Надежность биржи криптовалют



Прошлой осенью биткоин-обменник Poloniex несколько раз приостанавливал работу по причине «технических неполадок» за короткий срок. Такое периодически случается на всех площадках, временно прекращая их функционирование прерывая возможность совершать сделки. К сожалению, это не худшее, что может случиться. До сих пор основной помехой для трейдинга криптовалюты являются хакеры. Так, в конце октября  2018 года популярная канадская биржа криптовалют MapleChange подверглась хакерской атаке и взлому. Наиболее распространенным способом кражи депозитов является атака специализированных приложений для трейдинга. Ниже рассмотрим самые распространенные способы, которые используют злоумышленники.

Любое приложение для трейдинга имеет свои уязвимости

Самым слабым местом у большинства ICO проектов и популярных бирж криптовалют являются их торговые мобильные клиенты и программы для компьютера. Компания Positive Technologies, которая специализируется на разработке программного обеспечения в сфере информационной безопасности провела собственное исследование на эту тему.

Для анализа было взято 11 торговых платформ от 6 компаний, которые имеют отношение к торговле на биржах. Часть приложений создана под Android платформы и часть под IOS. Результат оказался весьма плачевный. Все обнаруженные уязвимости подрывали надежность биржи криптовалют и давали возможность совершать атаки на пользователей.

Абсолютно во всех приложениях выявили не менее трех уязвимостей. Самым распространенным оказалось незащищенное хранение критически важных данных. Так, резервные копии размещались в открытых каталогах, а ключи шифрования можно было найти прямо в исходном коде программы. Ниже можно увидеть это наглядно.

Трейдинг, курсы для трейдеров, александр герчикУязвимости в Android приложениях

Трейдинг, курсы для трейдеров, александр герчик

Уязвимости в IOS приложениях

Оказалось, что больше трети программ делают трейдинг криптовалюты небезопасным и дают возможность осуществлять финансовые операции от имени других пользователей. Действия злоумышленников могут существенно повлиять на стоимость конкретного цифрового актива во время атаки. Например, в январе 2018 года во время взлома популярной биржи криптовалют Coincheck, хакеры вывели монеты NEM более чем на 500 миллионов долларов. Это спровоцировало 16% снижение цены и последующую общую тенденцию к падению на рынке криптовалют.

Еще один неутешительный факт – в более чем 50% случаев хакер может заполучить персональные данные пользователя, которые находятся на бирже или непосредственно в приложении. К сожалению, при разработке мобильных версий, защите уделяется намного меньше времени. Почти нигде не используется двухфакторная аутентификация. Часто достаточно подобрать обычный PIN-код или провести фишинг-атаку, чтобы перехватить рабочую сессию и торговать вместо пользователя.

Еще одна уязвимость, которую обнаружили в части приложений – возможность злоумышленникам изменять стоимость активов, которая отображается на устройстве. Например, при настоящей цене монеты в 3600$ будет показывать цифру 5600$. Подобные манипуляции можно совершать в режиме реального времени, тем самым подтолкнув пользователя к действиям, которые выгодны в личных интересах хакера. Особенно легко спровоцировать к продаже в случае резкого падения стоимости, вызвав панику. Ниже рассмотрим наглядную ситуацию.

Скриншот отображает фрагмент торговой сессии на рынке криптовалют с доминирующим медвежьим трендом. Последняя японская свеча не является настолько критичной, чтобы закрывать свои позиции.

трейдинг, курсы для трейдеров, александр герчик

А теперь посмотрим, как будет выглядеть график после корректировки хакером.

трейдинг, курсы для трейдеров, александр герчик

Понятное дело, что во втором случае закрыть позиции попытаются даже те, кто в трейдинге криптовалют не первый месяц.

Какие бывают виды атак при взломе приложений?

Способов достаточно много, но есть те, которые применяются чаще других. Самый легкий для злоумышленника сценарий – когда трейдер с одного устройства и торгует, и заходит на различные сайты, и использует везде один и тот же пароль. В таком случае, какой бы не была надежность биржи криптовалют, к сожалению, это особо не поможет. На один из сайтов, который посещает пользователь, внедряется вредоносный скрипт. Через него злоумышленник получает возможность совершать сделки на биржевом аккаунте пользователя. За счет того, что скрипт не устанавливается непосредственно на устройство, антивирусные защиты на него никак не реагируют. В большинстве случаев пользователь даже не догадывается, что подвергся хакерской атаке, пока не обнаружит записи о сделках, которых он не совершал.

александр герчик, трейдинг, курсы для трейдеров

Еще один распространенный вариант – перехват сетевого трафика. Основное требование для злоумышленника - быть подключенным к одной сети с жертвой. Именно по этой причине специалисты по информационной безопасности отмечают опасность использования публичных wi-fi точек для работы с банковскими приложениями и торговыми программами. Атака с перехватом трафика сети произошла весной 2018 с криптовалютным кошельком MyEtherWallet. Разработчики успели предотвратить самый негативный исход, но рисковали лишиться активов более чем на 250 миллионов долларов.

Как защитить свою криптовалюту?

Первое и самое важное – максимально повысить уровень безопасности своего устройства. Следить за свежими сервисными обновлениями, мониторить информацию от разработчиков и устанавливать приложения только из проверенных источников. Если программа требует наличие root прав на android устройствах или jailbreak на ios, лучше внимательно изучить зачем это необходимо. Вполне вероятно, что это модифицированная злоумышленником программа со встроенным вредоносом. Как отмечалось выше, не использовать публичные wi-fi сети для трейдинга криптовалют и совершения любых финансовых операций. Обязательно использовать двухфакторную аутентификацию там, где есть такая возможность. Это существенно увеличивает надежность биржи криптовалют.

Кроме соблюдения всех технических рекомендаций никто не отменял человеческий фактор и использование методов социальной инженерии злоумышленниками. Запомните, что ни в коем случае нельзя переходить по непонятным ссылкам, открывать вложения в почте, которые пришли с подозрительных адресов и качать файлы от неизвестных людей в социальных сетях и мессенджерах. Слишком высокий шанс попасть на фишинговый сайт или запустить «стилер», который в одно мгновение отправит хакерам максимум информации о логинах и паролях учетных записей, что хранятся на устройстве.

Узнайте еще больше в бесплатных уроках от Александра Герчика. Сохранности депозитов и успешной торговли!





Результаты в трейдинге индивидуальны и зависят от опыта и личной дисциплины. Улучшить свои навыки и дисциплину можно на нашем Дистанционном Курсе: "Трейдинг от А до Я за 60 дней"



Подписывайся на рассылку!

которую можно будет настраивать из личного кабинета

Поделиться в соц. сетях: