Кризис Coinbase: Великое ограбление банка биткоинов
Главная Аналитика, Криптовалюты, Криптоинвестиции
Горячая тема
23 августа 2017 г.
5266 5k

Рассказываем, почему криптовалютные биржи не справляются с защитой денег клиентов — и можно ли с этим что-то сделать.

Шон Эверетт не знал наверняка, чем для него обернется его ставка на рост криптовалют — но он определенно не ждал, что все закончится так скоро.

В марте Эверетт, генеральный директор стартапа по разработке искусственного интеллекта, продал все свои акции, в том числе Apple (NASDAQ: AAPL) и Amazon (NASDAQ: AMZN), и использовал часть выручки, чтобы купить биткоины (Bitcoin) и эфиры (ETH/USD) на сайте Coinbase. Это решение практически вмиг сделало его богаче — следующие несколько недель стоимость криптовалют на основе блокчейна росла экспоненциально.

Вечером в среду 17 мая Эверетт гулял с собакой, когда внезапно у него зазвонил телефон. Сотовый оператор хотел подтвердить, что Эверетт переносит свой номер телефона на другое устройство.

Эверетт был уверен, что не просил ни о чем подобном. Он умолял агента заблокировать номер, но было уже слишком поздно. Менее чем через пять минут телефон Эверетта внезапно перестал ловить сеть. Бросившись к компьютеру, он увидел, что его грабят — прямо у него на глазах. Из уведомлений в электронной почте было ясно, что кто-то взял под свой контроль его аккаунт Gmail, а затем добрался и до кошелька Coinbase. В кошельке была настроена двухфакторная аутентификация, поэтому, чтобы войти в систему, злоумышленники присвоили и телефонный номер Эверетта.

Хакерам потребовалось всего две минуты, чтобы лишить Эверетта цифровых денег на несколько тысяч долларов. Можете представить себе разочарование Эверетта, когда за следующие несколько недель курс эфира вырос еще в четыре раза!

Журналисты Fortune встретились с Эвереттом пасмурным июньским днем, всего через несколько часов после того, как курс эфира достиг рекордного уровня в $400. Днем ранее биткоин впервые преодолел отметку в $3000. Эверетт был ужасно расстроен: «Я не только потерял деньги, но и не смог заработать на росте».

Главным сюрпризом для Эверетта — и многих других поклонников биткоина — стал сам факт взлома на Coinbase. Крупнейшая в мире биржа криптовалют, расположенная в Сан-Франциско, оставалось одной из немногих компаний в отрасли, чьи счета ни разу не пострадали от хакерских атак. Это обеспечивало ей определенную репутацию в мире блокчейна, где взлом остается серьезной угрозой для большинства инвесторов.

Поговорите с любым энтузиастом, достаточно давно инвестирующим в криптовалюты, — и почти наверняка он расскажет вам, как потерял деньги на Mt. Gox, бирже, которая рухнула в 2014 году, когда хакеры вывели с ее счетов около 500 млн долларов в биткоинах. Прошлым летом злоумышленники украли 72 млн долларов на гонконгской бирже криптовалют Bitfinex.

Однако хакерам долго не удавалось подступиться к Coinbase, и многие считали биржу самым безопасным местом для покупки биткоинов. Такая репутация помогла ей привлечь более 9 млн клиентов, которые хранят на ее счетах не менее 3 млрд долларов в различных криптовалютах. Coinbase только что привлекла 100 млн долларов финансирования, повысив свою оцениваемую стоимость до 1,6 млрд, что сделало ее первым «единорогом» индустрии блокчейна. Фред Уилсон, венчурный капиталист и один из самых ранних вкладчиков Coinbase, говорит:

«Coinbase предлагает безопасность, надежность... все то, что мы привыкли ассоциировать с банками. Он похож на JPMorgan или Goldman Sachs в мире блокчейна».

Но отдельные клиенты Coinbase все же страдают от хакерских атак — притом с удивительной частотой. Даже сам Уилсон столкнулся с угрозой взлома: отдыхая в Европе в начале июня, инвестор вдруг начал получать те же сообщения, что нашел в своей почте Эверетт. Кто-то пытался попасть в его кошелек на Coinbase. Уилсону удалось вовремя заблокировать кошелек, но случившееся заставило его несколько пересмотреть отношение к компании.

С тех пор журналисты Fortune побеседовали со многими жертвами, включая предпринимателей из технологической сферы и известных сторонников блокчейна, чьи счета на Coinbase подверглись таким же атакам. Еще больше инвесторов пострадали от действий хакеров на других биржах.

На следующий день после взлома Эверетта хакеры увели около 10 тыс. долларов со счетов Адама Дачиса, предпринимателя из Лос-Анджелеса. Пару месяцев спустя 18 тыс. долларов были украдены из кошелька Майка Косташе, консультанта по блокчейну. В отдельные месяцы число атак на пользователей Coinbase доходило до 30 — в среднем по одному ограблению в день.

Невезучие инвесторы на собственном опыте открывали фундаментальный парадокс блокчейна. Главное отличие криптовалют от традиционных денег — мгновенные и необратимые транзакции. Это важное преимущество — но и фатальная уязвимость. Том Робинсон, соучредитель и главный специалист по данным лондонской консалтинговой фирмы Elliptic, говорит:

«Одна из причин существования биткоина заключается в том, что он устойчив к регулированию».

Это означает, что никто, даже правительство или центральный банк, не может остановить обмен цифровой валютой. Увы, это также значит, что методы защиты от мошенников, которыми успешно пользуются банки, практически не работают с блокчейном. Как говорит Робинсон:

«Сама возможность отменить операцию полностью противоречит основной идее биткоина».

Это одна из причин, по которой злоумышленники все чаще атакуют тех, кто предпочитает держать деньги в криптовалюте.

За 2016 год вкладчики сообщили в Центр приема жалоб на мошенничество в интернете при ФБР о 28 млн долларов потерь, связанных с криптовалютами, что более чем втрое превышает общий итог 2015 года.

Причем этот показатель включает только убытки, о которых добровольно сообщили частные лица, и совершенно не учитывает крупномасштабные атаки на биржи, такие как взлом Bitfinex, так что, скорее всего, на самом деле размер ущерба на несколько порядков выше.

Традиционные финансовые институты тоже страдают от киберпреступлений, но относительно общего объема средств, хранящихся на банковских счетах, убытки сравнительно невелики. Рынок криптовалют значительно меньше, его общий объем составляет всего около 135 млрд долларов, и ущерб от хакерских атак оказывается намного выше. По данным Chainalysis, за последние 12 месяцев злоумышленники присвоили 1% общей рыночной стоимости эфира, или 225 млн долларов. Стоимость украденных биткоинов оценивается еще выше. Моран Серф, профессор бизнеса и нейронауки в школе менеджмента Kellogg и бывший корпоративный хакер, говорит:

«В мире физических денег у грабителя есть две проблемы: как украсть и как скрыть улики. Биткоин решает вторую проблему, потому что вы анонимны».

Но когда жертвы смотрят, как их деньги и утекают в цифровой кошелек безымянного незнакомца, это проблема не только для Coinbase: это угроза самой идее биткоина.

По мере роста стоимости криптовалют все больше инвесторов понимают: прежде чем на них заработать, нужно еще ухитриться их сохранить. В мае хакеры за 15 минут похитили с аккаунта Коди Брауна $8000. Он говорит:

«Coinbase выглядит как банк, говорит как банк и принимает миллионы долларов как банк, но на практике функционирует как подпольное казино. Пока вас не ограбят, вы не понимаете, что модные шрифты, синие градиенты и бесконечные простыни о надежности ровным счетом ничего не значат».

Coinbase отказывается обсуждать конкретные случаи, но уверяет, что расследует все подобные происшествия.

Если бы биткоин был религией, ее слоган был бы: «Будь сам себе банком». Этот неофициальный девиз широко распространен в сфере криптовалют. Первый блокчейн был запущен в 2009 году таинственным лицом (или группой лиц) по имени Сатоси Накамото. Идея состояла в том, чтобы создать утопичную электронную валюту, которая могла бы менять владельцев, «минуя финансовые организации», как писал Накамото.

Но в этом идеале был и подрывной элемент, который отталкивал многих потенциальных пользователей. Брайан Армстронг, основатель Coinbase, решил придать лоск индустрии, которая в то время находилась под управлением «хакеров и криптоанархистов». Как он говорит:

«Если мы хотели сделать эту идею массовой, мы должны были вызвать доверие к бренду».

Армстронг покинул должность инженера в Airbnb в 2012 году, чтобы создать «Gmail для цифровой валюты». Его стратегия состояла в том, чтобы сделать хранение, покупку и продажу криптовалюты проще и безопаснее.

Владельцам первых биткоин-кошельков приходилось самостоятельно следить за своими ключами — секретными 64-символьными паролями. Coinbase первым предложила взять хранение ключей на себя. Конечно, это было связано с риском: пользователю больше не нужно знать фактический ключ, чтобы получить доступ к биткоинам, для этого он может использовать пароль — но это упрощает задачу хакеру. Армстронг говорит:

«Это большая ответственность. Но я считаю, что необходимо увеличивать масштабы отрасли и сделать цифровую валюту доступной для сотен миллионов — или миллиардов человек».

Coinbase показала уникальную способность сделать новый класс активов массовым. База клиентов, большинство которых проживает в США, за последние пять месяцев выросла на 50%, в течение дня регистрируется до 50 тыс. человек; объем торгов только за июль вдвое превысил показатель за прошлый год в целом.

Coinbase зарабатывает деньги, взимая комиссию за транзакции и, по прогнозам, в ближайшее время достигнет точки безубыточности. Армстронг занимает 10-е место в списке 40 самых влиятельных предпринимателей младше 40 лет по версии журнала Fortune. Но он довольно четко понимает пределы своей компании:

«Обыватели могут считать нас чем-то вроде банка цифровой валюты, но мы не банк».

