Home » Crypto-статті » Злом криптовалютних бірж – як це відбувається

Злом криптовалютних бірж – як це відбувається

Знаючи способи за якими хакери зламують криптовалютні біржі ти зможеш забезпечити більшу безпеку своїм акаунтам та коштам що на них знаходяться!

Мобільні додатки

Найпростіший спосіб крадіжки грошей з депозитів криптовалютних гаманців — злом мобільних додатків, наприклад, Bitfinex, EXMO, Cex.io, Bitstamp. До такого висновку прийшли аналітики Positive Technologies, які протестували п’ять популярних додатків для пристроїв на базі IOS і шість для Android.

Виявилося, що ці додатки мали проблеми з безпекою, при цьому 70% з них містили як мінімум одну критичну помилку, яку можна використовувати для крадіжки грошей або персональних даних. Більшість проблем пов’язані зі зберіганням даних і ключів безпеки.

mob_app_attak

Способи злому мобільних додатків криптовалютних бірж:

  1. Дії від імені трейдера. У третині випадків уразливості дозволяють зловмисникам здійснювати фінансові операції або маніпулювати інформацією на екрані пристрою користувача. У першому випадку можна просто вкрасти гроші, у другому — змусити велику кількість людей купувати або продавати активи в потрібний час, тим самим підвищуючи або знижуючи попит на них.
  2. Крадіжка даних. Дві третини програм містять уразливості, що дозволяють отримати доступ до облікових даних, які зберігаються в пристрої або базі біржі.
  3. Підбір PIN-коду. П’ята частина додатків дозволяє встановлювати прості паролі, до 8 символів без латинських букв. При банальному підборі PIN-коду хакер здатний знайти потрібну комбінацію і перевести гроші жертви на свій рахунок або здійснити фішингову атаку.
  4. Незахищений HTTP. П’ята частина платформ для девайсів Apple і половина для Android не шифрують HTTP з’єднання при переході на внутрішні інтернет-ресурси. Перехопивши цей трафік, зловмисники можуть перенаправити трейдерів на фішінгові ресурси або заразити пристрій шкідливим софтом.

Подібні атаки рідко роблять істотний вплив на криптовалютні платформи, так як вони направлені на користувачів, а не на саму платформу.Однак це велика проблема для простих трейдерів, оскільки їх втрати при таких атаках ніхто не компенсує.

Десктопні програми

Програми, які встановлюють на комп’ютери, ноутбуки та планшети, також уразливі. Так, в 2017 році етичні хакери Positive Technologies обійшли зовнішній периметр захисту 70% компаній. І хоча фінансові установи вкладають значно більше ресурсів для кіберзахисту, ніж звичайні компанії, але і їх зусилля у 22% випадків виявилися неефективними.

zlam_desktopiv

Ймовірність успіху злому десктопних додатків криптовалютныих бірж можна збільшити з 22 до 75%, якщо скористатися атаками, побудованими на основі соціальної інженерії — фішінгу. Про це буде сказано нижче.

Способи злому десктопних додатків:

  1. Контроль над пристроєм трейдера. Коли додатки підключаються до торгової платформи для перевірки наявності оновлень, це з’єднання часто не зашифровано. Якщо підмінити сервер під час такого звернення, можна замість оновлення встановити шкідливий софт.
  2. Підробка операцій. Якщо передача даних здійснюється у відкритому вигляді, хакери можуть підключитися до мережі жертви, перехопити трафік і провести фінансову операцію від її імені.
  3. Крадіжка даних. Деякі програми також не шифрують з’єднання, які містять логіни і паролі користувачів. Підключившись до мережі трейдера, можна їх перехопити і увійти в його обліковий запис.
  4. Маніпуляція даними. У деяких випадках уразливості дають можливість змінювати інформацію, яку бачить трейдер на екрані. Змінивши її, можна змусити людей купувати або продавати активи в потрібний час.

Подібні атаки можуть бути спрямовані як на офіційне програмне забезпечення криптовалютних бірж, так і на сторонні програми, які автоматизують торгові операції, наприклад, MetaTrader 4, Qt Bitcoin Trader або TerminalCoin. Їх можна підключити до криптовалютних бірж Poloniex, Bithumb, YoBit, Bittrex.

Веб-термінали

Для злому криптовалютних бірж також можна використовувати пряму атаку на веб-термінал (веб-версія торгової платформи) і, заразивши його, вкрасти гроші з гарячих гаманців. Крім того, можна перехопити трафік платформи і відіслати на пристрої користувачів запит на проведення операцій, щоб вкрасти гроші з позабіржових гаманців трейдерів.

hack_web-terminal

Способи злому веб-терміналів криптовалютн[х бірж:

  1. XSS. Практично всі торгові термінали вразливі перед атакою типу Cross-Site Scripting. За допомогою знайдених вразливостей зловмисники впроваджують на сторінку веб-ресурсу шкідливий код, який перенаправляє трейдерів на веб-ресурси і/або заражає пристрої користувачів шкідливим софтом.
  2. Уразливості конфігурації. У веб-терміналів можуть бути відсутні HTTP-заголовки, які підвищують захищеність від деяких різновидів хакерських атак. Так, заголовок ContentSecurity-Policy захищає від атак, пов’язаних з впровадженням шкідливого контенту, в тому числі від XSS; X-Frame-Options — від атак типу Clickjacking; Strict-Transport-Security примусово встановлює захищене з’єднання за допомогою HyperText Transfer Protocol Secure (HTTPS).

Уразливості в коді

Дослідження компанії Coverity, що спеціалізується на рішеннях оцінювання якості програмного забезпечення та безпеки, показали, що на кожні 1000 рядків коду доводиться 0,52 помилки в продуктах з відкритим кодом і 0,72 в пропрієтарних (стандарт якості — менше 1 помилки на 1000 рядків коду). І немає ніяких гарантій, що ці помилки не вплинуть на безпеку платформи.

Більш того, навіть якщо програмісти біржі напишуть ідеальний код без єдиної помилки, завжди є ризик, що у сторонньому софту, який вони використовують, будуть уразливості. Наприклад, в операційній системі (ос Windows, Linux, MacOS), платіжному шлюзі (інтернет-банкінг, PayPal), месенджері (WhatsApp, Facebook Messenger, Viber) або грі, яку вони запускають під час обідньої перерви. Дірки в цих програмах можна використовувати для фішінгу або установки шкідливого софту на пристрої співробітників біржі.

Злам Mt Gox (473 млн доларів)

Один з найбільш показових прикладів злому криптовалютної біржі, так як майданчик просто «напрошувалася» на неприємності, нехтуючи практично всіма правилами безпеки. Мова про таке:

  • відсутність програмного забезпечення Version Control System (VCS). Тобто платформа ніяк не відстежувала зміни в коді.
  • Відсутність політики тестування коду. Розробники платформи буквально видавали користувачам неперевірений код.
  • Всі зміни в коді повинні були бути схвалені генеральним директором. Це вкрай неефективний спосіб управління, так як одна людина не в змозі за всім встежити.
  • Адмініструванням Mt Gox займався талановитий програміст, але менеджером він був посереднім.

Результатом цих проблем стали зломи платформи. Спочатку в 2011 році, коли хакери атакували комп’ютер аудитора Mt Gox, використавши його для переказу біткойнів трейдерів на свої гаманці (8,75 млн доларів за курсом на той момент). Наслідки атаки вдалося згладити, виплативши компенсації.

zlam_mtgox

Другий злом Mt Gox стався в 2014 році. Хакерам вдалося вкрасти 470 млн доларів (в біткойнах), використовуючи уразливість, яка дозволяла вносити зміни в дані про транзакції трейдерів до того, як відомості про них вносилися в блокчейн. Цього біржа не пережила.

Злам BitGrail (170 млн доларів)

У 2018 році BitGrail оголосила, що втратила 17 мільйонів монет криптовалюти Nano на суму, еквівалентну 170 млн доларів за курсом на той час. Хакери використовували помилку виведення коштів, яка дозволила їм отримувати подвійний баланс. Тобто вони робили запит на вивід, наприклад, 100 монет Nano, а отримували 200 монет.

Представники платформи кажуть, що це стало можливим через помилки в коді криптовалюти, а не помилки у самій платформі. Розробники Nano відкинули звинувачення, вказавши на те, що на інших криптовалютних біржах таких проблем немає.

Злам Poloniex (12,3% активів біржі)

У 2014 році представники Poloniex оголосили, що їх платформа втратила 12,3% активів через помилку в коді. Проблему нібито використовували хакери, які помітили, що якщо зробити запит на виведення декількох операцій одночасно, система дасть збій і виконає ці транзакції, незважаючи на те, що сумарно вони можуть бути більше поточного балансу.

Примітно, що, судячи з повідомлень на форумах, помилку виявили і використовували не злісні хакери, а звичайні користувачі (хакери приєдналися через деякий час). Правда, нажитися вдалося не всім. Дізнавшись про проблему, Poloniex відстежила частину “щасливчиків” і змусила їх повернути зайве.

Злам Coincheck (500 млн доларів)

Це саме рекордне в історії пограбування криптовалютної біржі відбулося на початку 2018 року. Невідомим вдалося знайти вразливість у захисті гарячих гаманців біржі і вкрасти монети NEM на 500 млн доларів. Хакери за допомогою електронної пошти заразили вірусом внутрішню мережу платформи, і вірус шукав і передавав їм облікові дані користувачів.

Незважаючи на величезну кількість вкрадених монет, біржа пережила злом і навіть почала робити виплати жертвам (260 000 осіб): 88.5 японських ієн за 1 монету NEM, тобто 0.83 долара за 1 монету NEM. А також була написана програма для криптовалютних бірж, що блокує обмін вкрадених монет NEM.

Злам Bitfinex (72 млн доларів)

В 2016 році криптовалютна біржа Bitfinex втратила 120 000 BTC на суму, еквівалентну 72 млн доларів за курсом на той момент. Хакери використовували помилку в мультисигнатурній системі компанії-партнера BitGo, яка дозволила спустошити гарячі гаманці біржі.

За задумом, мультисигнатурна система захисту повинна була використовувати два ключа для підтвердження справжності транзакцій: один від Bitfinex, другий від BitGo. Але на ділі гроші виводилися без участі BitGo за допомогою лише одного ключа Bitfinex (чому так — не ясно). Хакери виявили цю вразливість, заволоділи ключем біржі і вивели гроші з гарячих гаманців.

Це яскравий приклад того, як використовувати уразливості стороннього софта для злому криптовалютних бірж. А також того, як зневага банальними правилами безпеки призводить до дуже великих проблем.

Фішінг (соціальна інженерія)

Різновид інтернет-шахрайства, мета якого за допомогою вивертів виманити у користувача облікові дані, гроші або змусити зробити потрібну шахраям дію. Зазвичай для цього використовують прийоми соціальної інженерії, оскільки з їх допомогою можна змусити жертву самостійно зробити потрібну дію.

Найпростіший приклад фішінгу — розсилка електронних листів з посиланням, яка повинна вести на сайт відомої компанії (банк, соціальна мережа, маркетплейс), але насправді перенаправляє на підроблений сайт, який практично не відрізнити від оригіналу. Наприклад, на сайт-підробку з доменом PayPai.com замість офіційного PayPal.com.

phishinh_Bitfinex

Підробка сайту біржі Bitfinex. Посилання веде на сайт з домменом bitfiEnex.com.

Приклад 1: Bitstamp (5 млн доларів)

Жертвою такого шахрайства в 2015 році став Luka Kodric, адміністратор біткойн-біржі Bitstamp. Він відкрив посилання в електронному листі, тим самим заразивши офісний ПК вірусом, який дозволяв хакерам вкрасти 19 000 BTC. Це 5 млн доларів за курсом на той час.

