Кризис Coinbase: Великое ограбление банка биткоинов

Доверительное управление вашими инвестициями

Рассказываем, почему многие криптовалютные биржи не справляются с обеспечением защиты денег клиентов — и можно ли что-то с этим сделать. Шон Эверетт наверняка не знал, чем для него обернется его ставка на рост криптовалют, но при этом он определенно не ждал, что все так скоро закончится.

В марте Эверетт, генеральный директор стартапа по активной разработке искусственного интеллекта, продал свои акции, в том числе Apple (NASDAQ: AAPL) и Amazon (NASDAQ: AMZN), используя при этом часть выручки, чтобы приобрести биткоины (Bitcoin) и эфиры (ETH/USD) на сайте Coinbase. Такое решение практически сразу сделало его богаче — следующие несколько недель стоимость криптовалют на основе блокчейна очень быстро росла.

Недавно Эверетт гулял с собакой, когда у него внезапно зазвонил телефон. Сотовому оператору нужно было подтвердить, что Эверетт хочет перенести свой номер телефона на другое устройство.

Эве­ретт был уве­рен, что не про­сил ни о чем по­доб­ном. Он просил аген­та за­бло­ки­ро­вать номер, но уже было позд­но. Менее чем через пять минут те­ле­фон Эве­рет­та резко пе­ре­стал ло­вить сеть. Бро­сив­шись к ком­пью­те­ру, ему стало видно, что его гра­бят прямо на гла­зах. Из уве­дом­ле­ний в элек­трон­ной почте стало понятно, что кто-то взял под свой кон­троль ак­ка­унт Gmail, а после этого до­брал­ся до ко­шель­ка Coinbase. В ко­шель­ке была на­стро­е­на двух­фак­тор­ная аутен­ти­фи­ка­ция, по­это­му для входа в си­сте­му, зло­умыш­лен­ни­ки при­сво­и­ли себе и те­ле­фон­ный номер Эве­рет­та.

Ха­ке­рам нужно было только две ми­ну­ты, чтобы ли­шить Эве­рет­та всех его циф­ро­вых денег, общей суммой на несколь­ко тысяч дол­ла­ров. Мо­же­те пред­ста­вить себе его разо­ча­ро­ва­ние, когда за несколько сле­ду­ю­щих недель курс эфира стал больше в че­ты­ре раза!

Жур­на­ли­сты Fortune встре­ти­лись с Эве­рет­том в тот же день через несколь­ко часов, как курс эфира до­стиг ре­корд­но­го уров­ня в $400. Днем ранее бит­ко­ин первый раз пре­одо­лел от­мет­ку в $3000. Эве­ретт был очень сильно рас­стро­ен: «Я же не толь­ко по­те­рял день­ги, но также не смог даже за­ра­бо­тать на росте».

Глав­ным сюр­при­зом для Эве­рет­та — и дру­гих по­клон­ни­ков бит­ко­и­на — стал факт взло­ма на Coinbase. Самая круп­ней­шая в мире биржа крип­то­ва­лют, которая рас­по­ло­жена в Сан-Фран­цис­ко, оста­ва­лось одной из ком­па­ний, чьи счета ни одного раза не по­стра­да­ли от ха­кер­ских атак. Это обес­пе­чи­ва­ло ей хорошую ре­пу­та­цию в мире блок­чей­на, где взлом оставался довольно се­рьез­ной угро­зой для боль­шин­ства ин­ве­сто­ров.

По­го­во­ри­те с любым эн­ту­зи­а­стом, очень давно ин­ве­сти­ру­ю­щим в крип­то­ва­лю­ты, — и практически на­вер­ня­ка он рас­ска­жет вам, как по­те­рял большую сумму денег на Mt. Gox, бирже, рух­нувшей в 2014 году. Это когда ха­ке­ры вы­ве­ли с ее сче­тов около 500 млн дол­ла­ров в бит­ко­и­нах. Про­шлым летом зло­умыш­лен­ни­ки укра­ли примерно 72 млн дол­ла­ров на гон­конг­ской бирже крип­то­ва­лют Bitfinex.

Од­на­ко ха­ке­ры очень долго не могли под­сту­пить­ся к Coinbase, а мно­гие счи­та­ли биржу наиболее без­опас­ным ме­стом для по­куп­ки бит­ко­и­нов. Такая ре­пу­та­ция ей по­мог­ла при­влечь около 9 млн кли­ен­тов, ко­то­рые хра­нят на ее сче­тах примерно 3 млрд дол­ла­ров в раз­ных крип­то­ва­лю­тах. Coinbase недавно при­влек­ла около 100 млн дол­ла­ров фи­нан­си­ро­ва­ния, по­вы­сив оце­ни­ва­е­мую сто­и­мость до 1,6 млрд, что сде­ла­ло ее самым пер­вым «еди­но­ро­гом» ин­ду­стрии блок­чей­на. Фред Уил­сон, вен­чур­ный ка­пи­та­лист и один из ран­них вклад­чи­ков Coinbase, го­во­рит:

«Coinbase теперь пред­ла­га­ет без­опас­ность, на­деж­ность... все то, что мы ас­со­ци­и­уем с бан­ка­ми. Он очень похож на JPMorgan или Goldman Sachs в мире блок­чей­на».

Но от­дель­ные кли­ен­ты Coinbase также стра­да­ют от ха­кер­ских атак — при этом с уди­ви­тель­ной ча­сто­той. Сам Уил­сон также столк­нул­ся с опасной угро­зой взло­ма: от­ды­хая в Ев­ро­пе, ин­ве­стор вдруг начал по­лу­чать такие же со­об­ще­ния, что нашел в своей почте Эве­ретт. Кто-то пы­тал­ся по­пасть в его ко­ше­лек на Coinbase. Уил­со­н смог во­вре­мя за­бло­ки­ро­вать ко­ше­лек, но слу­чив­ше­е­ся его за­ста­ви­ло несколь­ко пе­ре­смот­реть от­но­ше­ние к ком­па­нии.

С того времени жур­на­ли­сты Fortune по­бе­се­до­ва­ли с разными жерт­ва­ми, вклю­чая пред­при­ни­ма­те­лей из тех­но­ло­ги­че­ской сферы, а также из­вест­ных сто­рон­ни­ков блок­чей­на, у которых счета на Coinbase под­верг­лись таким же ата­кам. Еще боль­ше ин­ве­сто­ров по­стра­да­ли от дей­ствий ха­ке­ров на всех дру­гих бир­жах.

На сле­ду­ю­щий день после взло­ма Эве­рет­та ха­ке­ры увели примерно 10 тыс. дол­ла­ров со сче­тов Адама Да­чи­са, пред­при­ни­ма­те­ля из Лос-Ан­дже­ле­са. Через несколько месяцев 18 тыс. дол­ла­ров были укра­ли из ко­шель­ка Майка Ко­ста­ше, кон­суль­тан­та по блок­чей­ну. В от­дель­ные ме­ся­цы число атак на поль­зо­ва­те­лей Coinbase дошло до 30 — в сред­нем по од­но­му ограб­ле­нию в день.

Неве­зу­чие ин­ве­сто­ры на своем опыте от­кры­ва­ли фун­да­мен­таль­ный па­ра­докс блок­чей­на. Глав­ное от­ли­чие крип­то­ва­лют от  обычных денег — это мгно­вен­ные и необ­ра­ти­мые тран­зак­ции. Это важ­ное пре­иму­ще­ство — но и фа­таль­ная уяз­ви­мость. Том Ро­бин­сон, со­учре­ди­тель и глав­ный спе­ци­а­лист по дан­ным лон­дон­ской кон­сал­тин­го­вой фирмы Elliptic, го­во­рит:

«Одной из при­чин су­ще­ство­ва­ния бит­ко­и­на является то, что он устой­чив к возможному ре­гу­ли­ро­ва­нию».

Это зна­чит, что никто, даже пра­ви­тель­ство либо цен­траль­ный банк, не сможет оста­но­вить обмен циф­ро­вой ва­лю­той. Это также зна­чит, что ме­то­ды за­щи­ты от мо­шен­ни­ков, ко­то­ры­ми успеш­но поль­зу­ют­ся банки, прак­ти­че­ски не ра­бо­та­ют с блок­чей­ном. Как го­во­рит Ро­бин­сон:

«Сама воз­мож­ность от­ме­нить опе­ра­цию про­ти­во­ре­чит ос­нов­ной идее бит­ко­и­на».

Это является одной из при­чин, по ко­то­рой зло­умыш­лен­ни­ки чаще ата­ку­ют тех, кто пред­по­чи­та­ет хранить день­ги в крип­то­ва­лю­те.

За 2016 год вклад­чи­ки со­об­щи­ли в Центр при­е­ма жалоб на мо­шен­ни­че­ство в ин­тер­не­те при ФБР о 28 млн дол­ла­ров по­терь, свя­зан­ных с крип­то­ва­лю­та­ми, что более чем втрое пре­вы­ша­ет общий итог 2015 года.

При­чем этот по­ка­за­тель вклю­ча­ет толь­ко убыт­ки, о ко­то­рых доб­ро­воль­но со­об­щи­ли част­ные лица, и со­вер­шен­но не учи­ты­ва­ет круп­но­мас­штаб­ные атаки на биржи, такие как взлом Bitfinex, так что, ско­рее всего, на самом деле раз­мер ущер­ба на несколь­ко по­ряд­ков выше.

Тра­ди­ци­он­ные фи­нан­со­вые ин­сти­ту­ты не меньше стра­да­ют от ки­бер­пре­ступ­ле­ний, но что касается об­ще­го объ­е­ма средств, хра­ня­щих­ся на бан­ков­ских сче­тах, возможные убыт­ки срав­ни­тель­но неве­ли­ки. Рынок крип­то­ва­лют намного мень­ше, его общий объем при этом со­став­ля­ет около 135 млрд дол­ла­ров, и ущерб от ха­кер­ских атак ока­зы­ва­ет­ся на­мно­го выше. По дан­ным Chainalysis, за по­след­ние 12 ме­ся­цев зло­умыш­лен­ни­ки при­сво­и­ли 1% общей ры­ноч­ной сто­и­мо­сти эфира, или 225 млн дол­ла­ров. Сто­и­мость укра­ден­ных бит­ко­и­нов оце­ни­ва­ет­ся еще выше. Моран Серф, про­фес­сор биз­не­са и ней­ро­на­у­ки в школе ме­недж­мен­та Kellogg и быв­ший кор­по­ра­тив­ный хакер, го­во­рит:

«В мире фи­зи­че­ских денег у гра­би­те­ля существует всего две про­бле­мы: как украсть и как скрыть улики. Бит­ко­ин ре­ша­ет вто­рую из них, по­то­му что вы ано­ним­ны».

Но когда жерт­вы смот­рят, как их день­ги и уте­ка­ют в циф­ро­вой ко­ше­лек безы­мян­но­го незна­ком­ца, это про­бле­ма не толь­ко для Coinbase: это угро­за самой идее бит­ко­и­на.

По мере роста сто­и­мо­сти крип­то­ва­лют все боль­ше ин­ве­сто­ров по­ни­ма­ют: пре­жде чем на них за­ра­бо­тать, нужно еще ухит­рить­ся их со­хра­нить. В мае ха­ке­ры за 15 минут по­хи­ти­ли с ак­ка­ун­та Коди Бра­у­на $8000. Он го­во­рит:

«Coinbase вы­гля­дит как банк, го­во­рит как банк и при­ни­ма­ет мил­ли­о­ны дол­ла­ров как банк, но на прак­ти­ке функ­ци­о­ни­ру­ет как под­поль­ное ка­зи­но. Пока вас не огра­бят, вы не по­ни­ма­е­те, что мод­ные шриф­ты, синие гра­ди­ен­ты и бес­ко­неч­ные про­сты­ни о на­деж­но­сти ров­ным сче­том ни­че­го не зна­чат».

Coinbase всегда от­ка­зы­ва­ет­ся об­суж­дать кон­крет­ные слу­чаи, но при этом уве­ря­ет, что сможет рас­сле­довать все по­доб­ные про­ис­ше­ствия. Если бы бит­ко­ин был ре­ли­ги­ей, то ее сло­ган был бы следующим: «Будь сам себе бан­ком». Такой неофи­ци­аль­ный девиз особенно ши­ро­ко рас­про­стра­нен в сфере крип­то­ва­лют.

У бит­ко­и­на имеется ма­лень­кий гряз­ный сек­рет: хотя такой актив оли­це­тво­ря­ет тех­но­ло­ги­че­ское бу­ду­щее, управ­ле­ние им всегда от­бра­сы­ва­ет поль­зо­ва­те­ля в век тро­гло­ди­тов. Даль­но­вид­ные ин­ве­сто­ры, ко­то­рые хра­нят собственные ключи, часто при­бе­га­ют к ста­рым прак­ти­кам, чтобы их надежно за­щи­тить. Это что-то вроде хра­не­ния денег под мат­ра­сом: ключи рас­пе­ча­ты­ва­ют на листе бу­ма­ги, раз­ре­за­ют и раз­да­ют род­ствен­ни­кам, ко­то­рые не знают, как сов­ме­стить ключ об­рат­но. Файлы шиф­ру­ют, сбра­сы­ва­ют на флеш-кар­ту и за­ка­пы­ва­ют ее на зад­нем дворе. Ино­гда па­ро­ли про­сто за­по­ми­на­ют. Су­ще­ству­ет мно­же­ство таких ме­то­дов, и у каж­до­го есть свои под­вод­ные камни.

У такой га­ран­тии есть пре­де­лы. Если кли­ен­ты пе­ре­ме­ща­ют сред­ства в «го­ря­чий ко­ше­лек» на Xapo для выполнения тран­зак­ций (про­цесс за­ни­ма­ет 48 часов), счет ста­но­вит­ся таким же уяз­вимым для ха­ке­ров, как и счета Coinbase. Если говорить по-другому, то ваши крип­то­со­кро­ви­ща на­хо­дят­ся в без­опас­но­сти — пока вы не за­хо­ти­те их ис­поль­зо­вать.

1 2 3 13
Close Menu
Закрыть