В отличие от банков, Coinbase не предоставляет займы. Кроме того, Coinbase подчиняется регуляциям сервисов денежных переводов, подобно PayPal или Western Union, не попадает под юрисдикцию Федеральной корпорации по страхованию вкладов (FDIC) и на нее не распространяются все законы о защите потребителей, которые действуют на банки.

Для многих энтузиастов блокчейна попытки взлома Coinbase стали доказательством того, что доверять хранение своей криптовалюты кому-то стороннему — опасно. Джонатан Смит, главный технический директор Civic, которая использует технологию блокчейна для проверки подлинности, говорит:

«Если вы не владеете своим ключом, вы не владеете своими средствами».

У биткоина есть маленький грязный секрет: хотя этот актив, который олицетворяет технологическое будущее, управление им отбрасывает пользователя в век троглодитов.

Дальновидные инвесторы, которые хранят свои ключи, часто прибегают к старым практикам, чтобы их защитить. Это что-то вроде хранения денег под матрасом: ключи распечатывают на листе бумаги, разрезают и раздают родственникам, которые не знают, как совместить ключ обратно. Файлы шифруют, сбрасывают на флеш-карту и закапывают ее на заднем дворе. Иногда пароли просто запоминают.

Существует множество таких методов, и у каждого есть свои подводные камни. Нередко они доводят людей до самоубийств: например, известен пример из Нью-Йорка, когда пользователь переформатировал жесткий диск и стер ключ к биткоин-кошельку, потеряв доступ к сумме около 25 тыс. долларов. Доминик Фогарти, аналитик хедж-фонда, оставил свой телефон с доступом к кошельку в такси после мальчишника. Чтобы вернуть телефон, Доминику пришлось объехать Адирондакский горный хребет. «Подумаешь, опоздал на поезд! Зато биткоины остались при мне», — заявил он в интервью Fortune.

Ирония в том, что золотой стандарт безопасности — хранение секретных ключей без подключения к интернету — чаще всего оборачивается использованием хранилищ, которых защитники блокчейна так старались избежать: банков. Менеджер одного из криптовалютных хедж-фондов хранил ключ к 5 млн долларов в сейфе банка Wells Fargo, пока однажды не обнаружил, что сейф пуст. (Несколько недель спустя выяснилось, что ключ лежал не в том слоте, где его искали).

Даже сама система Coinbase полагается на банки, а ведь речь идет о хранилищах 98% средств клиентов. «Наверное, это старомодное решение», — признает Армстронг. Но вполне возможно, что за ним будущее, потому что все больше инвесторов заинтересованы в криптовалюте, но принцип «сам себе банк» их не прельщает.

Майкл Кригер, бывший аналитик Lehman Brothers, ушел с Уолл-стрит и занялся криптовалютой, разочаровавшись в финансовом кризисе. Он говорит: «Я бы не доверил свои ключи банковскому сейфу. Но это я».

Уже сейчас стена между старой школой хранения финансов и блокчейн-отщепенцами дает трещину. Возможно, вскоре наступит тот день, когда две системы объединятся и никто не заметит противоречия.

«Забавно, что некоторые из правил и процедур, от которых мы так хотим избавиться, — это те же правила, которые необходимы, чтобы защитить крупного клиента», — говорит Ху Лян, который в августе покинул пост топ-менеджера в State Street, чтобы создать торговую платформу криптовалюты для институциональных инвесторов.

Как бы адепты блокчейна ни мечтали уйти от условностей, которые определяли банковскую деятельность на протяжении веков, становится все очевиднее, что избежать их практически невозможно.

В швейцарских горах, в пещере глубиной 200 м находится военный бункер времен Второй мировой войны. Сейчас он считается самым крупным хранилищем биткоинов на планете. После взлома биржи Mt. Gox в 2014 году, Венсес Касарес, технологический предприниматель из Аргентины, принял решение, что самое надежное хранилище цифровой валюты — под землей.

Xapo, компания Касареса, управляет хранилищами на пяти континентах, некоторые из них достигают глубины 1 км. Каждый содержит серверы, отключенные от Сети, на которых хранятся зашифрованные секретные ключи. Чтобы обезопасить клиентов, среди которых как держатели $5 на развивающихся рынках, так и крупнейшие хедж-фонды и глобальные организации, сотрудники Xapo в Пало-Альто лично контролируют производство серверов еще до того, как они сойдут с конвейера.

Они перемещают их в герметичные хранилища, гарантируя, что сервер ни на секунду не подключался к интернету. «Это даже смешно, — говорит Касарес, который также входит в совет директоров PayPal, — на какие ухищрения приходится идти, чтобы обеспечить полную защиту ключей».

Но даже у этой гарантии есть пределы. Когда клиенты перемещают средства в «горячий кошелек» на Xapo для транзакций (этот процесс занимает 48 часов), счет становится так же уязвим для хакеров, как и счета Coinbase. Другими словами, ваши криптосокровища находятся в безопасности — пока вы не захотите их использовать.

Подготовила Тая Арянова

Источник: Fortune

Читайте также:
Пожалуйста, опишите ошибку
Закрыть