Журнал "Information Security/ Информационная безопасность" #1, 2024

Проблемы и угрозы Криптовалютные кошельки во всем их многообразии можно поделить на две большие категории: к холодным относят аппаратные, к которым есть физический доступ, а к горячим – браузерные или мобильные приложе- ния. Холодные кошельки не подключаются к Интернету и считаются самыми без- опасными – это бумажные кошельки, флешки и т.п. Их нужно подключать к компьютеру или телефону для совер- шения транзакций. Важно отметить, что при использова- нии холодных криптокошельков за сохранность закрытых ключей и средств, к которым они предоставляют доступ, несет сам владелец, а при использова- нии горячих ответственность ложится на оператора сервиса (кастодиана или депозитарий). Основные проблемы и угрозы, с кото- рыми сталкиваются пользователи крип- товалютных кошельков, включают в себя следующие. 1. Взломы и кибератаки. Криптова- лютные кошельки могут стать целью злоумышленников, которые стараются получить доступ к частным ключам и совершить кражу средств. 2. Фишинг. Злоумышленники могут создавать поддельные веб-сайты и элек- тронные письма, имитирующие офици- альные криптовалютные сервисы, на которых пользователи вводят свои аутентификационные данные и теряют доступ к средствам. 3. Потеря доступа. В случае утери пароля, закрытого ключа или резервной фразы пользователи могут лишиться доступа к своим средствам без возмож- ности их восстановления. К утере можно отнести также и невозможность их вспомнить. 4. Социальная инженерия. Атаки могут быть направлены не только на технические слабые места, но и на слабые места в поведении пользова- телей, которые подвергаются обману с целью раскрытия их конфиденциаль- ных данных. 5. Влияние человеческого фактора. Ошибки в управлении кошельком, невер- ное сохранение частного ключа или резервной фразы также могут привести к потере средств. 6. В последние годы для российских пользователей высокие риски несут санкции, реализуемые площадками по требованию иностранных регуля- торов (OFAC, SEC, FCA). При этом одни биржи просто блокируют кошель- ки (так поступили большинство пло- щадок), другие же дают время на вывод средств (как было с Binance в 2023 г.). 7. Растет также количество взломов, связанных с инсайдерами в самих про- ектах. Они сливают информацию о кошельках, платформах, протоколах взаимодействия. 8. Многих разработчиков в послед- нее время интересует защита от кван- товых компьютеров, в частности защи- та от перебора приватных ключей. Возможно, угроза со стороны кванто- вых компьютеров преувеличена, одна- ко она все же существует, и многое зависит от того, какие шаги предпри- мут блокчейн-разработчики до того момента, когда эта угроза станет более реальной. К примеру, разра- ботчики Ethereum ведут разработку устойчивых к квантовым атакам мето- дов криптографии, таких как подписи Winternitz и технология с нулевым раз- глашением STARK. Примеры уязвимостей и их эксплуатации В феврале 2018 г. сообщество отме- тило несколько новостных статей, в кото- рых утверждалось, что Национальный институт стандартов и технологий (NIST) активно расследует уязвимость 2018 г. в приложении iOS Trust Wallet, которая была оперативно исправлена в том же году. Разработчики заверили пользова- телей в том, что их средства в безопас- ности, а кошельки безопасны для использования. В августе 2022 г. произошла крупная кража токенов из кошелька Solana, кото- рая была вызвана уязвимостью центра- лизованного сервера Sentry. Исследо- ватели обнаружили две новых техноло- гии сбора данных из Solana, которые могут выполнять атаки с перестановкой битов. В конце ноября 2023 г. 1,5 млн бит- койнов оказались под угрозой хищения из-за уязвимости Randstorm, которая позволяет восстанавливать пароли и получать несанкционированный доступ к множеству кошельков на разных блок- чейн-платформах. Уязвимость связана с использованием BitcoinJS – открытой JavaScript-библиотеки для разработки криптовалютных кошельков в браузере. Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и вос- становления сгенерированных приват- ных ключей кошельков, причем уязви- мости в базовых библиотеках, исполь- зуемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок. В декабре 2023 г., "надписи" на бит- койнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения вни- мания к недостаткам безопасности, кото- рые были допущены при разработке 64 • ТЕХНОЛОГИИ Управление уязвимостями в криптокошельках риптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области. К Александр Подобных, глава департамента расследований BitOK, руководитель Санкт-Петербургского РО АРСИБ, руководитель Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт