Проблема CEX
Несмотря на то, что продвинутые пользователи всегда относились к централизованным криптобиржам (CEX) с разумной опаской, функционал последних, а именно: скорость, удобство и низкий порог вхождения (от юзера не требуется особых навыков и познаний в области криптовалют) позволил CEX захватить львиную долю крипторынка. На холодных криптокошельках крупнейшей биржи мира Binance хранится 2,72% общих запасов биткоина, а один из адресов – самый большой в мире по количеству монет.
Несмотря на то, что CEX-биржи в криптомире – это главный источник новостей о беспрецедентных по масштабу взломах, хищениях (зачастую безвозвратных) средств пользователей, их доля в индустрии остается огромной. К сожалению, в угоду удобству конечные пользователи зачастую жертвуют надежностью. В то же время, с каждой новой историей о взломанной или разорившейся бирже, растет внимание к вопросам безопасности. Появляются новые способы защиты.
Не фондовые биржи
Начнем с важного, хотя и очевидного замечания. Криптовалютные биржи иногда сравнивают с фондовыми. Это в корне не верно. Фондовые биржи строго регулируются государством и сами участвуют в создании стандартов отрасли. Криптовалютные (даже в 2023 году) регулируются слабо и зачастую сами не выполняют никаких регулирующих функций. Это всего лишь обычный бизнес, который зарабатывает деньги, помогая инвесторам заниматься торговлей. За свои услуги он получает прибыль от комиссии с каждой транзакции.
Это не значит, что на рынке не может быть ответственных и относительно безопасных компаний, которые предоставляют качественные услуги вопреки тому, что не регулируются государством (или регулируются слабее, в сравнении с фондовым рынком). Равно как это значит, что вас могут обмануть и на фондовом рынке. Просто стоит учитывать разницу, помня, что криптовалюта тут – зона повышенного риска. И не надеяться, что в случае коллапса ваши проблемы решит кто-то еще, в первую очередь все-таки рассчитывая на себя.
Не твой ключ – не твои монеты
Удивительно, но криптовалютные биржи, которые стали доминировать на рынке, своим существованием во многом подрывают изначальную концепцию, которая привела к созданию Биткоина и криптовалюты как явления. CEX централизуют контроль в системе, предназначенной для децентрализации и освобождения финансов от власти правительств, банков и иных посредников. Поэтому многие преимущества криптовалют, которые обеспечивают надежность, в случае с централизованными биржами просто перестают работать. В первую очередь это касается приватных ключей – синонима «владения средствами». Да-да, на практике полезно исходить из известного принципа «не твой ключ – не твои монеты». И коль скоро на централизованной бирже ключ остается у нее, следует исходить из того, что средства оказываются в полном распоряжении у биржи, а не у вас. Зато удобство?
Обязательные меры предосторожности
В сети и даже на специализированных торговых ресурсах можно найти много инструкций для пользователей, посвященных тому, как правильно выбирать криптобиржу. Стоит остановиться на общих, базовых рекомендациях, которые включают:
-
Do your own research (делай свое исследование сам) – пользователю следует самостоятельно разобраться в деятельности биржи: узнать о репутации, почитать отзывы и новости, изучить размеры комиссий.
-
Оценить сайт биржи – визуальное оформление, удобство, перевод на другие языки и грамотность сайта свидетельствуют о «серьезности намерений» торговой площадки. Также полезно обратить внимание на наличие техподдержки. Это иногда (хотя и не всегда) помогает отсеять сделанные на скорую руку сомнительные проекты.
-
Комплаенс, наличие AML и KYC-проверок – все это позволяет убедиться в готовности проекта к законодательному регулированию. Хотя само наличие таких проверок может нести риски уже иного характера – к некоторой информации могут получить доступ третьи лица (например, злоумышленники, взломавшие биржу или государственные структуры). Мы в данном случае лишь подчеркиваем: платформа намерена работать в рамках требований конкретной юрисдикции, и с этим проблем не должно возникнуть. Критерий может быть важным для отдельных пользователей, особенно сегодня, когда есть примеры того, как государство арестовывает сервера и имущество «недобросовестных бирж». Но опять же подчеркнем, критерий неоднозначный.
-
Безопасность – самый очевидный и сложный для оценки со стороны показатель, поэтому его часто описывают в самых общих чертах. Мы же постараемся указать на некоторые моменты, которые позволят оценить уровень безопасности биржи.
Как оценить безопасность биржи
Биржа как продукт, предоставляющий потребителям услуги, подвержена угрозам со всех сторон: слабыми местами могут стать транзакции, смарт-контракты, хранение приватных ключей, сайт и приложение, далее по списку. Проблема в том, что не только пользователи, у которых нет доступа к информации об уязвимостях, но и сама биржа может узнать о критических проблемах лишь в момент, когда злоумышленник уже вывел средства. Даже те биржи, которые вкладывают огромные средства в безопасность, не могут гарантировать безупречность. Даже такие гиганты как, например, Binance подвергались успешным атакам. На что же тогда остается обращать внимание пользователю, ищущему надежную торговую площадку?
Сертификаты безопасности
В криптоиндустрии существует несколько специализирующихся на безопасности организаций, в том числе CryptoCurrency Security Standard (CCSS), ISO 27001 и спецификация уровней безопасности EEA EthTrust. Эти стандарты определяют уровень необходимых требований. Биржи, получившие сертификаты безопасности, как минимум соответствуют базовым стандартам индустрии.
«Тесты на прочность», белые хакеры
Еще одним хорошим способом улучшения безопасности является «испытание на проникновение» (англ. penetration testing). Это практика в кибербезопасности, при которой этичные (белые) хакеры пытаются проверить каждую часть продукта на наличие потенциальных уязвимостей. Для биржи это является важной мерой, однако, со стороны эффективность подобных шагов, как и их наличие, проверить сложно. Особенно если испытание проводится силами программистов самой омпании, а не сторонними аудиторами.
Еще одним хорошим сигналом будет вознаграждение для этичных хакеров за сообщение об уязвимостях. Многие биржи готовы платить сотни тысяч долларов за обнаружение критических проблем. Некоторые, кстати, даже выкладывают статистику выплат таким хакерам. Это хороший знак.
Рейтинги безопасности
В интернете время от времени публикуются и обновляются различные рейтинги безопасности криптобирж, которые при помощи своих методик с позиции внешнего наблюдателя оценивают безопасность. Например такой. Особенно это полезно, если рейтинги открыто публикуют свою методологию. Да, ее так же полезно изучить.
Новая сторона комплаенса
Прошли времена, когда государство слабо интересовалось историями кражи криптовалют. Сегодня публичная власть вмешивается в подобные ситуации, органы безопасности начинают расследовать киберпреступления наряду с обычными кражами. Уже известны отдельные случаи, когда органы правопорядка помогали вернуть средства обманутым пользователям бирж, и конечно, «полезное вмешательство» государств в подобные истории будет только расширяться. Поэтому для бирж, которые активно сотрудничают с государством, может повыситься шанс вернуть деньги пользователям (если что-то недоброе случится). И, соответственно, те биржи, которые были зарегистрированы в сомнительных офшорах, с меньшим успехом смогут претендовать на помощь «большого брата». С другой стороны, не стоит забывать и о рисках утечки персональных данных при сценарии, когда государство активнее вмешивается в регулирование криптоплощадок. В данном случае вы сами должны решить, какие риски для вас допустимы.
Важность аудита
Аудит – еще одна важная сторона, которая позволяет судить о серьезности биржи. Существуют команды, готовые оценивать продукт с разных сторон: от аудита смарт-контрактов и безопасности, до классического финансового аудита компании. И если биржа регулярно проходит аудиторские проверки (а еще лучше, одновременные проверки несколькими независимыми аудиторами), это существенно увеличивает кредит доверия.
Наличие резервов
Одним из важнейших критериев может служить наличие у биржи подтвержденных резервов на случай непредвиденных бед. На Bits.media выходил об этом обширный материал. Наличие крупных резервов дает значительно меньше поводов сомневаться в устойчивости площадки.
Вывод
И пользователи, и биржи многому научились за долгие годы историй коллапсов, банкротств и хакерских атак. Но в любом случае, старый принцип «не твой ключ – не твои монеты» продолжает работать и в 2023 году. Если встает вопрос доверить свои средства CEX, лучше заранее провести «личный аудит» каждой потенциально полезной торговой площадки. Хотя бы по тем критериям, которые мы описали. Спорными остаются критерии, связанные с регулированием деятельности платформ государством и, в частности, AML\KYC-проверки. Но в данном случае конечный пользователь должен сам оценить допустимые риски при выборе платформы, которая придерживается или не придерживается такой политики.
Данный материал и информация в нем не является индивидуальной или иной другой инвестиционной рекомендацией. Мнение редакции может не совпадать с мнениями автора, аналитических порталов и экспертов.