Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился биткоин. Одновременно с этим событием начался бум атак на блокчейн-проекты, направленные на кражу криптовалют.
Наша команда давно занимается проведением аудитов безопасности блокчейн-проектов и нам стало интересно посмотреть, какие инциденты уже происходили в этой сфере. Кому интересно, добро пожаловать под кат.
За рамками исследования остались случаи мошенничества, в которых проекты проводили ICO, а потом исчезали с полученными деньгами. Для этого в глубинах всемирной сети мы собрали информацию почти о сотне инцидентов. В список попали и очень громкие случаи, и те, которые мало кому известны. Но не все из них вошли в инфографику, ставшую итогом всей работы. Всё это можно увидеть в полной версии исследования.
Теперь о том, как создавалась инфографика. В первую очередь из игры выбыли те инциденты, о которых было крайне мало информации. Основным критерием отражением в инфографике было наличие информации об области применения блокчейна, дате, сумме потерь и причинах инцидента.
Основная причина малого количества информации об инциденте в том, что создатели/владельцы проекта не хотели разглашать информацию об инциденте и в скором времени после совершения ограбления закрывали свой проект, попутно удаляя всю информацию о нем. Хотя в некоторых случаях найти больше информации помогал веб-архив, но и он не всесилен.
Самой атакуемой сферой применения блокчейна оказались биржи. Причины достаточно просты — там точно есть, чем поживиться злоумышленникам. На втором месте по частоте взломов после бирж расположились кошельки, где тоже водятся деньги. Протоколы, лежащие в основе работы проектов, краундфандинговые платформы, майнинговые серсивы и даже онлайн-казино представлены одним-двумя случаями.
Но при этом причины краж криптовалюты оказались совсем разными. Самой громкой стала атака на платформу The DAO. При которой из-за возможности рекурсивного вызова одной и той же функции можно было получать эфир в течение одной транзакции. В итоге около 53 млн. долларов оказалось на кошельке атакующего.
Больше всего инцидентам защищенности криптовалюты мешают организационные проблемы из-за которых, например, закрытые ключи пользователей могут утечь в сеть, что даст злоумышленникам возможность украсть сбережения пользователей. Ошибки логики могут позволить получать джекпоты в онлайн-казино, основанном на блокчейне или давать возможность потратить критовалюту несколько раз. С помощью фишинга тоже можно похищать криптовалюту.
Также злоумышленники могут использовать непреднамеренно появившиеся программные ошибки и бекдоры. Атаки на сервера не менее опасны.
Самую большую потерю понесла биржа криптовалют Coincheck Inc — 534 млн. долларов. Подробности кражи компания не раскрыла, кроме той, что это была ошибка безопасности: активы хранились в “горячем” кошельке, подключенном к внешним сетям.
Если взять только те инциденты, которые дошли до финала и попали в инфографику, то сумма украденного будет равна 3661 млн. долларов. Если принимать во внимание все когда-либо совершенные атаки на блокчейн-проекты, то эта сумма будет ощутимо больше.
Время сыграло на руку злоумышленникам, так как курс и биткоина, и другой криптовалюты непрерывно рос, а защищенность проектов оставалась на том же уровне. Поэтому при тех же ресурсах и временных затратах на проведение атаки злоумышленникам удавалось украсть большие суммы.
Надеемся, это исследование даст бо́льшее представление о защищенности блокчейн-проектов.
