Зонтик над ICO: как обеспечить кибербезопасность криптостартапов

Хайп вокруг криптовалют, блокчейна и ICO, сравнимый с временами золотой лихорадки в США, вызвал повышенное внимание киберпреступников ко всему, что связано с «криптой». И таких преступлений будет больше, если не задуматься о кибербезопасности.

Недавно к нам, в Group-IB, обратился человек, у которого украли 1100 ETH (около $360 тысяч). Потерпевший хотел инвестировать в стартапы на этапе ICO, но вместо реального сайта попал на разрекламированные фишинговые ресурсы, как две капли воды напоминающие оригинальные сайты. И перечислил деньги на криптокошелек мошенников. Очень простая и безопасная для преступников схема.

ICO (Initial Coin Offering – процедура первичного размещения токенов) – мечта любого хакера. Молниеносная, зачастую довольно простая атака на криптовалютные сервисы и блокчейн-стартапы приносит миллионы долларов прибыли с минимальным риском для преступников. По данным Chainalysis, хакерам удалось украсть 10% всех средств, инвестированных в ICO-проекты в 2017 году в Ethereum. Общий ущерб составил почти $225 млн, 30 000 инвесторов лишились в среднем по $7500.

Где же чаще бывает самое слабое звено?

Мы проанализировали около сотни атак на блокчейн-проекты (биржи, обменники, кошельки, фонды) и пришли к выводу, что основная масса проблем кроется в уязвимости самих криптосервисов, использующих технологию блокчейна. В случае с Ethereum проблемы наблюдались не у самой платформы, а у криптосервисов: они столкнулись с уязвимостями в собственных смарт-контрактах, deface, компрометацией админских аккаунтов (Slack, Telegram), фишинговыми сайтами, копирующими контент сайтов компаний, выходящих на ICO.

Рассмотрим поподробнее несколько уязвимых мест.

1. Фишинговые сайты – клоны официального ресурса

В конце августа специалисты Group-IB обнаружили фишинговую страницу криптовалютного хедж-фонда Numeraire (США), где криптовалюту Ethereum можно менять на собственную валюту фонда – токены Numeraire. Оригинальная страница фонда — numer.ai/, а мошенники создали клон — numerai.tech/. Он зарегистрирован в России 9 августа на reg.ru. Фишинг-страницу сайта-клона мошенники распространяли через мессенджер Slack от имени «сотрудника» хедж-фонда. Злоумышленники предлагали купить за криптовалюту токены Numeraire и выманивали приватный ключ и выводили все средства с аккаунта пользователя. Эти же мошенники создали копии сайтов 7 других криптовалютных проектов. Только в августе они получили приватные ключи и опустошили почти 350 кошельков. Общая сумма хищений превысила $1,4 млн.

Фишинг – самый распространенный метод. Злоумышленники либо используют подмену кошельков на целевых ресурсах, либо используют уязвимости кошельков (как в случае с Parity), либо делают фишинговые ресурсы. Фишинг либо крадет приватный ключ от ETH кошелька, либо просит пользователя перечислить деньги на свой мошеннический адрес.

2. Уязвимости сайта / веб-приложения

Платформа для управления инвестиционным портфолио CoinDash потеряла более $6 млн за первые 3 минуты с момента начала ICO, возможно, из-за уязвимости в коде сайта – преступники подменили номер кошелька, на который поступали деньги.

3. Атаки через сотрудников компании

5 сотрудников криптовалютной биржи Bitstamp были атакованы через e-mail и Skype по индивидуальным сценариям. После того как шестой все-таки запустил вредоносный файл, биржа лишилась $5 млн. Расследование инцидента обошлось в $250 тысяч.

4. Атаки на IT-инфраструктуру

Криптовалютная торговая платформа Shapeshift была трижды атакована с помощью программы удаленного администрирования (бэкдора), установленной на машине разработчика. Ущерб составил более $600 тысяч.

Чаще всего ресурсы взламывают в ходе проведения ICO. Публичная продажа токенов – это очень серьезный шаг для серьезного проекта. Инфраструктура должна быть максимально защищена с помощью самых современных решений по обеспечению безопасности, ведь на кону средства инвесторов, поддержавших инициативу.

В середине августа блокчейн-стартап Enigma был вынужден приостановить пресейл токенов ECAT после того, как неизвестные злоумышленники взломали сайт проекта и, указав ложный ETH-адрес, лишили его более $400 тысяч. Ранее у Veritaseum взломщики смогли похитить токены VERI – проект потерял около $8,4 млн. 

Бывает и по-другому. В сентябре Group-IB успешно защитила от киберугроз Blackmoon Crypto – платформу для токенизации инвестиционных фондов. Похоже, это было одно самых быстрых и безопасных ICO – менее чем за 20 часов Blackmoon Financial Group, основанная Олегом Сейдаком (сооснователь Flint Capital) и Ильей Перекопским (бывший вице-президент Вконтакте) собрала более $30 млн.

Илья Ремизов, директор по технологиям Blackmoon, на конференции #CyberCrimeCon17 рассказал о том, как это было: «Мы были, наверное, первым проектом, кто декларировал защиту наших инвесторов. И сдержали слово. Бороться с фишингом нам помогала Group-IB: первый фишинговый сайт был закрыт за 15 минут. А до начала ICO были закрыты 10-15 сайтов. И Group-IB следила еще за сотней ресурсов. Нам присылали письма от ИГИЛ (запрещена на территории РФ), итальянской мафии: «Срочно переведите 10 биткоинов на этот кошелек, иначе мы вас уничтожим – Group-IB проверяла всю информацию, это были пустые угрозы. Было две DDoS-атаки: тестовая атака во время пресейла (мы прилегли, но эффект был не катастрофический). 2 сентября прошла 2-ая атака - около 10 000 запросов в секунду. Group-IB предложило провести расследование и мы получили отчет – это было похоже на детективный роман с перепиской злоумышленников и их планами. Мы дали понять злоумышленникам, что нам о них все известно, и во время ICO атаки не проводились».

Всего Group-IB сейчас участвует в подготовке и защите десятка ICO – они в разной степени реализации. Нас очень часто спрашивают, на что обращать внимание, что проверять в первую очередь? Есть три больших блока, на которые надо обратить внимание: защитить людей, защитить процессы и защитить инфраструктуру. Расскажу о том, что мы делаем в Group-IB по каждому из блоков при защите ICO.

Несмотря на рост количества кибератак – некоторые преступные группировки переключились с финансовых организаций и банков на крипту – сейчас это более легкая добыча – я очень оптимистично смотрю на блойчейн-технологии и криптовалюты. Уверен, что повсеместное внедрение технологии блокчейн позволит усилить мировую информационную безопасность и предотвратить утечки и кражу конфиденциальных данных. Например, компания Guardtime уже использует технологию для сохранения конфиденциальных данных. Блокчейн позволяет нивелировать риски, связанные с DDoS-атаками.