3 powody, dla których giełdy kryptowalut są podatne na włamania i ataki
Giełdy kryptowalut obsługują ogromne ilości pieniędzy. Problem z całym tym tomem polega na tym, że jest atrakcyjny dla wszystkich niewłaściwych ludzi. Nikczemni ludzie. Ludzi, którzy chcą wziąć te pieniądze dla siebie.
Giełdy kryptowalut mierzą się z najgorszym, a hakowanie i kradzież kryptowalut jest bardzo interesujące. Niestety giełdy kryptowalut mają luki, które można wykorzystać. Oto kilka powodów, dla których giełdy kryptowalut pozostają podatne na oszustwa, oszustwa, włamania i ataki.
Powód 1: Ogromne zasoby kryptowalut
Głównym i najbardziej oczywistym powodem jest wspomniany tom. Wykorzystanie tego jako punktu jest trochę wykrętem, ponieważ obejmuje wszystkie inne powody. Złodzieje chcą żetonów i chcą ich teraz.
Ale poświęć chwilę, aby pomyśleć o skali tego, co napastnik próbuje dostać w swoje ręce.
Każda wymiana ma gorący portfel. Gorący portfel (lub portfel internetowy) przetwarza transakcje na giełdzie bez konieczności przenoszenia walut tam iz powrotem między zimnymi portfelami offline. Jednak gorący portfel jest jedną z głównych atrakcji ataku. W dowolnym momencie giełda może mieć setki milionów dolarów w kryptowalutach, które znajdują się w gorącym portfelu. W grudniu 2017 roku Bittrex skończył 4 miliardy dolarów siedząc w jednym portfelu. Pozwól temu na chwilę się pogłębić.
Bittrex nie jest sam. Wszystkie giełdy mają gorące portfele. A grudzień 2017 roku był szczególnie intensywnym okresem handlowym. Ale tokenów o wartości czterech miliardów dolarów chronionych jednym kluczem prywatnym? Jest to niezwykle ryzykowne.
Istnieją również wybitne przykłady:
- Bithumb. W czerwcu 2018 r. Giełda południowokoreańska straciła 35 miliardów wonów koreańskich (około 31,5 miliona dolarów) w tokenach.
- Coinrail. Kolejna południowokoreańska giełda Coinrail straciła około 40 miliardów koreańskich wonów (około 35 milionów dolarów) w tokenach, również w czerwcu 2018 roku.
- Coincheck. W styczniu 2018 roku japońska giełda Coincheck straciła 523 miliony monet NEM o wartości około 534 milionów dolarów.
- Zaif. Inna japońska giełda, Zaif, straciła około 60 milionów dolarów w bitcoinach, bitcoin cash i MonaCoin we wrześniu 2018 roku.
- Bitstamp. Firma Bitstamp z siedzibą w Luksemburgu straciła 18 866 BTC w styczniu 2015 r., O wartości około 5,1 miliona dolarów.
To tylko pięć przykładów włamania do portfela na gorąco. Istnieje niezliczona ilość innych przypadków włamań do wymiany kryptowalut.
Powód 2: błędy ludzkie
Giełdy kryptowalut nie są autonomiczne. Za kulisami, podobnie jak w przypadku każdej większej witryny internetowej, istnieje dedykowany zespół, który pracuje nad utrzymaniem porządku. W większości działa to dobrze. Jednak ludzie są omylni. Niestety w świecie kryptowalut błędy są surowo karane. Ponadto atakujący może łatwo wysyłać spam lub wiadomości phishingowe w nadziei, że zostanie trafiony.
Weź hack Bitstamp z ostatniej sekcji. Bitstamp początkowo milczał na temat włamania, ale wyciekły dokument rzucić światło na wydarzenia. W ciągu kilku tygodni hakerzy wysłali serię e-maili typu spear phishing do sześciu pracowników Bitstamp. Atakujący przeprowadzili weryfikację pracowników, nakłonili ich przez Skype i ostatecznie udało im się przekonać administratora systemu Bitstamp do pobrania dokumentu Worda.
Dokument Word zawierał zasłonięty skrypt Visual Basic for Applications (VBA), który pobierał złośliwy plik i włamał się do maszyny sys-admins. Po przejęciu atakujący miał dostęp do głównych serwerów gorącego portfela Bitstamp, w tym do haseł.
„4 stycznia napastnik opróżnił portfel Bitstamp, o czym świadczy blockchain. Chociaż maksymalna zawartość tego portfela wynosiła 5000 bitcoinów w dowolnym momencie, atakujący był w stanie ukraść ponad 18 000 bitcoinów w ciągu dnia, ponieważ klienci dokonywali kolejnych depozytów ”.
Nic dziwnego, że w ciągu ostatnich ośmiu lat zhakowano około 31 giełd kryptowalut, przy czym strata wyniosła ponad 1,3 miliarda dolarów.
Powód 3: Wady infrastruktury
Błędy ludzkie mogą również powodować inne luki w zabezpieczeniach. Jeśli atakujący nie atakuje pracowników, można się założyć, że zamiast tego atakują luki w infrastrukturze witryny.
Plik Raport bezpieczeństwa ICO Rating Exchange identyfikuje cztery obszary, w których giełdy kryptowalut są podatne na ataki:
- Błędy konsoli
- Bezpieczeństwo konta użytkownika
- Rejestrator i bezpieczeństwo domeny
- Bezpieczeństwo protokołów internetowych
Błędy konsoli
Błędy w podstawowym kodzie wymiany nie są automatycznie krytyczne, ale zależą od wagi błędu. Na przykład masowy hack DAO był prawie całkowicie spowodowany luką w kodzie. Hakerzy ukradli Ethereum o wartości ponad 50 milionów dolarów.
Raport ICO Rating szacuje, że 68% zbadanych giełd nie zawiera żadnych błędów. A co z pozostałymi 32%? To zależy od rodzaju luki w kodzie. Ponadto, czy jakiekolwiek złośliwe strony wiedzą o luce w zabezpieczeniach i czy jej wykorzystanie jest opłacalne.
Bezpieczeństwo konta użytkownika
Prawdopodobnie myślisz „Bezpieczeństwo indywidualnych kont użytkowników końcowych nie jest wielkim problemem”. W pewnym sensie masz rację. Bezpieczeństwo kont użytkowników końcowych jest ważne, ale nie jest krytyczne dla bezpieczeństwa wymiany.
Konta pracowników na giełdzie to inna sprawa. Bezpieczeństwo kont użytkowników dla pracowników giełdy kryptowalut musi być silne i spójne. Chcę myśleć, że wszystkie giełdy kryptowalut są mentorami dla pracowników w zakresie bezpieczeństwa konta (silne hasło jednorazowe, więcej niż osiem znaków, kombinacja znaków i symboli itd.).
Rejestrator i bezpieczeństwo domeny
W badaniu zbadano luki w giełdach związane z rejestratorem witryny i domeną. Zidentyfikowano pięć różnych potencjalnych luk w zabezpieczeniach:
- Registry Lock. Blokada rejestru to specjalna flaga w rejestrze, która uniemożliwia każdemu wprowadzanie zmian w Twojej domenie.
- Registrar Lock. W odróżnieniu od „blokady rejestru”, blokada rejestratora zapobiega przejęciu domeny, łącząc zabezpieczenia i uwierzytelnianie przed zezwoleniem na zmiany w rejestrze.
- Konta ról. Konto roli zapobiega wyciekowi prywatnych informacji znalezionych przez rejestr. Teoretycznie utrudnia to znalezienie osób powiązanych z rejestrem domen, a tym samym utrudnia atakującym namierzenie.
- Wygaśnięcie. Wygaśnięcie domeny jest zaskakująco częste (pamiętasz, kiedy Google przypadkowo pozwolił swojej domenie wygasnąć, a ktoś rzucił się na nią?).
- DNSSEC. DNSSEC (Domain Name System Security Extensions) to zestaw narzędzi chroniących przed atakami DNS. DNSSEC uwierzytelnia wszystkie zapytania DNS za pomocą podpisu kryptograficznego, odrzucając nieautoryzowane wpisy i odpowiedzi DNS.
Bezpieczeństwo protokołów internetowych
Ostatnim wektorem ataku jest bezpieczeństwo protokołu internetowego. Atakujący są biegli w wykorzystywaniu luk w zabezpieczeniach internetowych. Rzeczywiście, niektóre z największych ataków wynikają z najczęściej występujących luk w zabezpieczeniach. Raport testował bezpieczeństwo protokołu wymiany przy użyciu https://www.htbridge.com/websec/, ocena, czy obecnych jest pięć następujących nagłówków zabezpieczeń:
- Ścisłe bezpieczeństwo transportu. Nagłówek HTTP-Strict-Transport-Security (HSTS) wymusza na sesjach przeglądarki korzystanie z protokołu HTTPS.
- Ochrona X-XSS. Nagłówek X-XSS-Protection określa, w jaki sposób witryna chroni przed skryptami między witrynami i związanymi z nimi lukami w zabezpieczeniach.
- Polityka bezpieczeństwa treści. Nagłówek Content-Security-Policy (CSP) umożliwia definiowanie dozwolonych źródeł określonych typów treści, pomagając chronić przed atakami XSS i innymi atakami polegającymi na wstrzykiwaniu kodu. Ponadto CSP definiuje pewne zachowania bezpieczeństwa przeglądarki, takie jak użycie środowiska piaskownicy podczas sesji.
- Opcje X-Frame. Nagłówek X-Frame-Options określa, czy witryna pozwala sobie na umieszczenie w ramce. Blokowanie ramek zatrzymuje ataki, takie jak przechwytywanie kliknięć i złośliwe reklamy.
- X-Content-Type-Options. Nagłówek X-Content-Type-Options chroni również przed atakami XSS i wstrzyknięciem kodu, wyłączając podsłuchiwanie treści, zapewniając jednocześnie, że zawartość jest definiowana i kontrolowana przez nagłówek.
Raport ICO Rating wskazuje, że 29 procent zbadanych giełd kryptowalut nie miało żadnego z powyższych nagłówków bezpieczeństwa.
Wyzwania bezpieczeństwa związane z wymianą kryptowalut
Oczywiste jest, że giełdy kryptowalut mają wiele wad. Widzisz również skalę problemów, z jakimi borykają się giełdy. Rosnąca baza użytkowników zwiększa zasoby giełdowe, co z kolei sprawia, że giełda staje się bardziej atrakcyjnym celem. Należy również wziąć pod uwagę witryny, które szybko się rozwijają i odpowiednio zwiększają praktyki bezpieczeństwa.
Giełdy kryptowalut nie są wyjątkowe. Nie są to unikalne witryny ze specjalistycznymi protokołami. Giełda kryptograficzna korzysta z tych samych protokołów bezpieczeństwa, co reszta Internetu. Podobnie jak reszta Internetu, wymiana jest tak silna, jak implementacja zabezpieczeń. Jeśli projektant witryny nie jest w stanie sprostać wymaganiom, giełda i jej użytkownicy z pewnością będą się nieźle bawić.
Najlepszą praktyką jest usunięcie kryptowaluty z potencjalnie podatnej na ataki giełdy i przechowywanie jej w bezpiecznym portfelu offline..