Блокчейн не захищений. Криптовалюта під загрозою

29.01.2022

Як захиститися від крадіжки або втрати криптовалюти

На зорі своєї появи блокчейн виглядав надійною та безпечною технологією, яку неможливо зламати. Проте реалії практичного використання показали серйозні вразливості, пов’язані з блокчейном, які спричинили втрати значних коштів власників криптовалют. 

За даними MIT Technology Review, з 2017 до 2019 роки було вкрадено $2 млрд у криптовалюті. До 2021 року цифра значно зросла.

Сьогодні ми вже не можемо з упевненістю сказати, що блокчейн є цілком безпечним. Джерела проблем безпеки в блокчейні найрізноманітніші. Це атаки на біржі, помилки програмного забезпечення, ненадійне зберігання закритого ключа криптовалютного гаманця, “атака 51%”, помилки в смарт-контрактах та інші технічні та організаційні недоліки.

Значна частина цих проблем вирішується впровадженням комплексних заходів безпеки: безпечна розробка та харденінг систем, аудити, пентести, кероване виявлення та реагування на загрози тощо. Однак, багатьох проблем безпеки можна уникнути, розуміючи механізми злому та дотримуючись простих правил безпеки.

Розглянемо основні ризики, пов’язані з криптовалютами, та способи запобігання втраті засобів шляхом застосування простих правил. 

  1. Фальшиві криптогаманці.
  2. Шкідливий або “чорний” майнінг.
  3. Програми-здирники.
  4. Фішингові сайти.
  5. Спам-розсилки.

Фальшиві криптогаманці

crypto wallet

Що це? 

Фальшиві віртуальні гаманці – це шкідливі веб-сайти або мобільні додатки, метою яких є крадіжка закритих ключів та паролів.

Як це працює?

Завданням підробленого гаманця є незаконне отримання коштів шляхом обману користувача. Так, замість створення нового закритого ключа та адреси для перерахування, програма показує вже готову адресу шахрая для перерахування криптоактивів. Після зарахування коштів на такий рахунок користувачі вже не можуть ними скористатися, оскільки закритий ключ зберігається у викрадача.

Як із цим боротися? 

Для захисту засобів та забезпечення безпеки варто використовувати лише перевірені офіційні гаманці. Якщо ви новачок у цій справі, радимо відвідувати тематичні форуми та вивчати якісний контент, щоб не потрапити до мережі зловмисників.

Якщо ви не новачок в ІТ, ви, напевно, звикли надійно зберігати ваші складні паролі, звикли до культури двофакторної автентифікації, а також до культури створення, захисту та зберігання кодів резервного відновлення. Маючи такі звички, ви істотно підвищуєте не тільки вашу загальну ІТ-безпеку, але й можете скористатися надійнішими криптогаманцями. 

Наприклад, замість кастодіальних гаманців (онлайн-сервісів, що мають доступ до вашого закритого ключа) ви можете використовувати надійніші некастодіальні гаманці. Вони бувають (у порядку зменшення надійності): апаратні, мобільні, паперові, десктоп- і веб-гаманці. 

Шкідливий або “чорний” майнінг 

malicious-mining

Що це?

Шкідливий майнінг – це незаконний видобуток криптовалюти, який здійснюється за допомогою використання комп’ютерів, що належать іншим людям.

Як це працює?

На сьогоднішній день виділяють два найпопулярніші способи незаконного майнінгу. Це майнінги через програму-вірус та через браузер. Обидва методи сильно навантажують комп’ютер користувача.

Майнінг через програму-вірус. Код шкідливого програмного забезпечення завантажується на комп’ютер користувача і починає безперервно працювати над видобутком криптовалюти. При цьому власник може навіть не підозрювати, що його комп’ютер працює замість звичних 20-30% на всі 80-100%, оскільки процес майнінг може залишатися майже непомітним на тлі інших процесів.

Майнінг через браузер. У веб-сторінці впроваджується спеціальний код, який дозволяє видобувати криптовалюту, використовуючи ресурси користувача, який відвідав такий сайт. Тут логіка проста – чим більше часу користувач провів на сайті, тим більший прибуток. У цій схемі важливу роль відіграє кількість відвідувачів сайту.

Спочатку, коли технології майнінгу тільки розвивалися, власники великих сайтів вдавалися до обміну з користувачами. Перші відкрито пропонували безкоштовний контент замість використання комп’ютерів других для майнінгу.

Як із цим боротися?

Щоб убезпечити себе від перерахованих вище способів майнінгу, ми рекомендуємо дотримуватися наступних правил:

  1. По можливості, відключити JavaScript у браузері.
  2. Використовувати спеціальні програми, які блокують майнінг (No Coin, Anti-WebMiner, MinerBlock).
  3. Встановити AdBlock.
  4. Використовувати надійний антивірус.
  5. Уникати скачування підозрілих програм.
  6. Не переходити за невідомими посиланнями.
  7. Звернутися до фахівця за професійною допомогою.

Програми-вимагачі

virus

Що це?

Програма-вимагач – це форма шкідливого програмного забезпечення, яке блокує доступ до файлів на пристрої користувача, вимагаючи від жертви оплату анонімного платежу для відновлення вихідного стану. Найчастіше шахраї вимагають викуп саме в криптовалюті для оперативності операції та анонімності.

Як це працює?

Програма-вимагач – це атака, що здійснюється в кілька етапів. Кіберзлочинці проникають у систему для крадіжки або шифрування ваших файлів, блокуючи можливість відновлення. Потім жертва отримує вимогу у вигляді викупу. Досить часто навіть після оплати заявленої суми грошей зловмисники не надають ключі дешифрування.

Як із цим боротися?

Правило номер один – не платити викуп.

Правило номер два – спробувати використовувати дешифратор. Будьте готові, що це не завжди робочий спосіб, якщо ви робитимете це самостійно. Щоб не погіршити ситуацію та не нашкодити собі ще більше, краще довіритись професіоналу. Ви можете звернутися за допомогою до фахівця з кібербезпеки.

Правило номер три – найкращий захист – це запобігання атакам програм-вимагачів. Встановлення надійної антивірусної програми, своєчасні оновлення системи та регулярне резервне копіювання забезпечать надійний захист ваших систем та даних.

Фішингові сайти

hook

Що це?

Фішинг – інтернет-атака, мета якої – отримання доступу до конфіденційних даних.

Як це працює?

Кіберзлочинці створюють сторінки або цілі сайти, які візуально дуже схожі на криптобіржі. Завданням є отримання логіну та паролю від вашого акаунта, внаслідок чого всі ваші накопичення в криптовалюті можуть бути безповоротно втрачені.

Так, у січні шахраї під виглядом бренду Adidas скористалися месенджером WhatsApp для отримання персональних даних користувачів.

Як із цим боротися?

Важливо перевіряти справжність ресурсу, звертати увагу на адресний рядок, зберігати в закладках сайти, що часто відвідуються, та, банально, не натискати на підозрілі посилання. 

Спам-розсилки

letters

Що це?

Спам-розсилка – це масове розсилання листів рекламного характеру користувачам, які не давали на це згоди. Разом з тим, спам є одним із найпоширеніших каналів розповсюдження фішингу.

Як це працює?

Найчастіше на пошту надходить правдоподібний лист від імені криптовалютних бірж або сайтів із проханням виконати ті чи інші дії. Наприклад, вас можуть попросити пройти опитування нібито для покращення роботи біржі. Для переконливості наприкінці ще грошову винагороду запропонують.

Також можуть надходити листи під виглядом оповіщень про безпеку. Тут вас будуть просити ввести контрольне питання або змінити старий пароль на новий більш надійний і безпечний. Не виключено, що листа від служби підтримки надіслано кібершахраєм. Таким чином, вам повідомляють про деякі технічні проблеми з вашим обліковим записом і просять надіслати свою конфіденційну інформацію для усунення несправностей.

Серйозні шахраї пишуть спам-листи грамотно, без помилок. Іноді навіть додають посилання на офіційні веб-сторінки.

Як із цим боротися?

Спочатку розберімося, як ваші адреси емайл могли потрапити до списку спам-розсилки.

  1. Злом. Вашу поштову скриньку або сайт могли зламати. В результаті отримати доступ до ваших контактів. Звідси шкідливі листи під виглядом служби підтримки або оповіщень про безпеку.
  2. Продаж бази адрес. Тут все просто, ваші контактні дані, на жаль, були продані власниками сайтів, на яких ви раніше реєструвалися.
  3. Згода на отримання розсилки. На багатьох сайтах користувачі ставлять галочку-згоду на отримання рекламних матеріалів. Якщо ви зробили це через свою неуважність, то ситуацію легко можна виправити, поставивши таку ж галочку наприкінці листа напроти “Відмовитися від розсилки”. Проте це не допоможе від фішингу.
  4. Фішинг. Введення особистих даних на підставних веб-сайтах. Тобто, “засвітивши” свій емайл на одному фішинговому сайті, ви можете отримувати спам і фішингові листи зовсім інших шахраїв.

Декілька порад

Для зменшення ймовірності отримання фішингового листа рекомендується завести окремі поштові скриньки для робочих, особистих та конфіденційних листів. Рекомендуємо скриньки на поштових сервісах із доброю фільтрацією спаму, наприклад, Gmail.

Як додатковий захід можна налаштувати власні фільтри вхідних листів. Якщо ж підозрілий лист все одно надійшов, варто відзначити його як спам. При цьому в жодному разі не можна на нього відповідати, інакше кількість спаму тільки збільшиться. З цієї причини не варто публікувати в загальнодоступних місцях адресу додаткової скриньки для конфіденційних листів.

Нарешті, варто розглянути додаткові послуги захисту від спаму (наприклад, сервіси, що надають тимчасову поштову адресу).


Із розвитком криптовалют, смарт-контрактів, NFT та інших інноваційних технологій блокчейну розвиваються й самі хакери. Криптоактиви були та залишаються ласим шматком їхньої здобичі. На думку більшості експертів, кількість та різноманітність атак на блокчейни збільшуватиметься.

Застосовуючи правила, які ми перерахували, ви захистите ваші активи, які вимірюються в тисячах. Однак, лише професійний надійний захист систем блокчейн убезпечить вас від утрат мільйонів.

Підпишіться на наш канал Телеграм, щоб не пропустити нові статті нашого блогу.

Інші записи

30/10/2022
ТОП найбільших інцидентів NFT усіх часів
17/09/2022
Зломи CeFi та блокчейн-мостів