В начале октября мошенники взломали блокчейн Binance Smart Chaine, принадлежащий крупнейшей криптобирже в мире Binance, и украли токены сети на $100 млн в эквиваленте. Часть клиентов биржи на время потеряли доступ к своим активам или получили ограничение на вывод и пополнение средств. Это яркий пример, когда реализуется риск, под который попадает огромное количество держателей криптовалюты. Как понять, что среди них есть вы?
Разработчики Binance Smart Chaine вовремя среагировали ― заморозили украденные токены и остановили все транзакции в сети. Эта кража не имела таких плачевных последствий, т.к. криптобиржа управляла взломанным блокчейном, имела к нему прямой доступ и могла регулировать все операции.
Ситуация сложилась бы иначе, если бы хакеры взломали саму криптобиржу. Фактическими собственниками своих активов клиенты Binance и многих других бирж не являются, поскольку Binance ― кастодиальный сервис. Что это значит и есть ли сервисы, где криптоактивы принадлежат только их держателям?
Кому на самом деле принадлежат ваши активы?
Кастодиальный сервис ― простыми словами, это аналог банка. К таким сервисам относится не только Binance, но и многие другие биржи, платежные сервисы (PayPal, Advanced Cash и др.), брокерские сервисы, банки, которые работают с цифровой валютой, и некоторые кошельки (Freewallet, Blockchain.com и др.).
Такой сервис дает клиентам доступ к активам, возможность совершать с ними операции, зачастую зарабатывать на их хранении, а также ― восстановить пароль к аккаунту при его утере. При обращении к услугам кастодиального сервиса пользователь проходит верификацию, то есть все его операции перестают быть анонимными.
Как банк имеет доступ к счету клиента, так и кастодиан знает, какие суммы лежат у вас в аккаунте. Но важнее то, что он владеет вашими приватными ключами. Это как если бы банк знал кодовое слово от вашей карты, а вот вы ― нет.
«Но как же, я же могу зайти в свой аккаунт, у меня есть к нему пароль…», ― подумаете вы. Да, но пароль к аккаунту и ключ к криптоактиву ― это разные вещи.
Какие риски несут пользователи кастодиальных сервисов
Активы не могут исчезнуть со счета просто так, однако с кастодиальными сервисами регулярно происходят события, которые ставят активы их клиентов под угрозу.
Взломы
Самая громкая кража криптовалюты в кастодиальном сервисе случилась на одной из первых биткоин-бирж Mt.Gox. За 2011-2013 злоумышленники незаметно для разработчиков вывели около 650 000 BTC. Биржа перестала работать и с 2018 года выплачивает пострадавшим клиентам компенсации. Виновников взлома не нашли.
От взломов не застрахованы даже хорошо защищенные криптобиржи. Блокчейн Binance Smart Chaine мог лишиться $570 млн, если бы разработчики не обнаружили эксплойт ― вирус, которые пытается уничтожить систему или захватить управление.
Кастодиальные сервисы обязаны возвращать украденные средства пострадавшим, но даже в самом благоприятном случае это может занимать месяцы, если не годы.
Кража средств биржей
Мошенниками могут выступать и сами основатели криптоплатформ. Так случилось с клиентами турецкой криптобиржи Thodex в 2021 году. Глава компании Фарук Фатир Озер похитил цифровые активы на $2 млрд. Около 400 тыс. пользователей потеряли доступ к своим счетам.
Сначала разработчики пообещали приостановить биржу на 4-5 дней для разбирательств, но потом прекратили ее работу навсегда. А Озера уже нашли в Албании и пообещали присудить ему больше 40 тыс. лет тюрьмы.
Блокировка и заморозка средств
Счета пользователей кастодиальных сервисов могут быть заморожены либо заблокированы, например, по распоряжению правительства. В августе 2022 биржа Binance заморозила корпоративный счет на $1 млн. по требованию правоохранительных органов. Криптобиржа заявила, что неоднократно предупреждала владельцев средств о предстоящей блокировке. От каких именно правоохранительных органов поступил запрос, в Binance не уточнили, однако предложили оспаривать конфискацию через соответствующие структуры.
Блокировать счета сервисы могут и по другим причинам. Например, из-за санкций. После выхода восьмого пакета санкций ЕС граждане России не могут владеть криптовалютой на криптокошельках в Европе. Ранее существовал запрет на суммы до 10 тыс. евро в эквиваленте, теперь этот запрет полный. Конкретных разъяснений, должны ли криптоплатформы блокировать кошельки, аккаунты, суммы и на каких типах платформ, политики не предоставили.
Некоторые криптобиржи уже стали отключать от обслуживания граждан России. Среди них крупные игроки ― Coinbase, LocalBitcoins, Blockchain.com, Crypto.com и др. Все они разослали предупреждения своим клиентам и оставили возможность вывести депозиты в указанный срок.
Закрытие бирж
А еще криптовалютные биржи постоянно закрываются. Существует даже их «цифровое кладбище». По данным Wired, после хакерских атак и конкуренции около 45% криптоплатформ останавливают работу.
Иногда у бирж не получается подстроиться под обновленные законодательства, как это было с Bitcoin Chopcoin. Создатели платформы не захотели внедрять политику AML и KYC-проверки. Простыми словами, политика ALM касается противодействия отмыванию денег, а проверка KYC ― это идентификация личности пользователя.
Однако несмотря на значимость описанных рисков, рядовых пользователей они касаются не так часто. Их перекрывают плюсы кастодиальных сервисов ― пароли клиентов всегда восстановит служба поддержки, чего не случится с владельцами некастодиальных кошельков. Биржи и другие кастодиальные сервисы также обеспечивают бесплатные транзакции внутри платформ. Это незаменимый инструмент для активных трейдеров, чтобы покупать и продавать активы быстро и без дополнительных комиссий.
С какими сервисами не нужно делиться ключами
Все эти риски не несут пользователи, которые хранят свои криптовалютные активы на некастодиальных площадках. Вне зависимости от того, в какой форме представлена площадка ― открывается в браузере, или это мобильное приложение, или флешка, ключ к такому кошельку имеет только владелец актива. Обычно это пароль и специальная seed-фраза. Это именно тот ключ, которым кастодиан со своим клиентом не делится.
Недоступность приватных ключей для самого сервиса является его главным плюсом и главным минусом. При загрузке некастодиального кошелька ярким и жирным шрифтом высвечивается предупреждение ― запомните, запишите, храните в недоступных местах свою секретную фразу. Техподдержка не сможет ее восстановить. По причине забытого пароля с 2009 года в мире потеряно почти 3,7 млн BTC. Создатель Ethereum также подтверждал, что к кошелькам скорее теряется доступ, чем они взламываются.
Так бывший технический директор криптовалютной платформы Ripple Стефан Томас лишился 7 тыс BTC. Его криптовалюта хранится на жестком диске, пароль к которому он потерял еще в 2011 году.
Однако разработчики некастодиальных кошельков понимают риск потери пароля и предлагают новые способы защиты для пользователей. Например, кошелек BITCASH использует не seed-фразы, а биометрию. Это что-то вроде Face или Touch ID. Сервис запоминает владельца по уникальному контуру лица. Потерять такой пароль просто невозможно.
Доступ к ключам ― не единственная особенность некастодиальных сервисов. Транзакции происходят быстро (со скоростью блокчейна, в котором происходит транзакция), особенно по сравнению с криптобиржами, где нужно ждать подтверждение вывода средств. Во многих площадках все еще не нужно верифицировать личность.
Резюмируем
| Кастодиальные | Некастодиальные | |
| Плюсы | 1. Возможность восстановить пароль 2. Выгодны для трейдинга внутри платформы | 1. Доступ к ключам только у вас 2. Ниже комиссии 3. Транзакции ввода/вывода проходят быстрее. |
| Минусы | 1. Ключами владеет сервис, а не вы 2. Риск потери средств вследствие атаки хакеров, блокировки, заморозки счета, закрытия сервиса | 1. Невозможно восстановить пароль 2. Необходимость хранения и защиты seed-фразы |
Единого безупречно безопасного решения для хранения криптоактивов еще не придумано. Даже холодные кошельки (те, что в виде флешки, жесткого диска или листка бумаги) можно потерять, утопить или поломать. Поэтому большинство пользователей криптовалюты имеют несколько кошельков некастодиального и кастодиального типов и используют их для разных целей. В первом случае для хранения крупных сумм и полного контроля над сбережениями, во втором ― для частых оплат, торговых операций и инвестиций.
Цифровые знаки (токены) не являются средством платежа, не обеспечиваются государством. Приобретение токенов может привести к полной потере денежных средств и иных объектов гражданских прав, переданных в обмен на токены (в том числе в результате волатильности стоимости токенов; технических сбоев (ошибок); совершения противоправных действий, включая хищение).