Печальный дайджест
Что один человек сотворил, то другой завсегда сломать может. Эти крылатые слова из кинофильма «Формула любви», как никакие другие, подходят и для криптовалютной тематики. Хеши или «шары», наделенные стоимостью, становятся желанной добычей тех, кто не хочет действовать в рамках принципа Proof-of-Work, а предпочитает Proor-of-Steal. Вот он, грустный перечень наиболее значимых мошенничеств в криптомире с момента биткойн-явления.
Август 2010. Резкая инфляция в сети биткойн
Всего может быть только 21 млн монет этой криптовалюты. Контроль за несанкционированной «допэмиссией» лежит на технологии блокчейн. Пользуясь относительной ее на тот момент «необкатанностью», в 2010 году мошенникам удалось включить в цепочку транзакцию аж на 184 млрд BTC. Впрочем, все закончилось благополучно: фейковую транзакцию отследили и удалили, количество предтранзакционных подтверждений подняли до минимальных шести штук, ну, а ответственным за программный код системщикам, видимо, надавали по ушам.
Март 2014. Падение Mt. Gox
В результате атаки на криптовалютную биржу Mt. Gox украдено было биткойнов на сумму $ 473 млн (!!!) по тогдашнему курсу. Если бы эти преступники могли еще рачительно сохранить «потыренные битки» до декабря 2017, то структура криптовалютных мультимиллионеров могла бы скорректироваться. Жаль, что пострадавших в этой истории слишком много: и биржа обанкротилась, и у инвесторов аккаунты обнулились.
Январь 2015. Удар по Bitstamp
Атакуют не всегда извне. Иногда эффективнее устроиться на работу в администрацию биржевого проекта, освоиться с порядками, обеспечить прикрытие и отход, а затем, запутав следы, свинтить с добычей. В науке это называется инсайдом. Объектом атаки стало биржевое хранилище площадки Bitstamp. Однако от хаоса в отрасли стали избавляться: потери уже на пару порядков меньше, чем в случае с Mt. Gox, — украли всего $5,1 млн (в биткойнах, естественно). Способ кражи — фишинг с использованием служебного положения.
Июнь 2016. Атака на Decentralized Autonomous Organization
В этом случае причиной стала непродуманность программного кода The DAO. В результате криптовалютная сеть Ethereum понесла чувствительные потери более чем в $50 млн. Приятно, что создателям эфириума было не все равно до дел лояльных пользователей и они даже произвели хард-форк этой криптовалюты, чтобы получить резервы, необходимые для осуществления компенсаций жертвам мошенничества. Так, есть просто Ethereum, а есть Ethereum Classic.
Июль 2016. Ограбление по мелочи — удар по Steemit.com
Маленькие деньги — тоже деньги. Тем более что $85 тыс. в масштабах рядового обывателя — это не так уж и мало. На блокчейне Steem основывалась одна социальная сеть, на аккаунтах которой пользователи имели обыкновение держать деньги (пагубная привычка) в одноименной криптовалюте Steem. Вот их и «грабанули» (всего «обнесли» 260 аккаунтов).
Август 2016. Крупные потери Bitfinex
Bitfinex — биржа для профессионалов, торгующих на больших оборотах. Естественно, что не привлекать грабителей этот факт не мог. Так что, найдя слабое звено в кошельках пользователей, с этой площадки были похищены сразу аж $72 млн в биткойнах.
Июль 2017. Перехват адресации на CoinDash
Проект CoinDash уже должен был стартовать на рынке ICO. Но один умник заменил адрес отправки денег (эфиров) для покупки токенов проекта. Пока суть да дело, разбирались, проверялись — удалось стащить около $7 млн.
Июль 2017. Party на Parity
Мультиподписи в последнее время содержат страшные уязвимости. Стоило только хакеру обнаружить их в кошельках Parity, как оттуда мгновенно исчезли фонды, собранные стартапами:
- Swarm City;
- Edgeless Casino;
- Aeternity.
Нанесенный ущерб превысил $32 млн в эфириумах.
Июль 2017. Проблемы Veritaseum
В сущности ничего примечательного — всего лишь довольно свежая статистика. Нашли уязвимость холдера Veritaseum, грамотно сработали, унесли куш — $8 млн.
Август 2017. Enigma
Во время Второй мировой энигму несколько раз крали, теперь вот взломали. Злоумышленники не «стреляли» по ресурсам проекта — они сыграли на опережение: достаточно было перехватить контроль над сайтом и объявить во всеуслышанье, что начинается предпродажа токенов проекта, как инвесторы тут же наперебой начали швыряться деньгами. Нужно только было собственные адреса кошельков указать вместо оригинальных. И все. «В клюве» мошенники унесли более полумиллиона долларов (простенько, но изобретательно).
Обращающий на себя внимание нюанс
Из десяти представленных выше форматов бесспорно нечестного отъема криптовалютных средств только один связан с дефектом в блокчейне. (Это случай с «допэмиссией» в сети биткойна, произошедший в далеком 2010 году.) Далее было все:
- и фишинг,
- и инсайд,
- и подмена сайтов на фейковые,
но вот взломов самого механизма блокчейна больше не встречалось. Это опытным путем доказывает тот факт, что идеологическая архитектура и программный код этой технологии — лучший способ защиты любой базы данных от использования недостоверных сведений.
Не пытаясь объехать защитный алгоритм этой технологии, мошенники идут на самые изощренные методы обмана. Так, был разработан целый сценарий перехвата аутентификационного интерфейса: отслеживающий обращения к сайту бот сразу же «подсовывал» пользователю фейковую страницу (один в один), куда последний и вводил пароли. С двухфакторной идентификацией было сложнее — сайт просил указать адрес почты, куда должна быть выслана «инструкция по безопасности», а кроме того, в форме требовалось указать еще и пароль от ящика… Если все эти данные предоставлялись, то аккаунт «обчищался» в ноль, равно как и стирались все данные почтового ящика.
Вы скажете – глупо? Этот показатель измеряется соотношением средств, на мошенничество затраченных, к деньгам, от потерпевших полученных. Жалоб горе-мошенников на несработавшую схему в интернете пока не проскакивало. Есть мнение, что хакеры не внакладе.