3 dôvody, prečo sú krypto burzy zraniteľné voči hackerom a útokom
Burzy kryptomeny vybavujú obrovské objemy peňazí. Problém so všetkým tým objemom je, že je atraktívny pre všetky zlé typy ľudí. Škodliví ľudia. Ľudia, ktorí si chcú tieto peniaze vziať pre seba.
Kryptoburzy sú proti najhoršiemu a o hackerstvo a krádež kryptomeny je veľký záujem. Kryptoburzy majú, bohužiaľ, slabé miesta, ktoré je možné zneužiť. Tu je niekoľko dôvodov, prečo sú kryptoburzy zraniteľné voči podvodom, podvodom, hackerom a útokom.
Dôvod 1: Obrovské podiely kryptomeny
Hlavným a najzrejmejším dôvodom je spomínaný objem. Je to trochu policajt, ktorý to používa ako bod, pretože to pokrýva všetky ostatné dôvody. Zlodeji chcú žetóny a oni ich chcú hneď.
Venujte však chvíľu času premýšľaniu o rozsahu toho, čo sa útočník snaží dostať do rúk.
Každá burza má horúcu peňaženku. Horúca peňaženka (alebo online peňaženka) spracováva transakcie na burze bez toho, aby ste museli presúvať meny tam a späť medzi offline studenými peňaženkami. Horúca peňaženka je však jedným z primárnych lákadiel pre útok. Na burze môže byť kedykoľvek možné, aby kryptomeny sedeli v horúcej peňaženke stovky miliónov dolárov. V decembri 2017 mal Bittrex koniec 4 miliardy dolárov sediaci v jednej peňaženke. Nechajte to na chvíľu zapadnúť.
Bittrex nie je sám. Všetky burzy majú horúce peňaženky. A december 2017 bol obzvlášť intenzívnym obchodovacím obdobím. Ale tokeny v hodnote štyroch miliárd dolárov chránené jediným súkromným kľúčom? Je to neuveriteľne riskantné.
Existujú aj prominentné príklady:
- Bithumb. Juhokórejská burza stratila v júni 2018 na tokenoch 35 miliárd kórejských wonov (okolo 31,5 milióna dolárov).
- Coinrail. Ďalšia juhokórejská burza Coinrail tiež v júni 2018 stratila okolo 40 miliárd kórejských wonov (okolo 35 miliónov dolárov) v tokenoch.
- Coincheck. Japonská burza Coincheck stratila v januári 2018 523 miliónov mincí NEM, v tom čase v hodnote okolo 534 miliónov dolárov.
- Zaif. Ďalšia japonská burza Zaif stratila v septembri 2018 asi 60 miliónov dolárov v bitcoinoch, bitcoin hotovosti a MonaCoine.
- Bitstamp. Luxemburská spoločnosť Bitstamp stratila v januári 2015 18 866 BTC, v tom čase to bolo zhruba 5,1 milióna dolárov.
Je to iba päť príkladov zaseknutia horúcej peňaženky. Existuje nespočetné množstvo ďalších prípadov hackerov kryptomeny.
Dôvod 2: Ľudské chyby
Kryptoburzy nie sú autonómne. V zákulisí a ako každá veľká webová stránka, aj tu pracuje oddaný tím pracujúci na tom, aby veci neustále tikali. Z väčšej časti to funguje dobre. Ľudia sú však omylní. Je smutné, že v kryptosvete sú chyby veľmi trestané. Okrem toho je pre útočníka ľahké rozosielať spam alebo phishingové e-maily v nádeji, že ho niekto zasiahne.
Vezmite si hack Bitstamp z poslednej časti. Bitstamp spočiatku o hacknutí mlčal, ale uniknutý dokument osvetliť udalosti. Hackeri v priebehu niekoľkých týždňov poslali šiestim zamestnancom Bitstampu sériu e-mailov s phishingom. Útočníci absolvovali kontroly na pozadí zamestnancov, vyžiadali si ich cez Skype a nakoniec sa im podarilo presvedčiť správcu systému Bitstamp, aby si stiahli dokument vo formáte Word.
Dokument Word obsahoval skrytý skript jazyka Visual Basic for Applications (VBA), ktorý stiahol škodlivý súbor a ohrozil počítač sys-admins. Po napadnutí mal útočník prístup k hlavným serverom horúcej peňaženky Bitstamp vrátane prístupových fráz.
“4. januára útočník vyčerpal peňaženku Bitstamp, čo dokazuje blockchain.” Aj keď maximálny obsah tejto peňaženky bol súčasne 5 000 bitcoinov, útočník dokázal počas dňa ukradnúť viac ako 18 000 bitcoinov, pretože zákazníci uskutočňovali ďalšie vklady. “
Nie je žiadnym prekvapením, že za posledných osem rokov bolo napadnutých okolo 31 kryptobúrz so stratou viac ako 1,3 miliardy dolárov.
Dôvod 3: Chyby v infraštruktúre
Ľudské chyby môžu spôsobiť aj ďalšie zraniteľnosti. Ak útočník nezameriava zamestnancov, môžete sa staviť, že sa zameriavajú skôr na slabé miesta v infraštruktúre webových stránok.
The Správa o bezpečnosti výmeny ICO identifikuje štyri oblasti, v ktorých sú burzy kryptomeny zraniteľné:
- Chyby konzoly
- Zabezpečenie používateľských účtov
- Zabezpečenie registrátorov a domén
- Zabezpečenie webových protokolov
Chyby konzoly
Chyby v podkladovom výmennom kóde nie sú automaticky kritické, ale závisia od závažnosti chyby. Napríklad masívny hacker DAO bol takmer úplne závislý od zraniteľnosti kódu. Hackeri ukradli Ethereum v hodnote viac ako 50 miliónov dolárov.
Správa ICO Rating odhaduje, že 68% skúmaných búrz nemá vôbec žiadne chyby. A čo ďalších 32%? To závisí od typu zraniteľnosti kódu. Navyše, či nejaké škodlivé strany vedia o zraniteľnosti a je výhodné ich zneužiť.
Zabezpečenie používateľských účtov
Pravdepodobne si myslíte, že „zabezpečenie individuálneho účtu koncového používateľa nie je veľkým problémom.“ Do istej miery máš pravdu. Zabezpečenie účtu koncového používateľa je dôležité, ale nie kritické na zabezpečenie výmeny.
Výmena zamestnaneckých účtov je iná vec. Zabezpečenie používateľských účtov pre zamestnancov kryptoburzy musí byť silné a konzistentné. Chcem si myslieť, že všetky kryptoburzy mentorujú zamestnancov pre bezpečnosť účtov (silné jednorazové heslo, viac ako osem znakov, kombinácia znakov a symbolov atď.).
Zabezpečenie registrátorov a domén
Štúdia skúmala chyby zabezpečenia týkajúce sa výmeny spojené s registrátorom stránky a doménou. Identifikovala päť rôznych potenciálnych zraniteľností:
- Uzamknutie registra. Zámok registra je špeciálny príznak v registri, ktorý zabráni komukoľvek vykonávať zmeny vo vašej doméne.
- Registračný zámok. Líši sa od „zámku registra“, zámok registrátora zabraňuje únosu domény spojením zabezpečenia a autentifikácie pred povolením zmien v registri.
- Účty rolí. Účet role zabraňuje úniku súkromných informácií nájdených prostredníctvom registra. Teoreticky je ťažké nájsť jednotlivcov prepojených s registrom domén, a tak je pre útočníkov ťažšie ich zamerať.
- Expirácia. Vypršanie platnosti domény je prekvapivo bežné (pamätáte, keď Google nechal nechtiac vypršať platnosť ich domény a niekto sa na ňu vrhol?).
- DNSSEC. DNSSEC (Domain Name System Security Extensions) je sada nástrojov na ochranu pred útokmi DNS. DNSSEC autentizuje všetky dotazy DNS kryptografickým podpisom a odmieta neautorizované záznamy a odpovede DNS.
Zabezpečenie webových protokolov
Konečným vektorom útoku je bezpečnosť webového protokolu. Útočníci sú zbehlí vo využívaní webových zraniteľností. Niektoré z najväčších útokov v skutočnosti pramenia z najbežnejších zraniteľností. Správa testovala zabezpečenie protokolu výmeny pomocou https://www.htbridge.com/websec/, posúdenie, či je prítomných týchto päť hlavičiek zabezpečenia:
- Prísna bezpečnosť prepravy. Hlavička HTTP-Strict-Transport-Security (HSTS) núti relácie prehliadača používať HTTPS.
- Ochrana X-XSS. Hlavička X-XSS-Protection definuje, ako web chráni pred skriptovaním medzi servermi a zraniteľnosťami, ktoré s ním sú spojené..
- Politika zabezpečenia obsahu. Hlavička Content-Security-Policy (CSP) umožňuje definovať povolené zdroje konkrétnych typov obsahu a pomáha tak brániť sa pred útokmi XSS a inými vkladaním kódu. CSP ďalej definuje niektoré bezpečnostné správanie prehliadača, napríklad použitie prostredia karantény pre danú reláciu.
- Doplnky X-Frame. Hlavička X-Frame-Options definuje, či sa web nechá rámovať. Blokovanie rámcov zastaví útoky, ako je clickjacking a škodlivá reklama.
- Možnosti obsahu typu X. Hlavička X-Content-Type-Options tiež chráni pred útokmi XSS a vstrekovaním kódu deaktiváciou čuchania obsahu a zároveň zaisťuje, že obsah je definovaný a riadený hlavičkou.
Správa ICO Rating naznačuje, že 29 percent skúmaných kryptobúrz nemalo žiadne z vyššie uvedených hlavičiek zabezpečenia.
Výzvy na zabezpečenie kryptomeny
Je zrejmé, že burzy kryptomien majú početné chyby. Vidíte tiež rozsah problémov, ktorým čelia výmeny. Rastúca užívateľská základňa zvyšuje držbu burzy a zase robí burzu príťažlivejším cieľom. Je potrebné brať ohľad aj na weby, ktoré zažívajú rýchly rast a podľa toho rozširujú bezpečnostné postupy.
Kryptoburzy nie sú zvláštne. Nejde o jedinečné webové stránky so špecializovanými protokolmi. Kryptoburza používa rovnaké bezpečnostné protokoly ako zvyšok internetu. A tak ako zvyšok internetu, aj tu je burza rovnako silná ako implementácia zabezpečenia. Ak návrhár stránok nie je na škodu, burza a jej používatelia budú mať zlý čas.
Osvedčeným postupom je odstránenie kryptomeny z potenciálne zraniteľnej burzy a jej uloženie do zabezpečenej offline studenej peňaženky.