Как лишиться $100 млн за одну ночь: почему пропадает криптовалюта с кошельков?

Разработчики Binance Smart Chaine вовремя среагировали ― заморозили украденные токены и остановили все транзакции в сети. Эта кража не имела таких плачевных последствий, т.к. криптобиржа управляла взломанным блокчейном, имела к нему прямой доступ и могла регулировать все операции.

Ситуация сложилась бы иначе, если бы хакеры взломали саму криптобиржу. Фактическими собственниками своих активов клиенты Binance и многих других бирж не являются, поскольку Binance ― кастодиальный сервис. Что это значит и есть ли сервисы, где криптоактивы принадлежат только их держателям?

Кому на самом деле принадлежат ваши активы?

Кастодиальный сервис ― простыми словами, это аналог банка. К таким сервисам относится не только Binance, но и многие другие биржи, платежные сервисы (PayPal, Advanced Cash и др.), брокерские сервисы, банки, которые работают с цифровой валютой, и некоторые кошельки (Freewallet, Blockchain.com и др.).

Такой сервис дает клиентам доступ к активам, возможность совершать с ними операции, зачастую зарабатывать на их хранении, а также ― восстановить пароль к аккаунту при его утере. При обращении к услугам кастодиального сервиса пользователь проходит верификацию, то есть все его операции перестают быть анонимными.

Как банк имеет доступ к счету клиента, так и кастодиан знает, какие суммы лежат у вас в аккаунте. Но важнее то, что он владеет вашими приватными ключами. Это как если бы банк знал кодовое слово от вашей карты, а вот вы ― нет.

«Но как же, я же могу зайти в свой аккаунт, у меня есть к нему пароль…», ― подумаете вы. Да, но пароль к аккаунту и ключ к криптоактиву ― это разные вещи.

Какие риски несут пользователи кастодиальных сервисов

Активы не могут исчезнуть со счета просто так, однако с кастодиальными сервисами регулярно происходят события, которые ставят активы их клиентов под угрозу.

Взломы

Самая громкая кража криптовалюты в кастодиальном сервисе случилась на одной из первых биткоин-бирж Mt.Gox. За 2011-2013 злоумышленники незаметно для разработчиков вывели около 650 000 BTC. Биржа перестала работать и с 2018 года выплачивает пострадавшим клиентам компенсации. Виновников взлома не нашли.

От взломов не застрахованы даже хорошо защищенные криптобиржи. Блокчейн Binance Smart Chaine мог лишиться $570 млн, если бы разработчики не обнаружили эксплойт ― вирус, которые пытается уничтожить систему или захватить управление.

Кастодиальные сервисы обязаны возвращать украденные средства пострадавшим, но даже в самом благоприятном случае это может занимать месяцы, если не годы.

Кража средств биржей

Мошенниками могут выступать и сами основатели криптоплатформ. Так случилось с клиентами турецкой криптобиржи Thodex в 2021 году. Глава компании Фарук Фатир Озер похитил цифровые активы на $2 млрд. Около 400 тыс. пользователей потеряли доступ к своим счетам.

Сначала разработчики пообещали приостановить биржу на 4-5 дней для разбирательств, но потом прекратили ее работу навсегда. А Озера уже нашли в Албании и пообещали присудить ему больше 40 тыс. лет тюрьмы.

Блокировка и заморозка средств

Счета пользователей кастодиальных сервисов могут быть заморожены либо заблокированы, например, по распоряжению правительства. В августе 2022 биржа Binance заморозила корпоративный счет на $1 млн. по требованию правоохранительных органов. Криптобиржа заявила, что неоднократно предупреждала владельцев средств о предстоящей блокировке. От каких именно правоохранительных органов поступил запрос, в Binance не уточнили, однако предложили оспаривать конфискацию через соответствующие структуры.

Блокировать счета сервисы могут и по другим причинам. Например, из-за санкций. После выхода восьмого пакета санкций ЕС граждане России не могут владеть криптовалютой на криптокошельках в Европе. Ранее существовал запрет на суммы до 10 тыс. евро в эквиваленте, теперь этот запрет полный. Конкретных разъяснений, должны ли криптоплатформы блокировать кошельки, аккаунты, суммы и на каких типах платформ, политики не предоставили.

Некоторые криптобиржи уже стали отключать от обслуживания граждан России. Среди них крупные игроки ― Coinbase, LocalBitcoins, Blockchain.com, Crypto.com и др. Все они разослали предупреждения своим клиентам и оставили возможность вывести депозиты в указанный срок.

Закрытие бирж

А еще криптовалютные биржи постоянно закрываются. Существует даже их «цифровое кладбище». По данным Wired, после хакерских атак и конкуренции около 45% криптоплатформ останавливают работу.

Иногда у бирж не получается подстроиться под обновленные законодательства, как это было с Bitcoin Chopcoin. Создатели платформы не захотели внедрять политику AML и KYC-проверки. Простыми словами, политика ALM касается противодействия отмыванию денег, а проверка KYC ― это идентификация личности пользователя.

Однако несмотря на значимость описанных рисков, рядовых пользователей они касаются не так часто. Их перекрывают плюсы кастодиальных сервисов ― пароли клиентов всегда восстановит служба поддержки, чего не случится с владельцами некастодиальных кошельков. Биржи и другие кастодиальные сервисы также обеспечивают бесплатные транзакции внутри платформ. Это незаменимый инструмент для активных трейдеров, чтобы покупать и продавать активы быстро и без дополнительных комиссий.

С какими сервисами не нужно делиться ключами

Все эти риски не несут пользователи, которые хранят свои криптовалютные активы на некастодиальных площадках. Вне зависимости от того, в какой форме представлена площадка ― открывается в браузере, или это мобильное приложение, или флешка, ключ к такому кошельку имеет только владелец актива. Обычно это пароль и специальная seed-фраза. Это именно тот ключ, которым кастодиан со своим клиентом не делится.

Недоступность приватных ключей для самого сервиса является его главным плюсом и главным минусом. При загрузке некастодиального кошелька ярким и жирным шрифтом высвечивается предупреждение ― запомните, запишите, храните в недоступных местах свою секретную фразу. Техподдержка не сможет ее восстановить. По причине забытого пароля с 2009 года в мире потеряно почти 3,7 млн BTC. Создатель Ethereum также подтверждал, что к кошелькам скорее теряется доступ, чем они взламываются.

Так бывший технический директор криптовалютной платформы Ripple Стефан Томас лишился 7 тыс BTC. Его криптовалюта хранится на жестком диске, пароль к которому он потерял еще в 2011 году.

Однако разработчики некастодиальных кошельков понимают риск потери пароля и предлагают новые способы защиты для пользователей. Например, кошелек BITCASH использует не seed-фразы, а биометрию. Это что-то вроде Face или Touch ID. Сервис запоминает владельца по уникальному контуру лица. Потерять такой пароль просто невозможно.

Доступ к ключам ― не единственная особенность некастодиальных сервисов. Транзакции происходят быстро (со скоростью блокчейна, в котором происходит транзакция), особенно по сравнению с криптобиржами, где нужно ждать подтверждение вывода средств. Во многих площадках все еще не нужно верифицировать личность.

Резюмируем

Единого безупречно безопасного решения для хранения криптоактивов еще не придумано. Даже холодные кошельки (те, что в виде флешки, жесткого диска или листка бумаги) можно потерять, утопить или поломать. Поэтому большинство пользователей криптовалюты имеют несколько кошельков некастодиального и кастодиального типов и используют их для разных целей. В первом случае для хранения крупных сумм и полного контроля над сбережениями, во втором ― для частых оплат, торговых операций и инвестиций.

Цифровые знаки (токены) не являются средством платежа, не обеспечиваются государством. Приобретение токенов может привести к полной потере денежных средств и иных объектов гражданских прав, переданных в обмен на токены (в том числе в результате волатильности стоимости токенов; технических сбоев (ошибок); совершения противоправных действий, включая хищение).

8

0

0

3

0