Криптовалютные операции стали повседневной нормой для огромного количества людей. Омар Ганиев, основатель DeteAct, рассказал порталу Cyber Media об уровне защищенности криптобирж, специфике анализа защищенности проектов в сфере криптовалют и правилах безопасности при работе с ними.
Cyber Media: Рынок крипты часто сравнивают с «традиционным» финансовым сектором. Какие ключевые отличия, с точки зрения ИБ, Вы могли бы выделить?
Омар Ганиев: Технологически следует разделять децентрализованные и централизованные финансы, некастодиальные и кастодиальные сервисы, web3 и web2.
Например, обычные централизованные криптобиржи (CEX) являются кастодиальными, т.е. они работают на обычных серверах, контролируемых конкретной компанией, и они контролируют ключи от криптокошельков.
С точки зрения ИБ такие системы мало чем отличаются от любого финтеха: там есть аккаунты, балансы, используются какие-то классические языки программирования и т. д. Основная специфика – это наличие интеграции с блокчейном, помимо интеграции с процессингом карт или со SWIFT.
Совсем другое дело – децентрализованные финансы или DeFi. Аналог биржи в DeFi – это децентрализованная биржа или DEX.
DEX бывают реализованы в виде смарт-контрактов на блокчейне с каким-нибудь JS-фронтендом. Это принципиально иная парадигма исполнения и совершенно новый технологический стек, а значит, и с точки зрения ИБ здесь есть отличия.
Можно выделить такие важные особенности:
Cyber Media: Несколько лет назад много говорилось о том, что блокчейн – это абсолютно безопасная, взломостойкая технология. Насколько это соответствует действительности?
Омар Ганиев: Блокчейн алгоритмически гарантирует некоторые свойства безопасности, но это не означает, что там не могут быть нарушены другие свойства безопасности.
Смарт-контракты – это просто программы, написанные людьми, и там бывают уязвимости. Сами блокчейны тоже работают на узлах, которые являются просто программами, написанными людьми, а значит, сам блокчейн тоже может быть реализован с ошибками и уязвимостями.
Cyber Media: Сейчас также широко обсуждаются, децентрализованные некастодиальные кошельки, считается что получить к ним доступ не может никто, кроме самого владельца. На Ваш взгляд, насколько реально взломать их с помощью программных методов, эксплуатации уязвимостей?
Омар Ганиев: Если скомпрометировать устройство, где хранится ключ, или иным образом получить контроль над кошельком (например, через уязвимости в самом приложении кошелька), то кошелёк будет взломан. Но модель угроз здесь, конечно, совсем иная, нежели с кастодиальными кошельками: вы сами контролируете своё устройство и вольны вообще не подключаться через него в интернет, а физически вы можете его тщательно охранять.
Таким образом, взлом кошелька скорее сводится к социальной инженерии: вряд ли кто-то украдёт ваш Ledger и извлечёт оттуда ключ, и вряд ли кто-то удалённо сделает джейлбрейк вашего айфона, чтоб попасть в Trust Wallet. Зато вы легко можете сами подписать фишинговую транзакцию и отдать деньги.
Cyber Media: С точки зрения анализа защищенности, можете ли Вы выделить какие-то аспекты, которые выделяют проекты, связанные с криптовалютой?
Омар Ганиев: В централизованных приложениях, помимо стандартных уязвимостей, часто встречаются уязвимости, связанные именно с интеграцией с блокчейном, поскольку есть нетривиальные нюансы обработки и отправки платежей. Например, можно сделать частичный платеж, и, если процедура обработки депозитов этого не учитывает, можно похитить средства.
В децентрализованных приложениях, помимо технических уязвимостей кода, большое внимание приходится уделять экономическим аспектам и композиционному анализу протокола: например, что произойдёт, если вдруг обесценится токен USDC, или оракул цен перестанет предоставлять информацию?
При этом низкоуровневые технические уязвимости тоже отличаются от тех, которые приходится искать в классических проектах по анализу защищенности, поскольку среда и парадигма исполнения смарт-контрактов иная.
Cyber Media: На какие критерии стоит ориентироваться пользователю, если он хочет выбрать наиболее защищенную криптобиржу? Какие персональные настройки стоит использовать, каких правил придерживаться?
Омар Ганиев: При работе с криптобиржами правила персональной безопасности мало чем отличаются от цифровой гигиены при работе с интернет-банкингом: использовать уникальный пароль, двухфакторную аутентификацию, внимательно перепроверять адреса, куда и сколько средств переводите и т. д.
Сложнее обстоит дело с некастодиальными кошельками, на которые есть свои методы фишинга.
Следует перепроверять параметры транзакции перед отправкой в блокчейн:
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться