- Меры безопасности
- Содержание
- Безопасное хранение биткоинов [ править ]
- Биткоин-биржи [ править ]
- Безопасность онлайн-кошельков [ править ]
- Общие рекомендации при работе с онлайн-сервисами [ править ]
- Оффлайн-хранение криптовалюты [ править ]
- Развитие защиты биткоина
- Хакерская атака на Mt Gox
- Новые угрозы
- Ответ Bitcoin
- Bitcoin 0.5.0: Улучшения продолжаются
- Ещё один шаг
- Перспективы развития криптовалют
- ТОП-5 методов кражи криптовалют в 2020 году и 10 советов как защитить свои активы
- Поддельные фишинговые сайты
- Кража API ключей
- Эксплойты в загруженных файлах
- Мошеннические платформы
- Поддельные приложения
- Как защитить себя от злоумышленников?
Меры безопасности
Понравилась статья? Поделись:
Безопасность при работе с криптовалютой Bitcoin важна не меньше, чем для более привычных денежных средств. За время достаточно недолгого существования биткоинов, хакеры несколько раз осуществляли попытки взлома онлайн-кошельков, многие из которых оказались успешными. Безопасность криптовалюты в таком случае находится под большой угрозой.
Большая часть взломов произошла из-за недостаточных мер по обеспечению безопасности хранимых средств. В одних случаях копия нешифрованного кошелька ошибочно оставалась на сервере, в других – кражу производили с учетной записи, обладающей расширенными привилегиями. Это означает, что при выборе метода хранения криптовалюты внимание следует уделять не только степени безопасности, но и удобством использования выбранного ресурса.
Содержание
Безопасное хранение биткоинов [ править ]
В настоящее время существует несколько способов безопасного хранения биткоинов. Наиболее простыми, а значит наиболее распространенными, вариантами являются онлайн-сервисы, к которым относятся биткоин-биржи и онлайн-кошельки. Каждый из них имеет как преимущества, так и недостатки, поэтому для того, чтобы пользователи могли избрать для себя подходящий вариант, мы остановимся подробнее на каждом из представленных способов.
Биткоин-биржи [ править ]
Услугами бирж в разной степени пользуются многие пользователи и майнеры, осуществляющие покупку или продажу криптовалюты. Чтобы избежать потерь, следует отказаться от хранения на биржах значительных средств и сразу после выполнения нужной операции выводить их в личные оффлайн-кошельки.
Безусловно, авторитет биржи имеет огромное значение, но, как показывает практика, кражи биткоинов происходили даже на самых крупных из них. Так, к примеру, в 2011 году атаке хакеров подверглась биржа MtGox. Возмещение утраченных средств компания взяла на себя. Меньше повезло клиентам биржи Bitfloor, которые в 2012 году лишились всех средств, находящихся в момент взлома на сервисе.
Безопасность онлайн-кошельков [ править ]
Хранение криптовалюты онлайн. Онлайн-кошельки имеют ряд преимуществ, которые компенсируют их самый главный недостаток – высокий риск взлома. При работе с ними можно не переживать об установке на свой компьютер специального ПО, доступ к кошельку есть с любого устройства. Кроме этого, некоторые онлайн-кошельки дают возможность воспользоваться рядом таких дополнительных услуг, как мгновенные переводы между пользователями или биткоин-миксеры.
Онлайн-кошельки бывают двух видов: традиционные и гибридные. В первом случае сервис сам обеспечивает проведение транзакций и управление секретными ключами, во втором – кошелек не имеет непосредственного доступа к монетам.
Общие рекомендации при работе с онлайн-сервисами [ править ]
Рекомендации при работе с криптовалютой онлайн это:
- Кодовые фразы и пароли должны быть достаточно сложными. Если с самостоятельным выбором пароля возникли проблемы, можно воспользоваться генераторами паролей. При этом не забудьте, что при потере пароля возобновить доступ к кошельку, скорее всего, будет невозможно.
- Установка надежной антивирусной программы. У каждого пользователя есть своя антивирусная программа, которой он доверят больше, чем другим, поэтому главное в этом случае — не забывать следить за своевременном обновлением ПО.
- Создание резервной копии биткоин-кошелька. Сделать это можно, скопировав файл-кошелек на другой компьютер, Usb-флешку и даже CD-диск. Это поможет восстановить доступ в таких ситуациях, как выход со строя жесткого диска или потеря (кража) устройства.
Оффлайн-хранение криптовалюты [ править ]
Этот вид чаще всего используется владельцами значительных сумм, а также теми, кто мало доверяет хранению биткоинов в режиме онлайн. Безопасность кошелька биткоин технически, подразумевается хранение средств на компьютере, не подключенном к сети Интернет или в, так называемом, режиме оффлайн. Существуют биткоин-клиенты, в которых предусмотрено создание подобных «холодных» кошельков.
Кроме этого, можно воспользоваться генератором бумажных биткоин-кошельков. Это устройство предусмотрено для генерации и вывода на бумажный носитель двух ключей: публичного и секретного. Первый служит реквизитом для получения средств, второй — используется для вывода биткоинов.
Источник
Развитие защиты биткоина
Разработчики криптовалюты Bitcoin, функционирование которой основано на принципах пиринговых сетей, за последнее время выпустили ряд критических обновлений безопасности клиента, направленные на исключение неправомерного использования средств на счетах пользователей. Необходимость подобных «заплаток» стала очевидна после относительно недавнего взлома крупнейшей биржи по обмену денежных знаков Mt Gox. Добычей злоумышленников стали данные и хешированные пароли более 62 000 пользователей сети Bitcoin, а обменный курс резко упал с 17 долларов до ноля (а точнее — до 0,01$ по информации mtgoxlive.com).
Хакерская атака на Mt Gox
Справедливости ради, нужно отметить, что отправной точкой взлома был не клиент bitcoin и не система безопасности этой сети, основанная на протоколе OpenSSL и криптографических функциях и алгоритмах Эрика Янга. Злоумышленникам удалось подобрать пароль к одной из административных учётных записей биржи Mt Gox, что предоставило им возможность совершить транзакцию в размере 432 000 BTC (платёжных единиц системы Bitcoin), и по курсу на момент взлома их стоимость оценивалась в 8 млн долларов США. Учитывая, что в свободном обращении, на тот момент, находилось около 7 млн. «монет» BTC, неизвестным хакерам были подконтрольны около 6% всей платёжной системы.
Стоит предположить, что основной целью такого вторжения было не личное обогащение, а крах системы в целом. Иначе невозможно объяснить попытку за один раз вывести из оборота bitcoin столь крупную сумму. И поскольку денежные знаки этой системы не обеспечены ничем, кроме спроса (зачастую спекулятивного), единовременная продажа столь значительной их части привела к полному обесцениванию криптовалюты. К слову, BTC представляют собой мощнейший дефляционный инструмент, позволяющий реализовывать самые смелые инвестиционные программы. Увеличение курса, а значит и стоимости 1 BTC в 2010 году составило 5500% — от 0,6$ в начале года до 35$ в третьем квартале. Предположения о деструктивной направленности вторжения подтверждаются тем фактом, что были предприняты (к счастью, безуспешные) попытки преодолеть ограничения биржи Mt Gox на вывод более 1000 долларов в сутки.
Возможности системы, где точно известно общее количество эмитированных денежных знаков, а каждому из них соответствует определённая сигнатура, позволили разработчикам произвести отмену всех операций, совершенных после атаки на Mt Gox и таким образом восстановить ценность денежных знаков. Кроме того, успешному восстановлению поспособствовал сам взломщик – после получения контроля над учётной записью на бирже им были проданы все BTC со счета, после чего была предпринята попытка выкупить их по более низкой цене и вывести, но ему помешал лимит вывода.
Новые угрозы
В августе 2011 года специалисты антивирусной компании Symantec обнаружили новый вид вирусов-троянов, использующих учётные данные пользователей bitcoin для кражи денег из электронных кошельков. Вредоносные программы подобного рода пытаются взломать хэши денежных знаков и файлов-хранилищ. Шансов на удачный подбор паролей не много — используемая технология openSSL надёжно защищает от подобных проникновений. Но ключи к кошелькам можно украсть – особенно если они хранятся не на съёмных носителях либо доверены не совсем надёжному сервису.
Конечно, разработчики не разглашают подробности взлома Mt Gox, но есть все основания полагать , что атака стала возможна после кражи ключей, а также копирования файла кошелька bitcoin, например с помощью вируса, отсылающего определённые файлы с заражённой машины.
Ответ Bitcoin
Казалось бы, протокол OpenSSL должен предоставлять неразрушимую защиту для файлов и ресурсов клиента. Так оно и есть, до тех пор, пока злоумышленник не получит одновременно доступ к файлу кошелька и к ключам от него.
Первое серьёзное улучшение безопасности по сравнению с базовой версией было реализовано в релизе Bitcoin 0.4.0, выпущенном 23 сентября 2011 года. С этого момента всем владельцам BTC стало доступно шифрование файла кошелька, а вернее той его части, в которой содержится клиентская часть открытого ключа, передаваемая контрагенту при совершении перевода. При выполнении любых операций с имеющейся криптовалютой требуется ввод пароля, что делает невозможным использование украденных файлов кошельков. Однако, при утере пользователем пароля от кошелька, восстановление контроля над ним невозможно. То же самое относится и к утере самого файла. Именно поэтому при использовании Bitcoin необходимо надёжно хранить пароли и делать резервные копии кошелька.
Также версия клиента 0.4.0 предлагает пользователям более оптимизированное строение древовидной системы хэшей и базы данных с поддержкой защиты от атак типа denial-of-service (отказ в обслуживании). На первый взгляд, пиринговой сети не стоит опасаться DDoS-атак, ведь в структуре Bitcoin отсутствует главный пул серверов, нет каких либо сервисов, представляемых пользователям централизованно. Но основное достоинство распределённой сети – полная децентрализованность, в ряде случаев может быть и самым серьёзным недостатком, особенно если злоумышленник пытается получить доступ одновременно к большому количеству кошельков участников системы, например, использовав бот-сети.
Bitcoin 0.5.0: Улучшения продолжаются
В следующем «большом» релизе разработчики сосредоточились на интерфейсе, сделав его более удобным и простым. Также были добавлены функции drag-n-drop для осуществления платежей и возможность экспорта списка проведённых транзакций в .csv файл.
Для сторонних разработчиков были введены новые rpc-команды, позволяющие более качественно организовать информационный обмен с другими приложениями. Также была проведена солидная работа по ускорению загрузки в клиент и обработки блоков данных, содержащих подписанные данные о уже проведённых транзакциях.
Ещё один шаг
Последние версии приложений Bitcoin 0.5.1 и Bitcoin 0.5.2 содержат большое количество улучшений, направленных на ускорение работы программы и добавляют некоторые rpc функции. Также улучшена обработка небольших платежей, вплоть до 0.0001 BTC и исправлен ряд мелких ошибок обработки адресов контрагентов, в некоторых случаях приводящих к полному зависанию программы. Начиная с версии 0.4.0 серьёзных улучшений безопасности не было.
Перспективы развития криптовалют
Факт существования и бурного развития peer-to-peer платёжной системы доказывает состоятельность идеи о возможности реализации в будущем принципиально иной экономической модели, не основанной на едином эмиссионном центре. Конечно, принципы реализации сети Bitcoin во многом экспериментальны, и если быстрые дефляционные процессы не погубят её, то ещё через 5-6 лет стабилизации в распоряжении пользователей окажется инструмент, свободный от налогов, платёжных комиссий и любого другого внешнего вмешательства.
Удастся ли Bitcoin занять своё место среди мировых валют, покажет время. Но уже сейчас можно с уверенностью сказать, что по мере роста общего количества транзакций разработчикам придётся либо кардинально менять схему хранания данных, либо вводить промежуточные центры обработки, которые будут ответственны за хранение всего дампа платежей и сигнатур денежных знаков. Уже сегодня процедура загрузки всей необходимой информации при первоначальной установке клиента может длиться часами, и в дальнейшем это время будет только увеличиваться.
Эта статья рассказывает только о ранних версиях кошелька. Есть более актуальный обзор Bitcoin Core.
Источник
ТОП-5 методов кражи криптовалют в 2020 году и 10 советов как защитить свои активы
Эксперты компании Hacken, которая специализируется на кибербезопасности, описали 5 самых популярных способов кражи криптовалюты в 2020 году.
В 2020 году киберпреступники покушались в основном на протоколы децентрализованных финансов (DeFi), что говорит о незрелости этого нового быстрорастущего сегмента. Тем не менее, количество криптовалют, украденных из централизованных платформ, все еще значительно выше. Например, в результате взлома Kucoin были украдены монеты на 275 миллионов долларов. Сумма денег, похищенных из DeFi-проектов составляет примерно 21% от объема взломов и краж в криптовалютной индустрии в 2020 году, говорится в последнем исследовании компании Hacken, специализирущейся на кибербезопасности.
Кроме того, хакеры атакуют не только криптоплатформы, но и самих пользователей. Каждый день в Интернете публикуются истории о том, как злоумышленники украли криптовалюту пользователя, получив доступ к его криптокошельку или аккаунту криптобиржи. Некоторые пользователи понятия не имеют, насколько высок риск взлома их учетной.
В этой статье мы рассмотрим пять основных способов кражи криптовалюты, которыми пользовались хакеры в 2020 году.
Навигация по материалу:
Поддельные фишинговые сайты
Фишинг – это инструмент социальной инженерии. Его часто используют для кражи пользовательских данных, включая мнемонические фразы, закрытые ключи и учетные данные для входа в аккаунты на криптовалютные платформы.
Как правило, злоумышленники рассылают мошеннические электронные письма, где просят пользователя ввести перейти на поддельный веб-сайт и ввести там свою конфиденциальную информацию. Кроме того, пользователей часто заманивают на вредоносный сайт. Переход по ссылке из письма заканчивается установкой вредоносного ПО.
Простейшим примером успешной фишинговой атаки стал случай MyEtherWallet в 2017 году. Киберпреступники разослали электронное письмо потенциальным пользователям MyetherWallet и объявили, что им нужно синхронизировать свой кошелек, чтобы соответствовать требованиям хард-форка Ethereum. После нажатия на ссылку пользователь переходил на фишинговый сайт, который выглядел как настоящий, но содержал дополнительный едва заметный символ в URL-адресе. Невнимательные пользователи вводили свои секретные фразы, закрытые ключи и пароли от кошельков, тем самым предоставляя эти данные злоумышленникам, а затем теряли свою криптовалюту.
Последний пример – успешная атака на пользователей кошелька Ledger. Аферисты использовали фишинговые письма, которое направляли пользователей на поддельную версию веб-сайта Ledger, с измененным символом в URL-адресе, как и в предыдущем случае с MyEtherWallet. На поддельном сайте жертвы скачивали вредоносное ПО, выдающее себя за обновление безопасности, которое выводило монеты из их кошелька Ledger. Из этого следует вывод, что даже пользователи аппаратных кошельков не защищены от фишинговых атак.
Такой же тип атак использовался против пользователей криптовалютных бирж. То есть пользователь получает письмо со ссылкой на сайт, который идентичен реальному, но со слегка измененным URL-адресом. Таким образом, злоумышленники крадут имена пользователей/пароли и при определенных условиях они могут украсть криптовалюту из биржевого кошелька. Тем не менее, пользователи могут застраховать себя даже в случае успешной атаки, так как биржи предлагают дополнительные инструменты защиты от подобных случаев.
Кража API ключей
Некоторые трейдеры используют инструменты автоматизации торговли, называемые торговыми ботами. Для использования такого программного обеспечения пользователь должен создать API ключи с определенными разрешениями, чтобы бот мог управлять его балансом.
Обычно, когда пользователь создает API ключ, биржа запрашивает следующие разрешения:
- Просмотр. Разрешение на просмотр данные, связанных с учетной записью пользователя, таких как история торговли, история ордеров, история вывода средств, баланс, некоторые пользовательские данные и т. д.
- Трейдинг. Разрешение на размещение и отмену ордера.
- Вывод средств. Разрешение на вывод средств.
- Белый список IP адресов. Позволяет выполнять операции только с указанных IP-адресов.
Для API ключей торговых ботов нужны разрешения на просмотр, торговлю, а иногда и на вывод средств.
Существуют различные способы кражи API-ключей пользователей. Например, злоумышленники часто создают вредоносных «высокоприбыльных» бесплатных торговых ботов, чтобы убедить пользователя ввести свои API ключи. Если ключ API имеет разрешение на вывод средств без ограничения по IP, то хакеры могут мгновенно вывести всю криптовалюту с баланса пользователя.
Даже без разрешения на вывод хакеры могут украсть криптовалюту пользователей, “выкачивая” средства через определенную криптовалютную торговую пару с низкой ликвидностью. Наиболее яркими примерами таких атак являются памп Viacoin и памп Syscoin, где хакеры накопили эти криптовалюты и продали их по значительно завышенной цене, используя для пампа цены средства пользователей, доступ к балансам которых был украден.
Эксплойты в загруженных файлах
Существует множество эксплойтов нулевого дня и уязвимостей одного дня для MS Word, Excel и Adobe Product, которые гарантируют, что антивирусные продукты не смогут обнаружить вредоносные программы и предоставят злоумышленникам полный доступ к устройствам жертв и их внутренней инфраструктуре.
Нулевой день — это уязвимость в программном обеспечении, аппаратном обеспечении или прошивке, который неизвестен стороне или сторонам, ответственным за разработку и поддержку продукта. Термин «нулевой день» может относиться к самой уязвимости или к атаке, которая занимает период в ноль дней между обнаружением уязвимости и первой атакой. После того, как уязвимость нулевого дня стала общеизвестной, она определяется как уязвимость n-го дня или уязвимость одного дня. После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, который использует обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей. Самым известным вредоносным ПО, использующим уязвимость нулевого дня в программном обеспечении, является червь wannaCry, вирус, который вымогал биткоины для расшифровки файлов зараженного компьютера.
Тем не менее в сети есть множество других вредоносных программ, которые могут получить доступ к криптовалютным кошелькам пользователей, а также к приложениям для обмена криптовалютами, используя эксплойты нулевого, одного или n-го дня. Самым известным случаем такой атаки в последние годы стал эксплойт WhatsApp, в результате которого злоумышленники могли собирать данные с криптокошельков пользователей.
Мошеннические платформы
В связи с активным ростом рынка DeFi-мошенники постоянно запускают новые проекты, которые являются практически точными клонами существующих проектов. После того, как пользователи инвестируют в эти проекты, мошенники просто выводят средства на свои собственные кошельки.
Самым большим скамом такого рода на сегодняшний день является случай YFDEX , когда злоумышленники украли 20 млн средств пользователей через 2 дня после запуска проекта. Такие мошенничества очень распространены, потому что в большинстве случаев члены проектной команды анонимны и у них нет юридических обязательств перед пользователями. Ранее такие случаи мошенничества были связаны в основном с ICO-проектами.
Тем не менее, подобные случаи имели место и с централизованными платформами. Например, дело QuadrigACX, когда основатель централизованной биржи умер, оставив платформу без доступа к своим кошелькам и без возможности обработать вывод более $ 171 миллионов средств клиентов. В результате только 30 млн долларов утерянных средств могут быть возвращены.
Такие случаи происходят постоянно, поэтому нужно тщательно изучать платформу, прежде чем переводить туда свои деньги.
Поддельные приложения
За время существования индустрии криптовалют было создано множество поддельных приложений платформ или кошельков. После того, как вы сделаете депозит в такое приложение, вы обнаружите, что вы потеряли свою криптовалюту.
Злоумышленники также создают копии существующих приложений, добавляя вредоносный код. Также бывали случаи, когда злоумышленниками создавались “новые” поддельные приложения для платформ, у которых нет мобильных или десктопных версий. Например, дело Poloniex 2017 года, когда пользователи ввели свои учетные данные и тем самым передали их злоумышленникам. Это привело к краже средств у невнимательных пользователей.
Поскольку большинство криптокошельков имеют открытый исходный код, каждый может создать свою копию кошелька и внедрить вредоносный код. Темы о таких кошельках постоянно появляются на популярных криптовалютных форумах, например, о поддельном приложении Trust wallet . На данный момент существует более 10 копий этого кошелька, каждая из которых может содержать вредоносное ПО.
Как защитить себя от злоумышленников?
Злоумышленники используют множество методов кражи пользовательских средств и данных. Поэтому мы рекомендуем придерживаться следующих правил, чтобы защитить себя от злоумышленников:
- Всегда проверяйте домен, с которого вы получаете электронные письма.
- Установите AntiPhishing код или его аналоги, если платформы, которые вы используете, поддерживают такой функционал.
- Вносите средства только на биржи с хорошей репутацией. Вы можете проверить рейтинги бирж на следующих платформах: Mining-Cryptocurrency.ru, Coingecko, Cer.live, Coinmarketcap, Cryptocompare и т.д.
- Настройте белый список IP для логина, если платформы, которые вы используете, поддерживают такой функционал.
- Всегда изучайте криптокошелек, прежде чем принимать решение об установке его на свой телефон, даже если он в списке магазина приложений.
- Установите белый список IP адресов для API ключей.
- Не инвестируйте в недавно запущенные проекты, в которых нет никакой информации о команде, инвесторах и т.д. Во время DeFi-хайпа мошенники запустили десятки мошеннических проектов, чтобы украсть криптовалюту у инвесторов.
- Убедитесь, что вы загружаете документы и другие файлы из надежного источника.
- Всегда выполняйте регулярные обновления системы безопасности вашей операционной системы.
- Скачивайте приложения и их обновления только с официальных сайтов.
Вместе с ростом криптовалютного рынка, появляются и новые схемы кражи средств и данных пользователей. Вы должны быть очень осторожны с электронной почтой и другими уведомлениями. Используя описанные выше 10 правил, пользователи могут защитить себя от злоумышленников.
Дата публикации 12.01.2021
Подписывайтесь на новости криптовалютного рынка в Яндекс Мессенджер.
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
Источник