Миллионы долларов на безопасность: как Gate.io защищает средства клиентов

По данным портала HedgewithCrypto, за последние 10 лет хакеры взломали 49 криптобирж и украли $2,7 млрд. Тем не менее площадки постоянно улучшают защиту — крупных краж становится все меньше. В 2020 году произошло девять взломов, в прошлом году — четыре, а в этом — всего один. Вместе с Gate.io рассказываем, какие векторы атаки чаще всего используют хакеры, как платформа защищает средства клиентов и чего боятся крупнейшие криптобиржи. Из чего состоит безопасность биржи Самая частая причина взлома бирж — уязвимости хранилища приватных ключей к горячим кошелькам. Согласно HedgewithCrypto, хакеры также использовали: баги торговой платформы;фишинг; бреши в защите серверов;рассылку вредоносных программ;подкуп сотрудников.  Чтобы защитить клиентов, площадки должны закрыть эти уязвимости и разработать сценарии реагирования на разные угрозы. Некоторые биржи используют уникальные меры: Gate.io разработала программу для ончейн-аудита резервов и первой из мейнстримных криптобирж предоставила доказательство 100% обеспечения балансов пользователей; BitMEX реализовала в торговом движке сверку балансов пользователей после каждой сделки и стоп-кран для остановки операций, если счет хоть одного трейдера не сойдется с историей его сделок; Coinbase запустила Coinbase Tracer — собственный сервис для проверки чистоты транзакций; Kraken установила в серверных системы видеонаблюдения и приставила к ним вооруженную охрану. Комплексная защита площадки обходится дорого: Gate.io тратит на нее миллионы долларов в год. Точная сумма находится под секретом. Защита горячих и холодных кошельков Биржи используют два вида кошельков: горячие для ежедневных операций по принятию депозитов и вывода средств и холодные для безопасного хранения активов.   Ключи от горячих кошельков обычно находятся в компьютере с подключением к интернету, чтобы площадка могла быстро подписывать транзакции. Это опасно —  хакеры могут получить доступ к машине, украсть приватный ключ или перенаправить транзакции на свои адреса.   Для управления горячими и холодными кошельками Gate.io использует мультиподпись, а значит кража одного ключа не приведет к потере контроля над активами. Кроме того, Gate.io держит ключи и бэкапы в аппаратных модулях безопасности (Hardware Security Module) — аналогах Trezor и Ledger для задач бизнеса. Все холодные кошельки отключены от интернета. Безопасность сайта и серверов В 2020 году хакеры получили доступ к серверам биржи Livecoin, повысили котировки биткоина и Ethereum до $220 000 и $65 000 соответственно, а затем похитили более $2 млн. С 2014 года от подобных взломов пострадали восемь бирж. Чтобы противостоять таким атакам, Gate.io использует: протокол HTTPS для безопасной передачи данных между пользователями и серверами;собственный анти-DDoS и файрвол CloudFlare для защиты от трафика, который может замедлить или парализовать работу платформы;Web Application Firewall (WAF) для борьбы с сетевыми атаками — SQL-инъекциями, подменой токенов доступа, исполнением вредоносного кода в браузере и попытками перебора паролей;защищенные DNS, чтобы хакеры не смогли перенаправить пользователей на фишинговый сайт. Торговое ядро Gate.io состоит из раздельных модулей. Такой подход не позволяет хакерам реализовать сценарий с подменой котировок криптовалют, доходности инструментов или любых других параметров платформы. Для обеспечения внутренней безопасности биржа внедрила корпоративные файрволы и систему контроля доступа к корпоративным ресурсам. При заражении одного рабочего компьютера система выявит вирус при первых попытках прочесть данные. Безопасность аккаунтов Если злоумышленник получит доступ к аккаунту пользователя, то сможет украсть его средства несмотря на меры защиты кошельков и платформы. Поэтому Gate.io обязывает пользователей настраивать двухфакторную аутентификацию одним из способов: код в SMS или письме на электронную почту; Google Authenticator; подтверждение входа через аппаратный ключ безопасности YubiKey, аппаратный кошелек Gate.io Wallet S1 со сканером отпечатка пальца или другое устройство с поддержкой стандарта FIDO2. Пользователь также задает торговый пароль. Платформа запрашивает его перед любой операцией с активами: открытием или закрытием позиции, переводом средств или выводом криптовалюты на внешний кошелек. Кроме того, он может настроить белый список адресов для вывода. Даже при наличии логина и пароля от аккаунта хакер не сможет вывести или по-другому использовать средства на счету. При этом Gate.io пришлет владельцу счета уведомление о входе с нового IP-адреса и запишет его в журнал логинов.  Для непредвиденных обстоятельств на Gate.io работает сервис наследования аккаунтов. Пользователь указывает контактные данные близких или друзей. Если он не будет заходить на платформу в течение длительного времени, биржа свяжется с указанными людьми и после подтверждения личности передаст им доступ к аккаунту. Прозрачность платформы В 2022 году криптоэнтузиасты столкнулись с новой проблемой: биржи использовали их депозиты для собственных операций. Из-за падения курсов биткоина и Ethereum позиции площадок стали убыточными. Компании приостанавливали вывод средств или даже объявляли о банкротстве.  За два года до этого Gate.io разработала ончейн-решение Proof-of-Reserves для независимого аудита резервов. В нем можно узнать свой реальный баланс на холодном кошельке биржи по хешу UID. В июле 2022 года аудиторская компания Armanino LLP подтвердила, что Proof-of-Reserves работает правильно и Gate.io хранит 100% внесенных средств. Безопасность экосистемы Криптобиржи запускают блокчейны и токены, но не могут гарантировать безопасность децентрализованных приложений. Так, в марте 2021 года хакеры захватили DNS Pancake Swap на BNB Chain, и перехватили приватные ключи части трейдеров. Для устранения этой уязвимости Gate.io добавила в GateChain механизм отмены транзакций и резервного вывода. Пользователи создают специальные адреса-хранилища и задают количество блоков, в рамках которого могут отменить отправленные транзакции. Кроме того, владелец хранилища может привязать к нему резервный адрес для вывода средств в случае потери приватного ключа. Для этого нужно обратиться в техподдержку Gate.io. Выводы После ребрендинга на странице «О Gate.io» появился слоган «Наш высший приоритет — безопасность данных и активов пользователей». И это правда: система безопасности биржи закрывает известные уязвимости торговых площадок. Но Gate.io не останавливается на достигнутом: биржа запустила баунти-программу для белых хакеров и разработала аппаратный кошелек со сканером отпечатков пальца Wallet S1. Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.