Bitcoin 
Ethereum 
XRP 
Tether 
BNB 
Solana 
USDC 
Dogecoin 
Lido Staked Ether 
TRON 
Массовой популяризации криптовалют мешает именно проблема безопасности. Инвесторы остерегаются вкладывать средства в криптовалюту.
С целью уменьшения рисков для клиентов используют следующие меры:
- анализ бизнес-процессов;
- повышение квалификации сотрудников;
- поиск ошибок в коде.
Кроме того, в борьбе с хакерами глобальные биржи обращаются к:
- масштабным аудитам;
- переходу на холодное хранение средств;
- дорогостоящим страховым программам.
Аудиты SOC2
Биткоин-биржа Gemini подверглась проверке типа SOC2 под руководством аудиторской компании Deloitte & Touche. Процесс длился 8 месяцев и прошел успешно. Результаты продемонстрировали, что биржа имеет наивысший уровень кибербезопасности в мире.
Данный аудит соответствовал стандарту Service Organization Control 2 (SOC2), который был разработан в 2011 году. Цель процедуры — проанализировать уровень безопасности, с которой провайдер обслуживает клиентов. Подвергаются проверке защита баз данных от несанкционированного доступа, стратегия обработки данных пользователей, качество хостинга и др.
Этот аудит широко распространился по всему миру, однако он не полностью модернизирован под специфику блокчейн-технологий. Для полноценного анализа безопасности криптоиндустрии требуются узкопрофильные решения.
Внедрение холодного хранения
Криптокошельки имеют разделение на горячие — установленные на девайсе с интернетом — и холодные, которые не имеют такого подключения. Естественно, когда кошелек не подключен к сети, у хакеров нет возможности удаленно его взломать.
Биткоин-биржам или криптопроцессингам необходимо сохранять установленный процент средств на горячих кошельках для обеспечения вывода средств. Но именно они являются целью воров. Пострадали от краж Cryptopia, Binance, Coinbene, Bithumb, BITPoint и UpBit.
Именно по этой причине компании стараются уменьшить процент средств в горячих хранилищах. Так, Cryptoprocessing.com содержит все активы пользователей только в холодных хранилищах. В горячих кошельках хранятся лишь операционные резервы компании для функции быстрых выплат. Но такой способ оставляет риск недостатка средств для массового вывода биткоинов.
Холодные хранилища считаются более безопасными, но также в редких случаях могут стать предметом кражи. Так, неопределенным образом пропал СЕО биткоин-биржи IDAX.
Использование двухфакторной аутентификации 2FA
Этот способ представляет собой наличие дополнительного уровня защиты для аккаунтов. Google Authenticator — это сервис, который позволяет осуществлять двухэтапную проверку. Он генерирует пароль из 6-8 цифр каждые пару секунд. Аккаунтам с двухэтапной аутентификацией необходимо ввести этот код вместе с личным именем и паролем. Установив 2FA, пользователь будет автоматически запрашивать код во время входа в систему. За счет использования такого метода кибербезопасность аккаунта значительно увеличивается.
Страхование средств пользователей
Какой бы уровень проверки биткоин-биржи не был применен, нет ни одного аудита, который бы гарантировал 100% безопасность. Кибермошенники на фоне развития технологий используют все новые методы взлома. Кроме того, в некоторых случаях допускается вероятность совершения преступления кем-то из сотрудников компаний.
Именно поэтому в криптовалютную индустрию активно внедряются программы страхования денег. В такой ситуации пользователь не понесет потерь даже в случае мошенничества, средства возмещает страховщик. Однако такой способ защиты стоит недешево и его используют только глобальные биткоин-биржи.
Например, Coinbase застраховала горячие хранилища на $255 млн, даже с учетом того, что на этих кошельках содержится лишь 2% средств пользователей. Услугу предоставила государственная страховая система Федеральной корпорации по страхованию вкладов США (FDIC). Страховщики покрывают ущерб вследствие кибератак, похищения и потери ключей.
BitGo застраховала деньги своих клиентов даже на холодных хранилищах. Этот тип кошелька подвергается нападению хакеров в то время, когда он не находится в сети. Но в период передачи криптовалюты между кошельками страховые компании отказываются возмещать убытки от мошенничества.
Счета платформы Gemini застрахованы FDIC по принципу системы Coinbase, однако эта биткоин-биржа имеет защиту от краж с горячих кошельков. Страховщиком выступила английская компания Lloyd’s of London. Деньги возмещаются, если мошенники добрались до активов из-за слабости в системе безопасности платформы.
Страхование денег является основополагающим условием для работы институциональных инвесторов, которых стремятся привлечь все криптобиржи. Поэтому для крупных инвесторов компании нередко предоставляют кастодиальные услуги, которые гарантируют возмещение средств в случае мошенничества или утери.
Хранение активов обеспечивают фирмы Xapo, itBit, Kingdon Trust, DACC и др. Однако стоит обращать внимание на перечень услуг платформы. Так, популярный сервис BitGo заявляет, что они компенсируют 100% средств, утраченных по причине взлома, действий работника компании, потери или кражи ключей. Но страховка не включает онлайн-хранилища, а касается только аппаратных кошельков.
Страхование денег еще не достигло глобальной популярности на рынке криптовалют, но дальнейшее распространение этой услуги не вызывает сомнений. Ведь только страхование может гарантировать 100% возврат утерянных средств пользователю.
Более доступные способы обеспечения безопасности
Для менее глобальных компаний существуют недорогие способы обеспечения кибербезопасности. Одним из таких является стандарт SDLC (Software Development Lifecycle).
Небольшие компании нередко обращаются к известным провайдерам за анализом защищенности системы. Так как объем аудита меньше, чем в глобальных компаниях, то и стоимость такого способа оценивания кибербезопасности вписывается в бюджет организаций. Также процесс оказания услуг упрощают современные технологии и языки разработки и организации инфраструктуры в современных стартапах.
Популярным способом обеспечения безопасности является внедрение машинного обучения. Эта технология приобретает значение ключевого достижения в сфере технологий в настоящее время. Даже несмотря на то, что это еще не полноценный искусственный интеллект, он имеет положительные показатели в борьбе с кибератаками.
Блокчейн-проекты могут обеспечить определенный уровень защиты средств, если уделять должное внимание качеству кода и сетевой архитектуре. При многоуровневой архитектуре безопасности мошеннику труднее похитить активы. Уязвимой также является безопасность смарт-контактов. Аудит этой основы блокчейна необходимо проводить регулярно.
Есть случаи, когда для обеспечения безопасности биржи устанавливают для пользователей требование предоставлять копии своих документов. К примеру, Bittrex имеет верификацию аккаунта с указанием личных данных для вывода активов объемом до 3 биткоинов в день. А для вывода до 100 биткоинов необходимо предъявить удостоверение личности.
Технологии AML и KYC
Некоторые платформы для защиты денег используют процедуры AML (Anti Money Laundering — борьба с отмыванием денег) и КYС (Know Your Client — знай своего клиента). Однако вокруг этих технологий ведутся споры.
Система КYС анализирует пакет документов бизнес-клиента, в котором содержится регламентирующая информации о нем. Ряд криптобирж отказываются применять данную технологию, утверждая, что это нарушает право клиента на неприкосновенность личной жизни. Так, Ethfinex избежала введения технологии, аргументируя это тем, что скрыть источник активов пользователя и так невозможно, компании видна каждая транзакция, кроме того, она регистрируется в блокчейне.
Обменный сервис криптовалют Hodl Hodl также дает возможность трейдерам обменивать активы без прохождения процедуры КYС. Эти компании не принуждают клиентов проходить длительный процесс идентификации, но таких платформ достаточно мало. Как правило, криптобиржам все-таки требуется соблюдать процедуры КYС.
Технология AML включает в себя поиск крупных транзакций, отслеживание движения средств, получение данных КYС и проверку пользователя. Глобальные биржи блокируют подозрительные аккаунты, некоторые запрашивают дополнительные документы.
Каждый проект отдельно должен, учитывая свой бюджет, подбирать решение проблемы кибербезопасности. Компаниям необходимо понимать, что этот компонент так же важен, как привлечение инвесторов или другие составляющие. После того как большинство компаний криптоиндустрии обратят должное внимание на защиту средств пользователей, сфера сможет получить большую популярность и стать немаловажной частью глобального бизнеса.
