Блокчейн-евангелист, спикер ICO Event Moscow, Олег Кудренко рассказывает о том, как обезопасить ICO и своё участие в ICO от хакерской атаки.

Каждый десятый биткоин и эфир с ICO уводят мошенники

Согласно отчёту Chainalysis, десятая часть инвестиций в ICO достаётся мошенникам. Если посмотреть на самые частые причины – фишинг и замену данных настоящих владельцев компаний на адреса своих кошельков, – то получается, что большинство «инвесторов» страдает по своей же глупости или неосторожности.

Порой мы просто не можем отличить, кто взломал сайт – хакеры или сами организаторы ICO. Большинство из них, увы, не очень сложно взломать. И, конечно, глупостью или несистемным мышлением сотрудников/организаторов ICO действительно часто пользуются при взломах.

Но главная сложность в другом: если от фишинговой атаки теоретически можно уберечься, то оценить проект с точки зрения технической безопасности инвестору крайне сложно. Если не сказать – никак.

Олег Кудренко: как и почему воруют деньги из ICO?

Единственное, что можно сделать, – это диверсифицировать. Притом всё: ICO, в которые вкладываете, кошельки которые используете, биржи, на которых торгуете. Понятное дело, что это отнимет время и ресурсы – однако же позволит спасти вас в случае, если хакеры найдут уязвимость в вашем кошельке.

Пример уязвимости? Есть фонд satoshi.fund. Его средства можно было украсть при помощи уязвимости, найденной хакерами. Но, к счастью, фонду повезло: их деньги вывели себе «белые шляпы» и позже им вернули. Однако пару недель они были в подвешенном состоянии и это были не самые лучшие недели в их жизни. Но кейсов много – есть где покопаться.

Нападений будет больше. Законы? Пфф…

Если прогнозировать на год-два вперёд, то количество нападений увеличится – так как это лёгкие деньги для хакеров. Их легко вывести. Также вырастут стандарты защиты и решения по защите. Возможно, на рынок выйдут крупные площадки, у которых будет больше ресурсов для того, чтобы организовать защиту и выступить как некий сервис. Кроме того, на рынок могут выйти компании, которые смогут страховать от взлома.

Что касается законодательства, то оно не очень-то пугает хакеров. Есть регионы, которые развиваются в этой плоскости. Время от времени мы читаем статьи, как ФБР находит участников взломов двух- или трёхлетней давности. Количество раскрытых киберпреступлений со временем будет расти. С другой стороны, наказание происходит не моментально, а с отсрочкой в пару лет, так что это развязывает хакерам руки.

Человеческий фактор и работа с персоналом

Недавно в ходе pre-ICO Enigma Catalyst злоумышленники похитили около 500 000 долларов, уведённых на ложный ETH-кошелек. Была задействована масштабная фишинговая атака на адреса сотрудников проекта. 

В сфере защиты информации стандарты давно выработаны – однако мы должны понимать, что ICO – это «гаражные стартапы», и мы не всегда можем надеяться, что стандарты будут соответствовать той скорости, с которой появляются проекты.

Но некоторые меры всё-таки можно предпринять, если вы стартап и решили себя защитить от хакеров. Как минимум – посмотреть, что требуют для сертификации PCI DSS.

Что ещё важно:

  • инструкция по приёму сотрудника, чек-лист;

  • инструкция по увольнению сотрудника, чек-лист;

  • сканирование открытых портов;

  • все внутренние ресурсы через VPN на несуществующий домен;

  • внутренняя контролируемая почта;

  • сенситив-данные через сенситив-каналы коммуникации: Xmpp + otr;

  • двухфакторная авторизация везде;

  • ограничивать доступ к серверам и информацию о том, где находятся сервера;

  • прятать сервера, например, за Cloudflare.

Помогает поставить себя на место хакера и подумать: как бы вы взломали своё ICO. Возможно, так вы сами найдёте пару уязвимостей. Или заплатить за аудит кода игрокам с хорошей репутацией и пообещать бонус тем, кто найдет уязвимость.

Конечно, с каждым годом криптовалюты – как Bitcoin, так и Ethereum, – становятся всё менее и менее анонимными. Рано или поздно монеты пройдут через биржу и какого-то конкретного человека. Человека, которого спросят, откуда он взял эти монеты. Существует несколько проектов, которые помогают отслеживать монеты, например: chainalysis.com.

Страшные северокорейские хакеры

Сейчас обсуждается тема хакеров, якобы состоящих на службе Северной Кореи. Их обвиняют в хищении биткоинов в пользу северокорейского бюджета. СМИ сообщают, что с 2013 по 2015 год они ежемесячно воровали биткоины на сумму около 90 000 долларов у соседа – Южной Кореи.

Вне зависимости от отношения к таким новостям, стоит знать о решении, которое может существенно снизить риски. Это использование холодного хранилища. Холодным хранилищем обычно называют кошелёк, который не имеет доступа к Интернету (например, аппаратный кошелек от trezor.io или ledgerwallet.com), поэтому его намного сложнее взломать, чем что-либо еще. Это уже, можно сказать, стандарт в области безопасности.

Для компаний – можно посоветовать использовать кошельки, требующие 2-3 подписи для осуществления транзакций. Это значит, что даже если у одного из подписантов хакеры украдут ключ, они не смогут увести деньги.  

Подробнее о безопасности при организации ICO и инвестировании будут говорить участники ICO Event Moscow 20 сентября. В качестве одного из спикеров Олег Кудренко расскажет о новой парадигме инвестирования и краудфандинга.