Как не стать следующей жертвой криптовзлома

Холодное хранение — не гарант безопасности криптовалют

Если компания хранит активы на холодных* кошельках, это вовсе не означает, что с ними ничего не произойдет. Это отлично показала ситуация со взломом одной из крупнейших криптобирж ByBit на $1,4 млрд.

21 февраля злоумышленники взломали и вывели с холодного кошелька биржи криптовалюту Ethereum (ETH) и LST-токены. Сам инцидент стал одним из крупнейших взломов в криптоиндустрии.

До инцидента с биржей ByBit злоумышленники взламывали преимущественно "горячие"** кошельки торговых площадок. Примером такого взлома стала кража криптовалюты на сумму $534 млн в токенах NEM у японской криптобиржи Coincheck в 2018 году. Уязвимость Coincheck была вызвана тем, что криптобиржа хранила существенную часть средств как раз на горячих кошельках.

Аналогично, взлом еще одной крупной биржи KuCoin в 2020 году на сумму более $280 млн был вызван компрометацией горячих кошельков. Однако в результате оперативных действий сотрудников удалось вернуть $204 млн из украденной суммы.

Однако хранение цифровых активов на холодных кошельках не гарантирует полную безопасность криптовалют из-за человеческого фактора. Во многих инцидентах безопасности именно сами пользователи служат уязвимым звеном.

В случае с биржей ByBit сотрудники вывели средства на неидентифицированный мошеннический кошелек, который не вызвал у них подозрений. Злоумышленники провели комбинированную атаку при помощи фишинга, вредоносного ПО и методов социальной инженерии (СИ), направленных на обман сотрудников ByBit.

* К "холодным" относят аппаратные или офлайн-кошельки, не подключенные к интернету и потому защищенные от онлайн-угроз, включая фишинг, взломы и вредоносное ПО. Холодные кошельки чаще всего реализуются в виде аппаратных устройств, которые хранят приватные ключи в изолированной среде и подписывают транзакции офлайн. В организациях применяются офлайн-компьютеры без подключения к интернету, предназначенные для безопасного хранения кошельков. Кроме того, возможен вариант хранения зашифрованных ключей на съемных носителях, таких как USB.

** К "горячим" относят все программные кошельки, постоянно подключенные к интернету и уязвимые к онлайн-атакам, таким как фишинг и вредоносное ПО.

Безопасность криптовалют — это личная ответственность пользователей

По данным аналитиков, за 2024 год из-за взломов и скама было похищено свыше $3 млрд и около 29% этой суммы или ~$834 млн были украдены в результате мошеннических действий.

Это означает, что пользователям необходимо в первую очередь полагаться на самостоятельную защиту личных цифровых активов вместо доверия централизованным платформам.

Эксперты рекомендуют большую часть цифровых активов хранить в некастодиальных (личных) криптокошельках — холодных или горячих. А криптобиржи использовать только в случае необходимости. Дополнительной мерой защиты будет распределение активов между несколькими площадками.

Для долгосрочного хранения, когда цифровые активы не используются в течение длительного времени (нескольких месяцев или даже лет), лучше всего подходят холодные кошельки, защищенные от онлайн-атак. Горячие кошельки нужны для быстрого доступа к цифровым активам, например, с ноутбука или смартфона.

Эти меры помогут предотвратить утечки seed-фразы и снизить риски от онлайн-атак злоумышленников.

Внутренние угрозы не являются исключением

Не стоит забывать, что существуют не только внешние угрозы площадок. Риски также могут возникать из-за действий бывших сотрудников бирж, имеющих доступ к системам площадки, а также инсайдеров.

Например, в ноябре 2022 года на фоне объявления о банкротстве одной из крупнейших на тот момент криптобирж FTX неизвестный хакер похитил $477 млн в криптовалюте. По мнению экспертов по безопасности, за хищением стоял сотрудник самой криптобиржи, однако установить его личность до сих пор не удалось.

В аналогичных инцидентах, например в случае с биржей BitMart в 2021 году, утечка приватных ключей была связана с внутренними нарушениями протоколов доступа.

Еще один заметный случай: в 2018 году сотрудники индийской криптобиржи Coinsecure подозревались в хищении 438 биткоинов (на тот момент ~$3,5 млн). Генеральный директор утверждал, что доступ к приватным ключам имел только один технический директор, который позже исчез.

Для минимизации подобных рисков компании внедряют системы управления привилегиями (PAM), журналирование действий и регулярный аудит внутренних процессов. Кроме того, применяется принцип "нулевого доверия" (Zero Trust), при котором каждый доступ требует верификации, независимо от положения сотрудника.