Почему вы рискуете, храня биткоин на бирже, и как Biterest гарантирует каждому пользователю 100% безопасность залога?


Актуальная тема последних дней — взлом биржи Binance. Вчера ночью биржа внезапно закрыла возможность вводить и выводить все криптовалюты с биржи. Незадолго до хакерской атаки CEO биржи @CZ_Binance написал в Twitter, что это связано с техническими работами, которые ведутся на торговой площадке.

Но через пару часов стало известно, что хакеры вывели 7000 биткоинов с горячего кошелька биржи — это около 2% хранящихся на нем средств. С какого адреса и куда были выведены монеты, можете посмотреть в обозревателе блоков Blockchain.com, который показывает информацию о выводе 7000 BTC: https://www.blockchain.com/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea

Возникает вопрос: как стало возможным вывести с кошелька Binance 7074 BTC одной транзакцией, если даже для большинства авторизованных пользователей лимит в сутки составляет 100 BTC? Похоже, что хакеры вывели деньги с нескольких аккаунтов (говориться о числе от 7 до 70) скорее всего через API. С большинства верифицированных аккаунтов можно снять до 100 BTC, но некоторые состоятельные владельцы аккаунтов все же имеют возможность вывести до 1000 BTC в сутки. Подтверждение транзакций BTC происходит медленно, поэтому хакер завершил все запросы с помощью вызова API и смог совершить вывод BTC одной транзакцией.

dovey_wan

Чжао сказал, что пополнение и вывод средств будут заморожены до вторника 14 мая, и предупредил, что хакеры могут по-прежнему контролировать некоторые учетные записи пользователей.

Binance также рассматривал возможность откатить блокчейн биткоина и восстановить украденные биткоины на свой баланс, но криптокомьюнити быстро и яростно отреагировало на намерение CEO биржи вмешаться в жизнь “ребенка Сатоши”. Все понимают, что это бы нарушило основные принципы, на которых основана работа блокчейна биткоина. После острого заявления криптоэксперта Whale Panda, Чжао в течение часа передумал о вмешательстве в блокчейн.

binance

У бирж регулярно обнаруживаются проблемы с безопасностью. Согласно недавнему исследованию The Block, после взлома Binance общий объем украденных средств с криптовалютных бирж превысил 1,35 миллиарда долларов. Из них 750 миллионов долларов, примерно 59% процентов, были украдены в 2018 году.

Взлом биржи Binance занял 6 место среди наиболее массовых взломов криптовалютных бирж. На первом месте — биржа Coincheck, с которой в результате хакерской атаки январе 2018 года вывели почти полмиллиарда долларов — 62% общего объема всех украденных средств за все время существования криптовалют. За первый квартал 2019 года уже взломаны четыре криптовалютные биржи, что привело к потере около 69 миллионов долларов. В общей сложности, согласно исследованию The Block, зафиксировано уже 42 взлома, но вполне вероятно, что реальное их количество намного выше, мелкие взломы могли быть не зафиксированы.

exchange_hacks

Похищение криптовалют в первую очередь связано с безответственным хранением приватных ключей. В случае с Binance, биткойны хранились в так называемом «горячем кошельке», который подключен к Интернету. Если вы храните криптовалюту на торговых биржах, онлайн-кошельках или криптобанках, то всегда находитесь в зоне риска, потому что ваш приватный ключ известен не только вам.

Злоумышленникам не интересны кошельки отдельных пользователей, на которых хранится небольшой объём криптовалюты. Они ориентируются на площадки с многочисленным количеством приватных ключей, открывающих доступ к десяткам тысяч адресов Bitcoin.

В отчете корейской биржи Bithumb, которая была взломана 29 марта 2019, было сказано, что из-за кражи приватных ключей с горячего кошелька биржи вывели 3 миллиона EOS посредством нескольких транзакций. В блоге Binance написано, что хакеры использовали разные методы взлома, в том числе вирусы, фишинг и специальные программы. Coincheck сперва не хотела раскрывать неловкие подробности безопасности своей биржи, но в ходе пресс-конференции после самого крупного похищения в истории признала, что весь NEM они хранили в одном горячем кошельке без использования мультисиг-подписи, несмотря на предупреждения разработчиков.

Однако, взломы криптовалютных бирж никоим образом не связаны со «слабостью» самой сети Bitcoin. Большинство криптовалют, в том числе и биткоин, никогда не были взломаны. Блокчейн биткоина настолько надежен для хранения средств, что может использоваться в моделях совершения сделок даже между двумя незнакомыми пользователями с использованием мультисиг-адресов.

Вывести биткоин с мультисиг-адреса без согласия второй стороны невозможно, потому что требуется как минимум два приватных ключа из трех существующих. Если они принадлежат двум разным пользователям и не хранятся на одном сервисе, то взломать мультисиг-адрес будет невозможно. Учёные подсчитали, что даже при объединении мощностей всех имеющихся компьютеров на Земле, для подбора только одного приватного ключа, потребовалось бы время, соизмеримое с периодом существования нашей Вселенной.

В 2017 года платформа Biterest предложила P2P кредитование под залог криптовалюты и реализовала хранение криптозалогов на мультисиг-адресах. Один из пользователей (заемщик) получает кредит от другого пользователя (кредитора) под залог своего биткоина, который на время действия кредитной сделки помещается на мультисиг-адрес в блокчейн Биткоина. Каждый мультисиг-адрес, на котором хранится залог, генерируется специально под каждую сделку из трех публичных ключей: заемщика, кредитора и платформы.

Мы единственный сервис кредитования под залог криптовалюты, который хранит криптоактивы пользователей напрямую в блокчейне без использования сторонних кошельков. Это гарантирует высокий уровень безопасности, так как вы уже знаете, что блокчейн невозможно подделать или взломать. Biterest не аккумулирует приватные ключи пользователей в отличие от других бирж, не имеет к ним доступ и не может контролировать криптозалоги - это делает нашу платформу не подвластной хакерским атакам.

О принципе работы ключей, их взаимосвязи с биткоин-адресом, особенностях multisig биткоин-адресов вы можете узнать из этой статьи https://biterest.com/ru/blog/why-is-it-impossible-to-steal-collateral-from-multisig-addres