Анализ инцидентов, связанных с кибератаками на блокчейн-проекты

    Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился биткоин. Одновременно с этим событием начался бум атак на блокчейн-проекты, направленные на кражу криптовалют.



    Наша команда давно занимается проведением аудитов безопасности блокчейн-проектов и нам стало интересно посмотреть, какие инциденты уже происходили в этой сфере. Кому интересно, добро пожаловать под кат.


    За рамками исследования остались случаи мошенничества, в которых проекты проводили ICO, а потом исчезали с полученными деньгами. Для этого в глубинах всемирной сети мы собрали информацию почти о сотне инцидентов. В список попали и очень громкие случаи, и те, которые мало кому известны. Но не все из них вошли в инфографику, ставшую итогом всей работы. Всё это можно увидеть в полной версии исследования.


    Теперь о том, как создавалась инфографика. В первую очередь из игры выбыли те инциденты, о которых было крайне мало информации. Основным критерием отражением в инфографике было наличие информации об области применения блокчейна, дате, сумме потерь и причинах инцидента.


    Основная причина малого количества информации об инциденте в том, что создатели/владельцы проекта не хотели разглашать информацию об инциденте и в скором времени после совершения ограбления закрывали свой проект, попутно удаляя всю информацию о нем. Хотя в некоторых случаях найти больше информации помогал веб-архив, но и он не всесилен.


    Самой атакуемой сферой применения блокчейна оказались биржи. Причины достаточно просты — там точно есть, чем поживиться злоумышленникам. На втором месте по частоте взломов после бирж расположились кошельки, где тоже водятся деньги. Протоколы, лежащие в основе работы проектов, краундфандинговые платформы, майнинговые серсивы и даже онлайн-казино представлены одним-двумя случаями.



    Но при этом причины краж криптовалюты оказались совсем разными. Самой громкой стала атака на платформу The DAO. При которой из-за возможности рекурсивного вызова одной и той же функции можно было получать эфир в течение одной транзакции. В итоге около 53 млн. долларов оказалось на кошельке атакующего.


    Больше всего инцидентам защищенности криптовалюты мешают организационные проблемы из-за которых, например, закрытые ключи пользователей могут утечь в сеть, что даст злоумышленникам возможность украсть сбережения пользователей. Ошибки логики могут позволить получать джекпоты в онлайн-казино, основанном на блокчейне или давать возможность потратить критовалюту несколько раз. С помощью фишинга тоже можно похищать криптовалюту.


    Также злоумышленники могут использовать непреднамеренно появившиеся программные ошибки и бекдоры. Атаки на сервера не менее опасны.



    Самую большую потерю понесла биржа криптовалют Coincheck Inc — 534 млн. долларов. Подробности кражи компания не раскрыла, кроме той, что это была ошибка безопасности: активы хранились в “горячем” кошельке, подключенном к внешним сетям.


    Если взять только те инциденты, которые дошли до финала и попали в инфографику, то сумма украденного будет равна 3661 млн. долларов. Если принимать во внимание все когда-либо совершенные атаки на блокчейн-проекты, то эта сумма будет ощутимо больше.


    Время сыграло на руку злоумышленникам, так как курс и биткоина, и другой криптовалюты непрерывно рос, а защищенность проектов оставалась на том же уровне. Поэтому при тех же ресурсах и временных затратах на проведение атаки злоумышленникам удавалось украсть большие суммы.


    Надеемся, это исследование даст бо́льшее представление о защищенности блокчейн-проектов.

    • +12
    • 1,3k
    • 2
    Digital Security
    177,00
    Безопасность как искусство
    Поделиться публикацией

    Комментарии 2

      +1
      Увлечение цифровыми валютами мне очень напоминает филателистов. У них тоже лот может иметь очень большую стоимость. Но только в узком круге людей. Для всех остальных это блажь чудоковатых людей. И в экстренных ситуациях в мире их марки превратятся в бумажки. Но ими хоть можно печь растопить в отличии от цифровых денег…
        –1
        расскажите это жителям Венесуэлы, у которых инфляция миллион процентов

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое