строк кода приходится 0,52 ошибки в продуктах с открытым кодом и 0,72 в проприетарных (стандарт качества — менее 1 ошибки на 1000 строк кода).

И нет никаких гарантий, что эти ошибки не повлияют на безопасность платформы. Более того, даже если программисты биржи напишут идеальный код без единой ошибки, всегда есть риск, что в стороннем софте, который они используют, будут уязвимости.

Например, в операционной системе (Windows, Linux, MacOS), платежном шлюзе (интернет-банкинг, PayPal), мессенджере (WhatsApp, Facebook Messenger, Viber) или игре, которую они запускают во время обеденного перерыва. Дыры в этих программах можно использовать для фишинга или установки вредоносного софта на устройства сотрудников биржи.

Пример 1: Mt Gox (473 млн долларов)

Один из самых показательных примеров взлома криптовалютной биржи, так как площадка просто «напрашивалась» на неприятности, пренебрегая практически всеми правилами безопасности. Речь о следующем:

  1. Отсутствие программного обеспечения Version Control System (VCS). То есть платформа никак не отслеживала изменения в коде.
  2. Отсутствие политики тестирования кода. Разработчики платформы буквально выдавали пользователям непроверенный код.
  3. Все изменения в коде должны были быть одобрены генеральным директором. Это крайне неэффективный способ управления, так как один человек не в состоянии за всем уследить. - Администрированием Mt Gox занимался талантливый программист, но менеджером он был посредственным. Результатом этих проблем стали взломы платформы.

Сначала в 2011 году, когда хакеры атаковали компьютер аудитора Mt Gox, использовав его для перевода биткоинов трейдеров на свои кошельки (8,75 млн долларов по курсу на тот момент). Последствия атаки удалось сгладить, выплатив компенсации. Второй взлом Mt Gox произошел в 2014 году. Хакерам удалось украсть 470 млн долларов (в биткоинах), используя уязвимость, которая позволяла вносить изменения в данные о транзакции трейдеров до того, как сведения о них вносились в блокчейн. Этого биржа не пережила.

Пример 2: BitGrail (170 млн долларов)

В 2018 году BitGrail объявила, что потеряла 17 миллионов монет криптовалюты Nano на сумму, эквивалентную 170 млн долларов по курсу на то время. Хакеры использовали ошибку вывода средств, которая позволила им получать двойной баланс.

То есть они делали запрос на вывод, например, 100 монет Nano, а получали 200 монет. Представители платформы говорят, что это стало возможным из-за ошибки в коде криптовалюты, а не из-за ошибок в самой платформе. Разработчики Nano отвергли обвинения, указав на то, что на других криптовалютных биржах таких проблем нет.

Пример 3: Poloniex (12,3% активов биржи)

В 2014 году представители Poloniex объявили, что их платформа лишилась 12,3% активов из-за ошибки в коде. Проблему якобы использовали хакеры, которые заметили, что если сделать запрос на вывод нескольких операций одновременно, система даст сбой и выполнит эти транзакции, несмотря на то, что суммарно они могут быть больше текущего баланса.

Примечательно, что, судя по сообщениям на форумах, ошибку обнаружили и использовали не злостные хакеры, а обычные пользователи (хакеры присоединились спустя некоторое время). Правда, нажиться удалось не всем. Узнав о проблеме, Poloniex отследила часть «счастливчиков» и заставила их вернуть лишнее.

Пример 4: Coincheck (500 млн долларов)

Это самое рекордное в истории ограбление криптовалютной биржи произошло в начале 2018 года. Неизвестным удалось найти уязвимость в защите горячих кошельков биржи и украсть монеты NEM на 500 млн долларов. Хакеры с помощью электронной почты заразили вирусом внутреннюю сеть платформы, и вирус искал и передавал им учетные данные пользователей.

Несмотря на огромное количество украденных монет, биржа пережила взлом и даже начала делать выплаты жертвам (260 000 человек): 88.5 японских иен за 1 монету NEM, то есть 0.83 доллара за 1 монету NEM. А также была написана программа для криптовалютных бирж, блокирующая обмен украденных монет NEM.

Пример 5: Bitfinex (72 млн долларов)

В 2016 году криптовалютная биржа Bitfinex потеряла 120 000 биткоинов на сумму, эквивалентную 72 млн долларов по курсу на тот момент. Хакеры использовали ошибку в мультисигнатурной системе компании-партнера BitGo, которая позволила опустошить горячие кошельки биржи.

По задумке, мультисигнатурная система защиты должна была использовать два ключа для подтверждения подлинности транзакций: один от Bitfinex, второй от BitGo. Но на деле деньги выводились без участия BitGo посредством лишь одного ключа Bitfinex (почему так — не ясно). Хакеры обнаружили эту уязвимость, завладели ключом биржи и вывели деньги с горячих кошельков.

Это яркий пример того, как использовать уязвимости стороннего софта для взлома криптовалютных бирж. А также того, как пренебрежение банальными правилами безопасности приводит к очень большим проблемам.

Фишинг (социальная инженерия)

Разновидность интернет-мошенничества, цель которого с помощью уловок выманить у пользователя учетные данные, деньги или заставить сделать нужное мошенникам действие. Обычно для этого используют приемы социальной инженерии, поскольку с их помощью можно заставить жертву самостоятельно сделать нужное действие.

Самый простой пример фишинга — рассылка электронных писем со ссылкой, которая должна вести на сайт известной компании (банк, социальная сеть, маркетплейс), но на самом деле перенаправляет на поддельный сайт, практически неотличимый от оригинала. Например, на сайт-подделку с доменом PayPai.com вместо официального PayPal.com. Hack and Protect a Cryptocurrency Exchange: domain bitfiEnex

Подделка сайта биржи Bitfinex. Ссылка ведет на сайт с доменом bitfiEnex.com. Источник: altcoin.info

Пример 1: Bitstamp (5 млн долларов)

Жертвой такого мошенничества в 2015 году стал Luka Kodric, администратор биткоин-биржи Bitstamp. Он открыл ссылку в электронном письме, тем самым заразив офисный ПК вирусом, который позволил хакерам украсть 19 000 BTC. Это 5 млн долларов по курсу на то время.

Пример 2: Binance (неудачно)

Другой пример взлома криптовалютной биржи с помощью фишинга — атака на Binance в марте 2018 года. Злоумышленники, потратили несколько месяцев на сбор учетных данных трейдеров, используя unicode-символы, чтобы направлять их на поддельный домен Binance.

Полученные API-ключи были использованы лишь один раз. Вечером седьмого марта от имени взломанных аккаунтов началась массовая покупка криптовалюты Viacoin (VIA) в торговой паре VIA/BTC. В результате курс монеты начал резко расти. Hack and Protect a Cryptocurrency Exchange: attack on Binance

Динамика курса VIA/BTC в момент атаки на Binance. Источник: mining-cryptocurrency.ru

Здесь в игру должны были вступить аккаунты хакеров, настроенные на продажу VIA по наивысшей цене. Но непривычную активность заметили администраторы биржи, которые сразу остановили торги и заморозили аккаунты, участвовавшие в торговле парой VIA/BTC. После биржа вернула все к исходному состоянию.

Пример 3: Kraken (частные случаи)

В августе 2016 года криптовалютная биржа Kraken опубликовала результаты внутреннего разбирательства по поводу пропажи денег с депозитов отдельных пользователей. Оказалось, что деньги исчезли из-за фишинга, на который попались пользователи. Платформа и ее персонал не были скомпрометированы. Hack and Protect a Cryptocurrency Exchange: fake Kraken

Реальный и поддельный сайт биржи Kraken. ource: blog.kraken.com

По словам сотрудников Kraken, большинство людей, заявивших о пропаже денег, не включили двухфакторную аутентификацию и одновременно с этим использовали старые учетные данные для входа в систему. Что в совокупности с невнимательностью пользователей позволило хакерам заполучить их логины с паролями. При этом сама платформа Kraken была в полном порядке.

Пример 4: Poloniex (фейковое приложение)

Специалисты ESET, компании по разработке антивирусного программного обеспечения, в марте 2018 года нашли в маркетплейсе Google Play фейковое приложение, которое маскировалось под мобильную торговую платформу биржи Poloniex. После разбирательства приложение было удалено с маркетплейса. Hack and Protect a Cryptocurrency Exchange: fake Poloniex

Сообщение Lukas Stefanko's о фейковом приложении Poloniex

Это не первый случай появления фишингового приложения Poloniex. В 2017 году специалисты ESET обнаружили в Google Play приложения POLONIEX EXCHANGE и POLONIEX, никак не связанные с одноименной биржей. В общей сложности они были скачаны более 5 000 раз.

SMS-аутентификация

Если злоумышленники знают, что некий конкретный человек торгует или работает администратором криптовалютной биржи, его SMS можно перехватить и использовать при аутентификации или процедуре восстановления доступа. Основные варианты подобного взлома таковы:

  1. Прослушка. Можно сделать с помощью специального оборудования или заразив телефон жертвы вредоносным софтом. Можно также атаковать сервер провайдера.
  2. Клонирование SIM-карты. В крупных городах полно хакеров, которые за небольшую сумму клонируют любую SIM-карту. Более того, в сети есть много инструкций о том, как сделать это самостоятельно.
  3. Ложная базовая станция. Используется дорогостоящее оборудование, которое перехватывает и расшифровывает SMS.
  4. Взлом «Персонального кабинета» на веб-платформе оператора. Сделав это, можно перенаправить все сообщения на номер или электронный почтовый ящик злоумышленника.
  5. Атака SS7. Взлом системы специальных протоколов телекоммуникации, использующихся для настройки телефонных станций (PLMN, PSTN).
  6. Фишинг колл-центра оператора. Злоумышленники узнают персональные данные пользователей и номера их телефонов, а затем звонят оператору кол-центра, чтобы «восстановить» SIM-карту.

Перехваченные SMS можно использовать не только для входа на учетную запись биржи, но и для «восстановления» доступа к электронной почте. Для этого нужно попробовать авторизоваться на почтовом сервисе, после неудачи сбросить пароль с помощью SMS. Затем использовать почту и SMS можно при двухконтурной аутентификации, например, на бирже Coinbase.

Отзывы наших клиентов

Разработка экосистемы, предназначенной для предоставления разнообразных услуг цифровым активам под одной оболочкой на основе технологии блокчейна

Есть вопросы? Задайте их здесь

Имя *
Email *
Телефон
Ваш бюджет
Сообщение
 

С 2015 года помогаем клиентам реализовывать идеи!

Подпишитесь на свежие статьи