Криптобиржи активно развиваются, наращивают обороты, но статистика успешных кибератак свидетельствует: горячие кошельки и приватные ключи от них защищаются платформами недостаточно серьёзно. Хотя доходы крупных бирж позволяют содержать штат грамотных специалистов по безопасности, некоторые задумываются об этом слишком поздно. А кого-то даже сами сотрудники умудряются обворовать после увольнения. Предлагаем вспомнить все случаи, произошедшие в первой половине 2019 года, и сделать выводы.

Cryptopia (Новая Зеландия)

Дата инцидента: 14 января.
Причина: брешь в системе безопасности, через которую хакеры завладели доступом к кошелькам.
Что похитили: 29,2 тысячи ETH, 24,4 миллиарда DCN, 3,8 миллиона PRL, 15,4 миллиона LML, 48,2 миллиона CENNZ и ещё 93 вида токенов стандарта ERC-20.
Сумма ущерба: 16 миллионов USD.
Куда переводили похищенное: Bibox, Binance, EtherDelta, Huobi, KuCoin.

Действия Cryptopia:

1. Остановка работы всех сервисов.
2. Переход на внеплановое обслуживание.
3. Обращение в местную полицию.
4. Возобновление работы в марте.

Последствия:

• В мае биржа прекратила деятельность и объявила о закрытии.
• Компания Grant Thornton занялась её ликвидацией.
• Аудиторы подготовили 4,7 миллиона USD для возмещения пострадавшим клиентам только в декабре.

DragonEx (Сингапур)

Дата инцидента: 24 марта.
Причина: развитая устойчивая угроза (целевая кибератака), в результате которой хакеры украли активы пользователей и биржи.
Что похитили: 19 видов монет (BTC, ETH, LTC, BCH, XRP и ещё 14 разных альткоинов) и стейблкоин USDT.
Сумма ущерба: 7,1 миллиона USD.
Куда переводили похищенное: Binance, Bittrex, Huobi, Gate.io.

Действия DragonEx:

1. Временное отключение для технического обслуживания.
2. Объявление о взломе.
3. Уведомление полицейских служб 4 стран.
4. Обещание возместить средства пострадавшим пользователям.

Последствия:

• Часть криптовалют удалось вернуть благодаря содействию других бирж, которые заблокировали поступления от хакеров.
• Пользователи получили компенсацию в токенах DT (на 90%) и USDT (на 10%).

Bithumb (Южная Корея)

Дата инцидента: 30 марта.
Причина: кража приватных ключей бывшими работниками.
Что похитили: 3 миллиона EOS и 20 миллионов XRP.
Сумма ущерба: 18,7 миллиона USD.
Куда переводили похищенное: Binance, BW.com, Changelly, ChangeNOW, CoinSwitch, EXMO, HitBTC, Huobi, KuCoin.

Действия Bithumb:

1. Обнаружение аномальных выводов криптовалют.
2. Приостановка ввода и вывода средств для всех.
3. Обращение в местную полицию и Корейское агентство по Интернету и безопасности.
4. Возобновление пополнения и снятия через две недели.

Последствия:

• Пользователи не пострадали, биржа лишилась только собственных активов.
• Большинство бирж заблокировали полученные от воров монеты и вернули их Bithumb.
• Прокуратура предъявила компании иск за старые грехи — утечку клиентских данных в июне 2017 года.

Binance (Мальта)

Дата инцидента: 7 мая.
Причина: брешь в системе безопасности, через которую хакеры завладели одним горячим кошельком.
Что похитили: 7 тысяч BTC.
Сумма ущерба: 40 миллионов USD.
Куда переводили похищенное: в мае-июне мелкими партиями отмывали через биткоин-миксеры, включая ChipMixer; в июле сбывали на биржах Bitfinex, BitMarket, KuCoin, Kuna.

Действия Binance:

1. Приостановка ввода и вывода средств.
2. Проведение аудита и обновление системы безопасности.
3. Возобновление пополнения и снятия через неделю.
4. Добавление U2F для аутентификации с помощью аппаратных кошельков.
5. Покрытие убытков за счёт собственного резерва и фонда SAFU.

Последствия:

• Джастин Сан предложил пополнить депозит 40 миллионами USDT в качестве поддержки.
• Джон Макафи предложил помощь в обеспечении кибербезопасности.
• Компания Ledger удвоила продажи аппаратных кошельков.
• Биржа OKEx запустила акцию «Переходите к нам» — бонус 10 USDT за уход к ним от скомпрометированной биржи.
• Шантажист Bnatov Platon потребовал 300 BTC за якобы похищенные во время взлома данные пользователей, прошедших верификацию KYC; Binance не заплатила — данные слили в телеграм-чаты, но они оказались устаревшими и не имеющими отношения к этой бирже.

История повторяется

Из перечисленных криптобирж только DragonEx взломали впервые за их историю существования. Остальные уже имеют печальный опыт.

Cryptopia однажды уже лишилась 15,7 тысячи монет AU (~571 тысяча USD) в результате атаки 51% на AurumCoin, проведённой в ноябре 2018 года. А до этого, в феврале 2018 года, новозеландский банк прекратил обслуживать её счёт, из-за чего пришлось отключить операции с фиатными средствами. Возможно, все эти неудачи помешали компании выжить.

Bithumb подверглась уже третьему взлому. В первый раз (в июне 2017 года) хакеры взломали компьютер сотрудника биржи и украли пользовательские данные. Завладев информацией, они занялись уже мошенничеством — с помощью голосового фишинга выманили у клиентов биткоины на 1,5 миллиона USD. Во второй раз (в июне 2018 года) с биржи украли 11 разных криптовалют на сумму 31 миллион USD.

Binance тоже не впервые была атакована. Правда, первая попытка (в марте 2018 года) не увенчалась успехом — система управления рисками обнаружила странную торговую активность и вовремя пресекла вывод средств злоумышленниками. За их поимку компания даже объявила вознаграждение — 250 тысяч USD (только в токенах BNB). А ещё Binance создала специальный фонд с 10 миллионами USD для предотвращения будущих атак и розыска их виновников.

Стоит отметить, что криптосообщество и большинство платформ-конкурентов не отстраняются от проблем, возникающих у пострадавших бирж. Участники рынка обмениваются информацией и отслеживают перемещения ворованных монет с помощью анализа блокчейна, чтобы пресечь их обналичивание.