Блокчейн-евангелист, спикер ICO Event Moscow, Олег Кудренко рассказывает о том, как обезопасить ICO и своё участие в ICO от хакерской атаки.
Каждый десятый биткоин и эфир с ICO уводят мошенники
Согласно отчёту Chainalysis, десятая часть инвестиций в ICO достаётся мошенникам. Если посмотреть на самые частые причины – фишинг и замену данных настоящих владельцев компаний на адреса своих кошельков, – то получается, что большинство «инвесторов» страдает по своей же глупости или неосторожности.
Порой мы просто не можем отличить, кто взломал сайт – хакеры или сами организаторы ICO. Большинство из них, увы, не очень сложно взломать. И, конечно, глупостью или несистемным мышлением сотрудников/организаторов ICO действительно часто пользуются при взломах.
Но главная сложность в другом: если от фишинговой атаки теоретически можно уберечься, то оценить проект с точки зрения технической безопасности инвестору крайне сложно. Если не сказать – никак.
Единственное, что можно сделать, – это диверсифицировать. Притом всё: ICO, в которые вкладываете, кошельки которые используете, биржи, на которых торгуете. Понятное дело, что это отнимет время и ресурсы – однако же позволит спасти вас в случае, если хакеры найдут уязвимость в вашем кошельке.
Пример уязвимости? Есть фонд satoshi.fund. Его средства можно было украсть при помощи уязвимости, найденной хакерами. Но, к счастью, фонду повезло: их деньги вывели себе "белые шляпы" и позже им вернули. Однако пару недель они были в подвешенном состоянии и это были не самые лучшие недели в их жизни. Но кейсов много – есть где покопаться.
Нападений будет больше. Законы? Пфф…
Если прогнозировать на год-два вперёд, то количество нападений увеличится – так как это лёгкие деньги для хакеров. Их легко вывести. Также вырастут стандарты защиты и решения по защите. Возможно, на рынок выйдут крупные площадки, у которых будет больше ресурсов для того, чтобы организовать защиту и выступить как некий сервис. Кроме того, на рынок могут выйти компании, которые смогут страховать от взлома.
Что касается законодательства, то оно не очень-то пугает хакеров. Есть регионы, которые развиваются в этой плоскости. Время от времени мы читаем статьи, как ФБР находит участников взломов двух- или трёхлетней давности. Количество раскрытых киберпреступлений со временем будет расти. С другой стороны, наказание происходит не моментально, а с отсрочкой в пару лет, так что это развязывает хакерам руки.
Человеческий фактор и работа с персоналом
Недавно в ходе pre-ICO Enigma Catalyst злоумышленники похитили около 500 000 долларов, уведённых на ложный ETH-кошелек. Была задействована масштабная фишинговая атака на адреса сотрудников проекта.
В сфере защиты информации стандарты давно выработаны – однако мы должны понимать, что ICO – это «гаражные стартапы», и мы не всегда можем надеяться, что стандарты будут соответствовать той скорости, с которой появляются проекты.
Но некоторые меры всё-таки можно предпринять, если вы стартап и решили себя защитить от хакеров. Как минимум – посмотреть, что требуют для сертификации PCI DSS.
Что ещё важно:
-
инструкция по приёму сотрудника, чек-лист;
-
инструкция по увольнению сотрудника, чек-лист;
-
сканирование открытых портов;
-
все внутренние ресурсы через VPN на несуществующий домен;
-
внутренняя контролируемая почта;
-
сенситив-данные через сенситив-каналы коммуникации: Xmpp + otr;
-
двухфакторная авторизация везде;
-
ограничивать доступ к серверам и информацию о том, где находятся сервера;
-
прятать сервера, например, за Cloudflare.
Помогает поставить себя на место хакера и подумать: как бы вы взломали своё ICO. Возможно, так вы сами найдёте пару уязвимостей. Или заплатить за аудит кода игрокам с хорошей репутацией и пообещать бонус тем, кто найдет уязвимость.
Конечно, с каждым годом криптовалюты – как Bitcoin, так и Ethereum, – становятся всё менее и менее анонимными. Рано или поздно монеты пройдут через биржу и какого-то конкретного человека. Человека, которого спросят, откуда он взял эти монеты. Существует несколько проектов, которые помогают отслеживать монеты, например: chainalysis.com.
Страшные северокорейские хакеры
Сейчас обсуждается тема хакеров, якобы состоящих на службе Северной Кореи. Их обвиняют в хищении биткоинов в пользу северокорейского бюджета. СМИ сообщают, что с 2013 по 2015 год они ежемесячно воровали биткоины на сумму около 90 000 долларов у соседа – Южной Кореи.
Вне зависимости от отношения к таким новостям, стоит знать о решении, которое может существенно снизить риски. Это использование холодного хранилища. Холодным хранилищем обычно называют кошелёк, который не имеет доступа к Интернету (например, аппаратный кошелек от trezor.io или ledgerwallet.com), поэтому его намного сложнее взломать, чем что-либо еще. Это уже, можно сказать, стандарт в области безопасности.
Для компаний – можно посоветовать использовать кошельки, требующие 2-3 подписи для осуществления транзакций. Это значит, что даже если у одного из подписантов хакеры украдут ключ, они не смогут увести деньги.
Подробнее о безопасности при организации ICO и инвестировании будут говорить участники ICO Event Moscow 20 сентября. В качестве одного из спикеров Олег Кудренко расскажет о новой парадигме инвестирования и краудфандинга.