{"id":852,"title":"\u0423\u0433\u0430\u0434\u0430\u0439\u0442\u0435 \u0433\u043e\u0440\u043e\u0434\u0430 \u043f\u043e \u0437\u0432\u0443\u043a\u0443 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0435\u0433\u043e\u0441\u044f \u043f\u0438\u0432\u0430 \u0438 \u043f\u0435\u043d\u0438\u044e \u043a\u0438\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=852&url=https:\/\/vc.ru\/special\/sound&placeBit=1&hash=1fe6a68ccf8af649f9cb7846c377dcd641062643abe1b4c70b33d470cd1db683","isPaidAndBannersEnabled":false}
Новости
Roman Persianinov

Ограбление банка в эпоху криптовалют Статьи редакции

Крупнейший цифровой-обменник Coinbase подвергся масштабным атакам, поставив под вопрос безопасность криптовалютных обменников.

Фото The New York Times

В марте 2017 года американец Шон Эверетт продал все свои акции Apple и Amazon. Вырученные деньги он перевёл в биткоины и эфириум с помощью крупной криптовалютной биржи Coinbase. Поздней весной цены на криптовалюты поднялись достаточно высоко, чтобы Эверетт начал планировать запуск собственного стартапа. Но 17 мая ситуация резко изменилась: кто-то взломал его электронную почту и вывел из аккаунта несколько тысяч долларов.

Эверетт оказался не первым потерпевшим пользователем Coinbase. С начала 2017 года хакеры увели с биржи, которая раньше считалась самой надёжной, миллионы долларов. Эта ситуация подняла вопрос, который с каждым годом беспокоит всё больше людей — как сохранить криптовалютные накопления в мире, где против хакеров оказываются бессильны специалисты и спецслужбы. Историю взлётов и падений Coinbase рассказала журналистка Fortune Джен Векцнер.

Что это за обменник

Coinbase была основана в Сан-Франциско в 2012 году. Она доступна в 32 странах мира. Это крупнейшая площадка обмена криптовалюты в мире, которая ещё недавно была самым надёжным цифровым банком. За пять лет работы хакеры не смогли найти изъянов в её системе защиты. За созданием биржи стоит 34-летний Брайн Армстронг — бывший инженер Airbnb, желавший запустить «Gmail от мира криптовалюты».

До появления цифровых бирж владельцам криптовалют приходилось хранить 64-знаковый номер, который предоставлял доступ к условному биткоину. Армстронг придумал систему, хранящую накопления клиентов под паролями в их аккаунтах.

Удобная площадка быстро привлекла людей. Нынешняя аудитория Coinbase насчитывает 9 миллионов клиентов, суммарно они хранят на бирже 3 миллиарда долларов и уже обменяли с помощью сервиса 25 миллиардов долларов. Несмотря на такую популярность, власти разных стран пока не нашли способов влиять на площадку. Действия авторов биржи не регулируются банковскими законами или законами о правах потребителей.

Взломы в Coinbase

«Coinbase — это крупнейший американский банк JPMorgan от мира блокчейна», — так описал биржу венчурный инвестор Фред Уилсон. И как любой крупный банк, криптовалютный обменник тоже привлекает грабителей. Точное количество взломанных клиентов неизвестно — по данным Fortune, в некоторые месяцы взломы происходили ежедневно. Уилсон сам однажды едва не стал жертвой хакеров, вовремя заблокировав нежелательную транзакцию.

Иногда злоумышленники атакуют людей, на счету которых лишь несколько тысяч долларов. В других случаях сумма украденных средств составляет 18 тысяч долларов или больше. Это указывает на то, что у хакеров нет готового списка жертв. Они атакуют наугад.

Источник Fortune в Coinbase рассказал, что суммарно хакеры украли у клиентов биржи 5 миллионов долларов. Взломы проходили по следующей схеме: злоумышленники выслеживали людей, работающих в индустрии криптовалют, или часто упоминающих биткоин в социальных сетях. Они узнавали электронный адрес и номер телефона жертвы, изучив все её прошлые публикации или случайные утечки в интернете.

Глава Coinbase Брайн Армстронг. Фото Fortune

Затем хакеры связывались с мобильным провайдером атакованного, диктовали сотруднику номер жертвы и просили напомнить им PIN-код. Если работник компании соглашался раскрыть код без дополнительной проверки, взломщики с помощью PIN-кода регистрировали номер жертвы на подконтрольный им телефон.

Так как зачастую номер телефона привязан к электронной почте, хакеры запрашивали для восстановления код доступа и вскрывали почту. Затем они использовали функцию восстановления аккаунта в Coinbase, данные о котором приходили на взломанную почту, и логинились в системе. После хакеры выводили валюту на свой счёт. Для дополнительной безопасности они пропускали украденное через несколько обменников, чтобы замести следы, и уже только затем обналичивали средства.

Расследованием краж занимаются специалисты исследовательского агентства Chainalysis. В прошлом они нашли виновников нескольких крупных криптовалютных преступлений, но в деле Coinbase у них пока нет зацепок. на поиск хакеров могут уйти годы. Так как атаки носят точечный характер, к расследованию сложно привлечь американские спецслужбы.

Эксперты считают, что ситуация может поменяться, если в ФБР продолжат поступать жалобы на ограбления. Или если будет доказано, что за взломами скрывается профессиональная группировка. Пока это лишь предположение.

Но даже если хакеров арестуют, жертвы могут никогда не получить деньги обратно.

Масштабы проблемы

Система Coinbase и других цифровых бирж основана на блокчейне, поэтому ограбленные клиенты не могут попросить фирму вернуть средства со счёта хакеров, как это могло бы произойти в традиционном банке. Подобное действие противоречит принципам работы криптовалют. Это значит, что никто, даже государственная спецслужба, не может повлиять на незаконную транзакцию, не разрушив при этом всю систему.

По данным ФБР, в 2016 году хакеры украли у отдельных людей 28 миллионов долларов в криптовалютном эквиваленте. Это в три раза больше, чем годом ранее.

На первый взгляд цифровые банки действуют также, как их реальные аналоги. Они хранят и обменивают миллионы долларов каждый день, но их система защиты с каждым днём всё больше настораживает крупных инвесторов и простых пользователей.

Глава Coinbase рассказал, что они модернизируют и закрывают дыру в системе после каждого нового взлома. Дополнительную защиту обеспечивают функции блокчейна и двухэтапная авторизация с указанием почты клиента. Но Армстронг признаёт, что система защиты требует доработок.

Формально взломщики не нарушали принципов блокчейна, потому что просто перевели средства пользователей через их аккаунты. Поэтому их нельзя отследить по стандартным правилам. По сути, это хитрый, хоть и примитивный способ обойти блокчейн.

Что будет с Coinbase дальше

Сейчас в Coinbase работает около 180 человек, но они не справляются с количеством клиентских запросов. У фирмы нет даже телефона технической поддержки, его планируют зарегистрировать в сентябре. И нанять ещё 100 человек в помощь. Вероятно, это связано с новой заботой компании — последствиями хардфорка биткоина.

1 августа самая популярная криптовалюта разделилась на две из-за разногласий сообщества. Новая валюта называется Bitcoin Cash и уже стремительно набирает вес. Сейчас стоимость нового биткоина составляет 664 доллара. Для сравнения — стоимость эфириума, второй по популярности криптовалюты, составляет 321 долларов.

Виталик Бутерин, создатель криптовалюты эфириум, популярной у клиентов Coinbase. Фото Fortune

Изначально руководство Coinbase отказывалось признавать новую валюту из-за технических сложностей. Через несколько часов после этого заявления клиенты завалили компанию жалобами, перегрузили сервера и пообещали подать в суд. На фоне назревающего скандала руководству биржи пришлось уступить: в 2018 году Bitcoin Cash станет доступен в Coinbase.

Но если для увеличения штата и интеграции нового биткоина нужны лишь время и деньги, то угроза дальнейших взломов требует более серьёзных усилий. Крупные хакерские взломы не в первый раз бьют по криптовалютный обменник. В 2014 году перспективная биржа MT.Gox закрылась после того, как хакеры украли с площадки больше 500 миллионов долларов. Летом 2016 года злоумышленники вывели криптовалюты на сумму в 72 миллиона долларов с гонконгской площадке Bitfinex, из-за чего создателям пришлось временно остановить её работу.

Подобное может случиться и с Coinbase, если вместо одиночных ударов по клиентам хакеры рискнут провести крупномасштабный взлом. Любая подобная атака угрожает репутации всей системы блокчейна, поэтому от модификации протоколов защиты зависит будущее Coinbase.

{ "author_name": "Roman Persianinov", "author_type": "editor", "tags": ["\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043a\u0440\u0438\u043f\u0442\u043e\u0432\u0430\u043b\u044e\u0442\u044b","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 14, "likes": 30, "favorites": 13, "is_advertisement": false, "subsite_label": "news", "id": 58545, "is_wide": true, "is_ugc": false, "date": "Wed, 23 Aug 2017 21:10:32 +0300", "is_special": false }
0
14 комментариев
Популярные
По порядку
Написать комментарий...
Испанский Влад

Инженер Coinbase в офисе компании. Фото The New York Times

10
Снежный американец

Я изначально и думал что это он. Типа троллинг что компанию выебали

0
Остальной фонарь

зашел в пост за этой фоткой

0
Гражданский единорожек88

Эм, заголовок не совсем корректный, на мой взгляд. Это не взлом биржи, это взлом почты пользователей, что совсем другое дело.

8
Быстрый чувак

Я хочу больше, больше подобных историй с сотовыми операторами, чтобы ни один больше сука приличный сервис не предлагал свою сцаную 2факторку.

0
Государственный франт

А что не так с Google authenticator? )))0

2
Гражданский единорожек88

у всех нормальных бирж кстати именно он

3
Быстрый чувак

То, что его восстановление тоже можно запросить на телефон, если тот привязан. А если тот не привязан, то давайте поговорим о безопасности и обновлениях андроидных аппаратов.
А если даже у вас пиксель, давайте поговорим о том, как вы проебали железку, а бумажные резервные коды дочка скормила коту.

0
Государственный франт

То есть по сути, мы уязвимость блокчейна и биржы перекладываем на своё и третих лиц респиздяйство? Заведи отдельный телефон, храни его в сейфе, для авторизаций и переводов

0
Государственный франт

*Точнее наоборот, но суть понятна я думаю

0
Быстрый чувак

Достаешь ты из сейфа телефон, а он сдох, а резервные бумажные коды по прежнему скормлены коту. Нет уж, оставьте мне право придумать хороший пароль и больше ничего.

0
Склонный фитиль

Но это всё равно безопаснее, чем мобильный номер, который могут получить взломщики, кучей способов, вообще без какого-либо твоего участия.

0
Здоровый Денис

Никто не мешает хранить эти коды в других приложениях, которые поддерживают синхронизацию. Enpass, 1Password или Authy, например

0
Ориентированный томагавк_два

Да все с ней нормально, простой второй шаг должен быть ещё. С точки зрения безопасности это лучше, чем просто логин. С тз анонимности хуже, конечно

0
Читать все 14 комментариев
null