9 июля 2018 DeCenter
Популярность криптовалютных бирж среди пользователей пропорциональна популярности биткоина. Суточный оборот на крупнейших биржах достигает $1.5 миллиарда. Соответственно, даже если пользователь не хранит на бирже все свои сбережения, на аккаунтах постоянно находится та часть средств, которая активно участвует в торгах. И чем больше денег на бирже, тем привлекательнее она для хакеров.
Все началось с одной из первых (основана в 2010 году) и некогда крупнейшей биткоин-биржи Mt.Gox, которая в феврале 2014 года была ограблена на 850,000 биткоинов (что на тот момент составляло около $425 миллионов, а к маю 2018 уже превышает $6.3 миллиарда). Японская биржа объявила себя банкротом, а через год прокуратура Японии обвинила экс-CEO Mt.Gox Марка Карпелеса в хищении средств (согласно предположениям, часть средств исчезла с 2011 по 2013 годы, до объявления о хакерской атаке). Сегодня, спустя 4 года, история до сих пор не закончена.
К ранним игрокам индустрии относится основанная в 2012 году гонконгская биржа Bitfinex, первая крупная атака на которую была осуществлена в августе 2016 и унесла 120,000 биткоинов ($72 миллиона на тот момент, ~$900 миллионов на май 2018). С тех пор биржа еще несколько раз заявляла о хакерских атаках и даже привлекла внимание американского регулятора, но по состоянию на май 2018 года Bitfinex успешно продолжает деятельность, занимая 4 место по суточному объему торгов.
Южнокорейская биржа Bithumb, на тот момент входившая в ТОП-5 биткоин-бирж и являвшаяся абсолютным лидером на южнокорейском рынке (где на нее приходилось 75.7% оборота биткоина), в июле прошлого года была ограблена на «сотни миллионов вон». К маю оправившаяся биржа занимала 6 место по суточному объему торгов. Меньше повезло другой местной бирже — Youbit — которая отвечала за куда более скромные объемы торгов, но меньше чем за 8 месяцев дважды стала жертвой хакеров: после второго ограбления, в декабре 2017, биржа объявила о банкротстве. Тогда же, в декабре, южнокорейское издание MBC наняло компанию по обеспечению информационной безопасности для тестирования систем защиты нескольких бирж, включая Bithumb. Проверку не прошла ни одна биржа: «хакеры» получили доступ к пользовательским данным и счетам. А с октября по декабрь прошлого года безопасность местных бирж проверяли несколько южнокорейских регуляторов, и 8 из 10 испытуемых, включая такие крупные площадки, как Upbit, Korbit и Coinone, не прошли проверку (однако Bithumb в этот раз выстояла).
К маю 2018 крупнейшим ограблением криптобиржи стала январская атака на японскую Coincheck, которая унесла 523 миллиона монет NEM на сумму $533 миллиона по курсу на момент кражи. К марту Coincheck завершила выплаты всем 260,000 пострадавшим пользователям на общую сумму $440 миллионов — по курсу $0.81 за токен. А в начале апреля местное издание Mainichi сообщило, что Coincheck приняла решение сменить руководство с целью вернуть доверие инвесторов: биржа была приобретена японской брокерской компанией Monex за 3.6 миллиарда йен ($33.5 миллиона).
Вывод: средства, которые вы держите на бирже, на самом деле вам не принадлежат. И если она их потеряет, хэппи-энда в виде выплат компенсаций может и не случиться (и не только из-за гипотетической недобросовестности биржи, но и из-за ее реальных финансовых возможностей после атаки).
К другим, порой тоже весьма критичным, недостаткам бирж, относится возможность временно потерять доступ к средствам из-за технических работ или перебоев в работе сервиса. Например, в декабре не все биржи смогли выдержать отметку в $19,000 за биткоин: GDAX и Coinbase выходили в оффлайн в самый разгар событий, так что те пользователи, чьи средства оказались заперты на бирже, могли упустить нужный момент и не успеть реализовать свои гениальные трейдинговые стратегии.
При этом нельзя утверждать, что все кошельки абсолютно (или одинаково) безопасны. 24 апреля команда популярного Ethereum-кошелька MyEtherWallet подтвердила взлом DNS-серверов, что унесло примерно $150,000 в эфире. Ранее, в январе, хакеры украли из криптокошелька BlackWallet $400,000 в криптовалюте Stellar (также с помощью атаки на DNS-сервера). Наконец, таинственная история Ethereum-кошелька Parity, который в июле прошлого года пострадал на 150,000 эфиров в результате хакерской атаки ($30 миллионов на тот момент, ~$90 миллионов к маю 2018 года), а в ноябре разработчик Parity якобы случайно активировал уязвимость в коде, заморозив тем самым 513,774 эфира, которые до сих пор не высвобождены.
Как же тогда хранить криптовалюту
Оптимальным вариантом хранения является использование двух разных кошельков — горячего и холодного. Так делают большинство крупных компаний, работающих с криптовалютами. На горячем кошельке рекомендуется хранить минимальное необходимое количество для повседневного использования, а основной объем — направить в холодное хранилище.
Для чего кошельки генерируют множество адресов
Как показывает раздел поддержки многих криптовалютных кошельков, пользователи задаются вопросами: почему мой адрес постоянно меняется и действителен ли мой предыдущий, уже использованный адрес?
Функция автоматического генерирования новых адресов призвана защищать анонимность пользователя при осуществлении транзакций. Так, в отличие от криптовалют с повышенной приватностью, таких как Zcash, Monero и Verge, биткоин лишь частично анонимен: публичный блокчейн биткоина позволяет увидеть, что кто-то пересылает кому-то определенную сумму, но при этом блокчейн не отражает никакой личной информации, которая бы привязывала транзакцию к определенному человеку. Однако таких мер может быть недостаточно: так, в марте, благодаря переданным Эдвардом Сноуденом документам, стало известно, что Агентство национальной безопасности США (NSA) несколько лет отслеживало пользователей биткоина.
«Все биткоин-транзакции публичны, отслеживаемы и постоянно хранятся в сети Bitcoin. По этим причинам каждый биткоин-адрес должен использоваться однократно, а пользователи должны следить, чтобы их адреса не становились известны третьим лицам. Когда адрес используется повторно, это позволяет с большей точностью установить, что он принадлежит вам», — так объясняет изменение адресов биткоин-кошелек Copay.
То есть каждый раз, когда приватный ключ уже использованного адреса «подписывает» новую транзакцию, любой получатель может проследить историю этого адреса и как минимум узнать историю совершенных операций, что, как и любая платежная информация, может помочь в раскрытии вашей личности. Ситуация осложняется тем, что крупнейшие торговые площадки, такие как Coinbase, Poloniex, Bitfinex и Gemini, в целях соответствия регулятивным требованиям используют процедуру KYC (Know Your Customer) для установления личности клиентов. Таким образом, часть адресов имеет подтвержденных владельцев, что может облегчить вычисление личности других пользователей.
Более того, пренебрежение собственной анонимностью всегда ставит под угрозу анонимность других пользователей, даже тех, кто не участвовал с вами в транзакции напрямую.
«Утверждение о том, что вам безразлично право на неприкосновенность частной жизни, потому что вам нечего скрывать, ничем не отличается от утверждения, что вам безразлична свобода слова, потому что вам нечего сказать, или свобода прессы, потому что вам нечего написать», — сказал Эдвард Сноуден в интервью для The Guardian в 2015.
А еще в 2011, на рассвете биткоина, исследователи Фергал Рейд и Мартин Харриган опубликовали «Анализ анонимности системы Bitcoin», описав, как повторное использование адресов влияет на других участников экосистемы.
Стоит отметить, что самые надежные в аспекте хранения бумажные кошельки, «раз и навсегда» генерирующие пару приватного ключа и адреса (публичного ключа), одновременно являются самыми ненадежными с точки зрения приватности (в силу своей неизменности). Наглядный пример: вы храните $1 миллион на «бумажном» адресе и решаете добавить туда еще немного биткоинов и покупаете их. Продавец видит на блокчейне, что его биткоины поступили на адрес с $1 миллионом в биткоинах. В этом случае, как и всегда при хранении относительно больших сумм криптовалюты, ваша личность может слишком заинтересовать недоброжелателей. А дальше все зависит только от их способностей. Или же, если представить, что вы ведете все свои расчеты в криптовалюте и притом с одного адреса, все ваши партнеры (работодатель, арендодатель и любой ритейлер) могут проследить вашу историю транзакций и узнать, какая у вас зарплата (и сделать выводы, сколько вы можете платить за аренду), сколько вы тратите на алкоголь и так далее.
Поэтому в целях повышения приватности, когда вы получаете средства на свой текущий адрес, большинство кошельков автоматически создают новый адрес и показывают его, когда Вы в следующий раз нажимаете на «получить». При этом все старые адреса также остаются действительными: если кто-то отправит на них по старой дружбе пару биткоинов, вы их обязательно получите, но поставите под угрозу приватность других пользователей.
https://decenter.org/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Все началось с одной из первых (основана в 2010 году) и некогда крупнейшей биткоин-биржи Mt.Gox, которая в феврале 2014 года была ограблена на 850,000 биткоинов (что на тот момент составляло около $425 миллионов, а к маю 2018 уже превышает $6.3 миллиарда). Японская биржа объявила себя банкротом, а через год прокуратура Японии обвинила экс-CEO Mt.Gox Марка Карпелеса в хищении средств (согласно предположениям, часть средств исчезла с 2011 по 2013 годы, до объявления о хакерской атаке). Сегодня, спустя 4 года, история до сих пор не закончена.
К ранним игрокам индустрии относится основанная в 2012 году гонконгская биржа Bitfinex, первая крупная атака на которую была осуществлена в августе 2016 и унесла 120,000 биткоинов ($72 миллиона на тот момент, ~$900 миллионов на май 2018). С тех пор биржа еще несколько раз заявляла о хакерских атаках и даже привлекла внимание американского регулятора, но по состоянию на май 2018 года Bitfinex успешно продолжает деятельность, занимая 4 место по суточному объему торгов.
Южнокорейская биржа Bithumb, на тот момент входившая в ТОП-5 биткоин-бирж и являвшаяся абсолютным лидером на южнокорейском рынке (где на нее приходилось 75.7% оборота биткоина), в июле прошлого года была ограблена на «сотни миллионов вон». К маю оправившаяся биржа занимала 6 место по суточному объему торгов. Меньше повезло другой местной бирже — Youbit — которая отвечала за куда более скромные объемы торгов, но меньше чем за 8 месяцев дважды стала жертвой хакеров: после второго ограбления, в декабре 2017, биржа объявила о банкротстве. Тогда же, в декабре, южнокорейское издание MBC наняло компанию по обеспечению информационной безопасности для тестирования систем защиты нескольких бирж, включая Bithumb. Проверку не прошла ни одна биржа: «хакеры» получили доступ к пользовательским данным и счетам. А с октября по декабрь прошлого года безопасность местных бирж проверяли несколько южнокорейских регуляторов, и 8 из 10 испытуемых, включая такие крупные площадки, как Upbit, Korbit и Coinone, не прошли проверку (однако Bithumb в этот раз выстояла).
К маю 2018 крупнейшим ограблением криптобиржи стала январская атака на японскую Coincheck, которая унесла 523 миллиона монет NEM на сумму $533 миллиона по курсу на момент кражи. К марту Coincheck завершила выплаты всем 260,000 пострадавшим пользователям на общую сумму $440 миллионов — по курсу $0.81 за токен. А в начале апреля местное издание Mainichi сообщило, что Coincheck приняла решение сменить руководство с целью вернуть доверие инвесторов: биржа была приобретена японской брокерской компанией Monex за 3.6 миллиарда йен ($33.5 миллиона).
Вывод: средства, которые вы держите на бирже, на самом деле вам не принадлежат. И если она их потеряет, хэппи-энда в виде выплат компенсаций может и не случиться (и не только из-за гипотетической недобросовестности биржи, но и из-за ее реальных финансовых возможностей после атаки).
К другим, порой тоже весьма критичным, недостаткам бирж, относится возможность временно потерять доступ к средствам из-за технических работ или перебоев в работе сервиса. Например, в декабре не все биржи смогли выдержать отметку в $19,000 за биткоин: GDAX и Coinbase выходили в оффлайн в самый разгар событий, так что те пользователи, чьи средства оказались заперты на бирже, могли упустить нужный момент и не успеть реализовать свои гениальные трейдинговые стратегии.
При этом нельзя утверждать, что все кошельки абсолютно (или одинаково) безопасны. 24 апреля команда популярного Ethereum-кошелька MyEtherWallet подтвердила взлом DNS-серверов, что унесло примерно $150,000 в эфире. Ранее, в январе, хакеры украли из криптокошелька BlackWallet $400,000 в криптовалюте Stellar (также с помощью атаки на DNS-сервера). Наконец, таинственная история Ethereum-кошелька Parity, который в июле прошлого года пострадал на 150,000 эфиров в результате хакерской атаки ($30 миллионов на тот момент, ~$90 миллионов к маю 2018 года), а в ноябре разработчик Parity якобы случайно активировал уязвимость в коде, заморозив тем самым 513,774 эфира, которые до сих пор не высвобождены.
Как же тогда хранить криптовалюту
Оптимальным вариантом хранения является использование двух разных кошельков — горячего и холодного. Так делают большинство крупных компаний, работающих с криптовалютами. На горячем кошельке рекомендуется хранить минимальное необходимое количество для повседневного использования, а основной объем — направить в холодное хранилище.
Для чего кошельки генерируют множество адресов
Как показывает раздел поддержки многих криптовалютных кошельков, пользователи задаются вопросами: почему мой адрес постоянно меняется и действителен ли мой предыдущий, уже использованный адрес?
Функция автоматического генерирования новых адресов призвана защищать анонимность пользователя при осуществлении транзакций. Так, в отличие от криптовалют с повышенной приватностью, таких как Zcash, Monero и Verge, биткоин лишь частично анонимен: публичный блокчейн биткоина позволяет увидеть, что кто-то пересылает кому-то определенную сумму, но при этом блокчейн не отражает никакой личной информации, которая бы привязывала транзакцию к определенному человеку. Однако таких мер может быть недостаточно: так, в марте, благодаря переданным Эдвардом Сноуденом документам, стало известно, что Агентство национальной безопасности США (NSA) несколько лет отслеживало пользователей биткоина.
«Все биткоин-транзакции публичны, отслеживаемы и постоянно хранятся в сети Bitcoin. По этим причинам каждый биткоин-адрес должен использоваться однократно, а пользователи должны следить, чтобы их адреса не становились известны третьим лицам. Когда адрес используется повторно, это позволяет с большей точностью установить, что он принадлежит вам», — так объясняет изменение адресов биткоин-кошелек Copay.
То есть каждый раз, когда приватный ключ уже использованного адреса «подписывает» новую транзакцию, любой получатель может проследить историю этого адреса и как минимум узнать историю совершенных операций, что, как и любая платежная информация, может помочь в раскрытии вашей личности. Ситуация осложняется тем, что крупнейшие торговые площадки, такие как Coinbase, Poloniex, Bitfinex и Gemini, в целях соответствия регулятивным требованиям используют процедуру KYC (Know Your Customer) для установления личности клиентов. Таким образом, часть адресов имеет подтвержденных владельцев, что может облегчить вычисление личности других пользователей.
Более того, пренебрежение собственной анонимностью всегда ставит под угрозу анонимность других пользователей, даже тех, кто не участвовал с вами в транзакции напрямую.
«Утверждение о том, что вам безразлично право на неприкосновенность частной жизни, потому что вам нечего скрывать, ничем не отличается от утверждения, что вам безразлична свобода слова, потому что вам нечего сказать, или свобода прессы, потому что вам нечего написать», — сказал Эдвард Сноуден в интервью для The Guardian в 2015.
А еще в 2011, на рассвете биткоина, исследователи Фергал Рейд и Мартин Харриган опубликовали «Анализ анонимности системы Bitcoin», описав, как повторное использование адресов влияет на других участников экосистемы.
Стоит отметить, что самые надежные в аспекте хранения бумажные кошельки, «раз и навсегда» генерирующие пару приватного ключа и адреса (публичного ключа), одновременно являются самыми ненадежными с точки зрения приватности (в силу своей неизменности). Наглядный пример: вы храните $1 миллион на «бумажном» адресе и решаете добавить туда еще немного биткоинов и покупаете их. Продавец видит на блокчейне, что его биткоины поступили на адрес с $1 миллионом в биткоинах. В этом случае, как и всегда при хранении относительно больших сумм криптовалюты, ваша личность может слишком заинтересовать недоброжелателей. А дальше все зависит только от их способностей. Или же, если представить, что вы ведете все свои расчеты в криптовалюте и притом с одного адреса, все ваши партнеры (работодатель, арендодатель и любой ритейлер) могут проследить вашу историю транзакций и узнать, какая у вас зарплата (и сделать выводы, сколько вы можете платить за аренду), сколько вы тратите на алкоголь и так далее.
Поэтому в целях повышения приватности, когда вы получаете средства на свой текущий адрес, большинство кошельков автоматически создают новый адрес и показывают его, когда Вы в следующий раз нажимаете на «получить». При этом все старые адреса также остаются действительными: если кто-то отправит на них по старой дружбе пару биткоинов, вы их обязательно получите, но поставите под угрозу приватность других пользователей.
https://decenter.org/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter