
Шито-крипта: появилась новая схема кражи виртуальной валюты

Появилась новая схема мошенничества с виртуальной валютой, рассказали «Известиям» в одной из крупнейших криптобирж Binance. Злоумышленники начали создавать свои проекты децентрализованных финансов (DeFi, традиционные, но основанные на блокчейне приложения и сервисы), при этом намеренно включая ошибку в код. С помощью этой искусственной уязвимости в дальнейшем они незаконно выводят средства клиентов. За прошлый год объем мошенничества с цифровыми активами в мире оказался выше $1,47 млрд, говорится в Crystal blockchain report. Основной способ защититься от такого обмана — проверка репутации организаторов проекта, гарантий в случае компрометации и результатов аудита безопасности, порекомендовали эксперты.
В новые сферы
С увеличением популярности проектов DeFi, которые стали особенно востребованы в пандемийном 2020 году, появилась новая схема мошенничества с криптовалютами.
Злоумышленники начали создавать свои проекты децентрализованных финансов, при этом намеренно включая в код ошибку. С помощью нее в дальнейшем преступники незаконно выводят средства клиентов через смарт-контракт, обходя алгоритм, который гарантирует неприкосновенность вложений пользователей, рассказал директор Binance в России и СНГ Глеб Костарев.
Децентрализованные финансы — это приложения и сервисы, основанные на блокчейне и создающие экосистему в рамках одной сети. Они предоставляют доступ практически ко всем финансовым услугам, включая кредитование, вклады, заемные операции и торговлю, выступая при этом альтернативой традиционной банковской системе. Большинство из них используют инфраструктуру второй по популярности в мире криптовалюты — Ethereum. Как ранее писали «Известия», за 2020 год его общая капитализация выросла в 61 раз и достигла $92 млрд, а в 2021 году она может увеличиться до $200 млрд.
На DeFi-проекты сейчас приходится более половины атак в криптоиндустрии, так как в них сконцентрировано свыше $51 млрд, сообщил руководитель отдела технического аудита Group-IB Вячеслав Васин. В 2020 году из сервисов децентрализованных финансов было украдено больше $100 млн, оценил он. Злоумышленники проводят атаки на смарт-контракты, web3-приложения, инфраструктуру, а также напрямую на людей, используя для этого разнообразные социотехнические методы, пояснил эксперт. На схему с созданием фиктивных DeFi-проектов с заранее заготовленными уязвимостями в коде приходится порядка 10–15%.
Более старые схемы злоумышленники также приспосабливают под новые инструменты и продукты, которые появляются в сфере криптовалют, добавил Глеб Костарев. В ближайший год количество мошеннических инцидентов с DeFi продолжит расти, считает главный технологический эксперт «Лаборатории Касперского» Александр Гостев.
За прошлый год объем мошенничества с цифровыми активами в мире приблизился к $1,5 млрд, что, впрочем, почти на 60% меньше, чем в 2019 году, и на 50% больше, чем в 2018-м, следует из Crystal blockchain report. По данным отчета, наиболее значительный вид кибератаки — взлом во внутренних системах безопасности криптовалютной организации — это приводит к незаконному получению доступа к кошелькам на таком сервисе.
Распознать обман
Чтобы обезопасить себя от мошенничества с DeFi-проектами, необходимо обращать внимание на репутацию их организаторов: позитивную историю их предыдущих проектов, реальность создателей, наличие юрлица и каких-либо гарантий в случае компрометации контракта, порекомендовал Вячеслав Васин из Group-IB. Кроме того, положительным фактором будет прохождение аудита безопасности смарт-контракта у эксперта и публикация отчета с результатами и подтверждением, что найденные уязвимости были исправлены. Более надежный случай — проведение серии проверок у разных независимых аудиторов.
Эксперты рассказали и о других схемах обмана с цифровыми активами. Злоумышленники в том числе продолжают эффективно использовать стандартные техники и с цифровыми валютами, добавил Александр Гостев из «Лаборатории Касперского». Например, они с помощью фишинга воруют данные для входа в аккаунты.
Помимо сложного пароля и двухфакторной аутентификации, то есть дополнительного кода, который приходит на устройство при попытке входа в кошелек, есть и несколько других методов повысить свою безопасность при работе с криптой, рассказал Глеб Костарев из Binance. Во-первых, не стоит использовать общественные Wi-Fi, чтобы получить доступ к активам. Хозяева сети могут установить свои собственные правила и, например, перенаправить браузер клиента на поддельную версию биржи или кошелька, а затем собирать данные пользователя.
Во-вторых, чтобы избежать фишинга, нужно всегда проверять, соответствует ли отображаемая ссылка в браузере оригинальной для используемой биржи.
И в-третьих, необходимо следить за адресом получателя при трансакциях. Переводы цифровых активов необратимы, поэтому ошибка в одном знаке может привести к потере средств. А крипто-крадущие вирусы способны заменять адрес введенного кошелька на тот, что принадлежит хакеру.