Ведь крипто-биржи такие хрупкие ....

Создано: 2018-03-06 20:10

2018-03-06 20:10

Из статьи может сложиться превратное представление, что криптотехнологии особенно уязвимы к взломам и что это даже чуть ли не их характерная особенность. Это конечно не соответствует действительности; криптотехнологии ничем не выделяются в этом плане от остального программного обеспечения (ПО) - их безопасность во многом определяется квалификацией разработчиков и грамотностью админов в эксплуатации. Но даже это не спасёт от лоха-пользователя, если он поведётся на фокусы социальной инженерии.

Сама постановка вопроса об "уязвимости блокчейна к кибератакам" в статье выдаёт её автора как абсолютного дилетанта как в вопросах криптотехнологий, так и в вопросах информационной безопасности. Ход его обывательской логики примитивен до безобразия - раз криптовалюты используют блокчейн, значит именно он и обеспечивает их супер-защиту и все прочие "крипто"-свойства. Но блокчейн не имеет никакого отношения к информационной безопасности - в криптовалютах, впрочем как и в любом другом программном обеспечении (ПО), за это отвечают криптографические методы. Как я уже неоднократно говорил ранее, назначение блокчейна - в гарантировании неизменяемости истории транзакций. Поэтому "взлом блокчейна" равносилен переписыванию истории транзакций, что позволит злоумышленникам проводить множественное повторное расходование. Но в случае более-менее популярных проектов такая атака будет слишком ресурсо-затратной и без гарантий успеха, поэтому разумеется, практически никто и не ставит цели "ломать блокчейн" - если что и ломается, то это веб-интерфейс и биржевой софт, используемые для осуществления операций в блокчейне. А часто злоумышленники не ломают и эти обвязки вокруг блокчейна - если из лоха-пользователя удастся выманить параметры его аутентификации, то вообще ничего ломать не нужно. Просто проводи от его имени с его средствами любые операции хоть в блокчейне, хоть где бы то ни было ещё. Таким образом, все громкие взломы криптобирж собственно к блокчейну не имеют никакого отношения; они либо эксплуатировали уязвимости применяемого криптобижами ПО общего назначения, либо разводили незадачливых пользователей методами социальной инженерии.

Также показательно, что взламываются именно криптобиржи, а, допустим, не криптовалютные кошельки. Конечно, централизованная кубышка является более привлекательной целью для взломщиков. Но не только это - используемый криптобиржей софт общего назначения потенциально более уязвим, чем специализированное ПО кошельков. Поэтому есть в статье и здравые мысли, с которыми невозможно не согласиться - однозначно не следует использовать криптобиржи в качестве хранилища своих криптоактивов. Но к сожалению врядли эта мысль сподвигнет многих читателей заинтересоваться криптокошельками. Ведь даже для простой установки плагина MetaMask нужно приложить некоторые усилия, не говоря уже о необходимости разбираться с ключами кошельков и их хранением. Ведь проще тупо зарегистрироваться на криптобирже как на какой-нибудь форекс-кухне, завести туда денег - и понеслась спекуляция. Зачем заморачиваться с кошельками, если всё равно целью является вывод прибыли в фиат? Ситуация, конечно, была бы совершенно иной, если бы у криптовалют была собственная ценность, то есть если бы ими можно было свободно оплачивать практически любые товары и услуги без необходимости конвертировать их в фиат. Но поскольку у криптовалют пока ещё нет собственной ценности и неизвестно, когда она появится, у многих пользователей просто нет стимула проявлять интерес к криптокошелькам. Что ж, в таком случае можно только посоветовать выбирать криптобиржи, у которых можно настроить двух-факторную аутентификацию (2FA) на вывод средств - по-хорошему, это должно снять риски стать жертвой "мастеров" социальной инженерии, а также риски иной потери/утечки паролей.

В заключение можно отметить ещё один момент - безусловно, программное обеспечение многих криптобирж было создано разработчиками квалификации ниже среднего в погоне за прибылью на волне ажиотажа вокруг криптовалют. Но сильно подозреваю, что многие из "ограблений века", о которых мы слышали в новостях в последние месяцы, являются инсценировками - владельцы бирж не устояли перед соблазном присвоить внезапно свалившиеся к ним средства, и крики о взломе нужны им исключительно для сокрытия своих противоправных действий.