Приклад 2: Binance (невдало)

Інший приклад злому криптовалютної біржі за допомогою фішінгу — атака на Binance в березні 2018 року. Зловмисники, витратили кілька місяців на збір облікових даних трейдерів, використовуючи unicode-символи, щоб направляти їх на підроблений домен Binance.

Отримані API-ключі були використані лише один раз. Ввечері сьомого березня від імені зламаних акаунтів почалася масова купівля криптовалюти Viacoin (VIA) в торговій парі VIA/BTC. В результаті курс монети почав різко зростати.

Тут в гру повинні були вступити акаунти хакерів, налаштовані на продаж VIA за найвищою ціною.

Але незвичну активність помітили адміністратори біржі, які відразу зупинили торги і заморозили акаунти, що брали участь в торгівлі парою VIA / BTC. Після біржа повернула все до вихідного стану.

Приклад 3: Kraken (приватні випадки)

В серпні 2016 року криптовалютна біржа Kraken опублікувала результати внутрішнього розгляду з приводу зникнення грошей з депозитів окремих користувачів. Виявилося, що гроші зникли через фішінг, на який попалися користувачі. Платформа та її персонал не були скомпрометовані.

phishinh_kraken

Реальний і підроблений сайт біржі Kraken

За словами співробітників Kraken, більшість людей, які заявили про зникнення грошей, не включили двофакторну аутентифікацію і одночасно з цим використовували старі облікові дані для входу в систему. Що в сукупності з неуважністю користувачів дозволило хакерам роздобути їх логіни з паролями. При цьому сама платформа Kraken була в повному порядку.

Приклад 4: Poloniex (фейковий додаток)

Фахівці ESET, компанії з розробки антивірусного програмного забезпечення, в березні 2018 року знайшли в маркетплейсі Google Play фейковий додаток, яке маскувалося під мобільну торгову платформу біржі Poloniex. Після розгляду додаток було видалено з маркетплейсу.

Це не перший випадок появи фішінгового додатку Poloniex. У 2017 році фахівці ESET виявили в Google Play додатки POLONIEX EXCHANGE і POLONIEX, ніяк не пов’язані з однойменною біржею. В цілому вони були завантажені більше 5 000 разів.

SMS-аутентифікація

Якщо зловмисники знають, що якась конкретна людина торгує або працює адміністратором криптовалютної біржі, його SMS можна перехопити і використовувати при аутентифікації або процедурі відновлення доступу.

Основні варіанти подібного злому такі:

  1. Прослушка. Можна зробити за допомогою спеціального обладнання або заразивши телефон жертви шкідливим софтом. Можна також атакувати сервер провайдера.
  2. Клонування SIM-карти. У великих містах повно хакерів, які за невелику суму клонують будь-яку SIM-карту. Більш того, в мережі є багато інструкцій про те, як зробити це самостійно.
  3. Помилкова базова станція. Використовується дороге обладнання, яке перехоплює і розшифровує SMS.
  4. Злом «Персонального кабінету» на веб-платформі оператора. Зробивши це, можна перенаправити всі повідомлення на номер або електронну поштову скриньку зловмисника.
  5. Атака SS7. Злом системи спеціальних протоколів телекомунікації, що використовуються для налаштування телефонних станцій (PLMN, PSTN).
  6. Фішінг колл-центру оператора. Зловмисники дізнаються персональні дані користувачів і номери їх телефонів, а потім телефонують оператору кол-центру, щоб “відновити” SIM-карту.

Перехоплені SMS можна використовувати не тільки для входу в обліковий запис біржі, але і для «відновлення» доступу до електронної пошти. Для цього потрібно спробувати авторизуватися на поштовому сервісі, після невдачі скинути пароль за допомогою SMS. Потім використовувати пошту і SMS можна при двоконтурній аутентифікації, наприклад, на біржі Coinbase.

hacker



Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *