O tym, że zakupionych kryptowalut pod żadnym pozorem nie powinno trzymać się na giełdzie, mówi się od dawna. Odnoszę wrażenie, że mówi się o tym nawet zbyt często, przez co wspomniana rada staje się niemal całkowicie transparentna i przez dużą część, zwłaszcza początkujących użytkowników kryptowalut jest ona bezrefleksyjnie ignorowana. Jest to swego rodzaju paradoks, że uczestnicy rynku, którego kamieniem węgielnym jest szeroko pojęta idea decentralizacji i wolności od pośredników, w przytłaczającej większości przechowują swoje kryptowaluty na… scentralizowanych platformach handlowych, nie mając nawet dowodu posiadania swoich środków, którym jest tylko i wyłącznie klucz prywatny (lub fraza seed).
Dlaczego tak się dzieje? W grę wchodzi przede wszystkim lenistwo i niezaprzeczalne poczucie wygody trzymania środków na giełdzie - wszystkie dostępne w jednym miejscu, od razu po zalogowaniu, bez konieczności instalacji dodatkowych programów i aplikacji oraz spisywania wygenerowanych słów na kartkach. Do tego dochodzi również złudne poczucie bezpieczeństwa - ok, kradzieże się zdarzają, ale na najczęściej Dalekim Wschodzie, na giełdach, z których nikt w naszym regionie nie korzysta. Zaś przypadków Mt.Gox, czy chociażby Bitcurex nikt juz dziś nie traktuje serio. Giełdy, na których my trzymamy środki - jak same informują - posiadają „najwyższe standardy bezpieczeństwa”, i jak dotąd nie padły ofiarą ataku, więc co złego może się stać?
Jak się jednak okazuje, „najwyższe standardy bezpieczeństwa” nie są przestrzegane w zasadzie przez jakąkolwiek platformę handlową, a co więcej, nawet ich wprowadzenie nie sprawi, że środki klientów trzymane na giełdzie będą w 100% bezpieczne.
Dlaczego nie na giełdzie?
Zacznijmy od podstaw - dlaczego przechowywanie zakupionych kryptowalut na giełdach jest niebezpieczne? Składa się na to kilka istotnych czynników ryzyka. Najważniejszym z nich jest sam wspomniany wcześniej fakt braku dostępu do kluczy prywatnych posiadanych środków. Dość popularne jest anglojęzyczne stwierdzenie „no keys, no crypto”, dość radykalnie wskazujące na fakt, że nasze środki ulokowane na giełdach kryptowalut są jedynie ich reprezentacją w interfejsie graficznym platformy. Dopiero wtedy, gdy dokonamy ich wypłaty na nasz portfel, stajemy się ich realnymi posiadaczami. Warto przypomnieć, że „trzymanie kryptowalut na portfelu” to pewien skrót myślowy, gdyż na portfelu jedynie szyfrujemy klucze dostępu, zaś same kryptowaluty i tokeny zawsze „znajdują się” na blockchainie.
Trzymanie kryptowalut na giełdach jest źrodłem kilku zagrożeń. Jako użytkownicy możemy paść ofiarą ataku phishingowego, nieświadomie udostępniając dane autoryzacyjne złodziejom, którzy nie będą mieli potrzeby łamania zabezpieczeń giełdy. Giełda, jako jedyny realny posiadacz naszych kryptowalut, może ogłosić upadłość, zakończyć działalność, dokonać exit scamu, pozostawiając byłych klientów z niczym. Jest to wprawdzie najmniej prawdopodobny scenariusz, jednak wciąż możliwy do realizacji, dlatego też wiarygodność podmiotu, na którym handlujemy jest niezwykle istotna.
Wreszcie, największym czynnikiem ryzyka jest prawdopodobieństwo ataku hakerskiego na giełdę kryptowalut, w wyniku którego skradzione zostaną środki należące do klientów. I to właśnie temu zagrożeniu poświęcony jest niniejszy artykuł. Czy jest ono realne? Wg niedawnego raportu firmy Ciphertrace, w samym 2018 r. skradziono z giełd kryptowalut środki o szacowanej wartości ok. 927 mln dolarów.
Praktycznie wszystkie opisane wyżej zagrożenia eliminuje wykorzystanie zdecentralizowanych giełd kryptowalut (DEX), które nie przechowują depozytów klientów. Jednak, wg styczniowego raportu TokenInsight, DEX-y odpowiadają za mniej niż 1% wolumenu handlowego na rynku kryptowalut, co dobitnie pokazuje jak niewiele osób korzysta z ich usług.
(Nie)bezpieczne giełdy kryptowalut
W połowie stycznia firma ICO Rating, zajmująca się badaniem rynku kryptowalut, opublikowała swój drugi raport poświęcony bezpieczeństwu scentralizowanych giełd kryptowalut, badając jakość zabezpieczeń ponad 130 platform handlowych i przyznając im ocenę na podstawie uniwersalnych kryteriów. Warto przyjrzeć się wynikom raportu, gdyż jest jak dotąd najszerzej zakrojonym upublicznionym badaniem tego typu, a także dlatego, że jego wyniki nie są zbyt optymistyczne.
Kryteria oceny giełd zostały określone w trzech kategoriach:
- Bezpieczeństwo użytkowników: czy klienci otrzymują dostęp do niezbędnych funkcji zapewniających bezpieczeństwo i czy platforma nie posiada błędów programistycznych oraz luk bezpieczeństwa?
- Obecność dwuskładnikowego uwierzytelniania (2FA)
- Poprawność i spójność kodu witryny giełdy, a także odporność na próby jego modyfikacji
- Możliwość stworzenia niezgodnego z wymaganiami hasła dostępu
- Potwierdzanie operacji wykonywanych na platformie za pośrednictwem e-maila
Co ciekawe, powyższe kryteria na pierwszy rzut oka wydają się standardem, jednak jedynie 22% ze 135 giełd spełniło wszystkie cztery. Na szczęście, jedynie 1% giełd spełnił mniej niż dwa kryteria z zakresu bezpieczeństwa użytkowników.
W tej kategorii można było otrzymać łącznie 17 pkt. za 4 analizowane parametry.
- Bezpieczeństwo domeny i dostawcy usług hostingowych: czy domena, na której działa giełda jest bezpieczna i czy certyfikat oraz szyfrowanie witryny są poprawne?
- Czy istnieje blokada nazwy domeny (ang. registry lock), uniemożliwiająca jej przejęcie przez atakujących (jak miało to miejsce np. w ataku na polską giełdę Coinroom)?
- Czy giełda posiada tzw. role accounts, czyli konta powiązane ze stanowiskiem, nie zaś z konkretna osobą. W praktyce uniemożliwia to dokonanie ataku wymierzonego w pracowników administracji giełdy i zapobiega wyciekom wrażliwych danych oraz uzyskaniu dostępu do portfeli giełdy.
- Czy domena giełdy ma przynajmniej sześciomiesięczny czas wygaśnięcia (im dłuższy, tym lepiej)? Zapobiega to potencjalnie nieautoryzowanemu przejęciu strony giełdy.
- Czy witryna posiada zabezpieczenie DNSSEC? Zabezpieczenie to polega na uwierzytelnianiu danych z serwera DNS i zapobiega m.in. przekierowaniu na fałszywą stronę logowania.
Niepokojący jest fakt, że jedynie 3% giełd w zestawieniu spełnia wszystkie cztery kryteria bezpieczeństwa domeny. Ponadto, aż 22% giełd spełnia mniej niż dwa kryteria.
W tej kategorii można było otrzymać łącznie 18 pkt. za 4 analizowane parametry.
Czytaj także: Polska giełda kryptowalut Coinroom ofiarą ataku. Uwaga na fałszywą aplikację mobilną!
![Polska giełda kryptowalut Coinroom ofiarą ataku. Uwaga na fałszywą aplikację mobilną!](https://admin.fxmag.pl/api/image?url=/media/uploaded/2019/styczen/DD/Zrzut ekranu 2019-01-22 o 17.08.29.png)
- Bezpieczeństwo sieci: czy zabezpieczenia oraz kontrola błędów domeny i baz danych giełdy są na odpowiednim poziomie?
- Korzystanie z protokołu sieciowego HSTS, czyli HTTP Strict-Transport-Security, zapewniające bezpieczeństwo witryny, z którą można połączyć się wyłącznie za pomocą szyfrowanego kanału. Chroni to m.in. przed atakiem przechwytywania sesji.
- Ochrona przed tzw. atakami clickjackingowymi, które pozwalają przekierować linki na witrynie giełdy w taki sposób, aby użytkownik nieświadomie wchodził na adres podstawiony przez atakujących
- Ochrona przed atakami typu man-in-the-middle, polegającymi na modyfikacji komunikacji pomiędzy użytkownikiem a serwerem giełdy. Dotyczy szczególnie certyfikatów bezpieczeństwa witryny
- Ochrona przed atakami POODLE, związanymi z błędem protokołu szyfrującego SSLv3. W praktyce oznacza to rezygnację z SSLv3 (np. na rzecz protokołu TLS)
- Ochrona przed tzw. atakami heartbleed, związanymi z błędami biblioteki kryptograficznej OpenSSL i pozwalającymi na odczyt szyfrowanych danych
- Ochrona przed tzw. atakiem ROBOT, który pozwala na teoretyczną deszyfrację chronionego ruchu
- Korzystanie z protokołu szyfrującego TLS1.3
- Zgodność witryny ze standardami bezpieczeństwa NIST, HIPAA lub/i PCI-DSS
Wszystkie analizowane giełdy posiadają zabezpieczenia przed atakami POODLE, man-in-the-middle oraz heartbleed. Jedynie 1% giełd nie posiadał zabezpieczeń prze atakiem ROBOT. Przeciętna giełda odporna jest na 6 typów ataków, najlepsza zaś na 9 z 10 i jest nią amerykańska platforma Kraken. Żadna ze 135 giełd nie jest w pełni odporna na wszystkie typy ataków.
W tej najistotniejszej kategorii można było otrzymać aż 57 pkt. za 10 analizowanych parametrów.
Czytaj także: Jak ukraść bitcoiny (BTC) z giełdy, nie łamiąc jej zabezpieczeń?
![Jak ukraść bitcoiny (BTC) z giełdy, nie łamiąc jej zabezpieczeń?](https://admin.fxmag.pl/api/image?url=/media/uploaded/2019/styczen/DD/Zrzut ekranu 2019-01-22 o 17.08.47.png)
- Ochrona przed atakami DDoS (odmowy dostępu), polegającymi na zorganizowanym i celowym zablokowaniu dostępu do serwera giełdy, poprzez jego przeciążanie, np. za pomocą botów.
74% przebadanych giełd kryptowalut posiada zabezpieczenia przed atakami DDoS oraz przed obciążeniem serwerów. W tej kategorii można było otrzymać 8 pkt. za 1 analizowany parametr.
Łącznie, można było uzyskać 100 punktów, co nie udało się żadnej z giełd.
Mało optymistyczne wyniki
Żadna z przeanalizowanych giełd kryptowalut nie uzyskała oceny A+, zaś jedynie dwie platformy otrzymały rating A: zarejestrowane w USA Kraken oraz Cobinhood (który jest bardziej brokerem niż giełdą). Ocenę A- otrzymało aż 19 giełd, wśród których znajdują się kolejno m.in.: Poloniex, BitMEX (jako giełda futures) oraz Bitfinex. Na 9. pozycji znalazła się platforma Coinbase Pro.
Największa pod względem wolumenu handlowego giełda Binance znalazła się dopiero na 34. pozycji z ratingiem B+, głównie ze względu na niepełną ochronę przed typowymi atakami sieciowymi. Powinno to dać do zrozumienia osobom, które uważają giełdę Binance za bezwzględnie bezpieczną i niemożliwą do zhackowania.
Niedawno okradziona giełda Cryptopia, uzyskała 60. miejsce (rating B) z niską oceną za bezpieczeństwo domeny i ochronę przed atakami.
Nie najlepiej wypadły polskie giełdy kryptowalut - najwyższy wynik spośród nich uzyskała zarejestrowana na Malcie platforma Coindeal, która uplasowała się na 33. pozycji z ratingiem B, uzyskując słabe noty zarówno za bezpieczeństwo domeny oraz brak ochrony przed atakami DDoS, przy jednocześnie wysokiej ochronie przed atakami deszyfrowania. Giełda Coinroom uzyskała 35. lokatę, ze stosunkowo niska oceną za bezpieczeństwo domeny, zaś jedną pozycję niżej uzyskała giełda BitMarket (nie mylić z BitMarket24), za średni poziom zabezpieczeń konta użytkownika, jak i samej domeny.
Najpopularniejsza polska giełda, jaką jest BitBay, ku zdziwieniu niektórych, uplasowała się dopiero na 57. miejscu z bardzo niską oceną za bezpieczeństwo domeny (1,5/4 pkt).
Poniższe wyniki pokazują, że nie ma w pełni bezpiecznych giełd kryptowalut - są natomiast te, które nie padły jeszcze ofiarą udanego ataku.
Czytaj także: Nie daj się okraść! Jak bezpiecznie posługiwać się kryptowalutami?
![Nie daj się okraść! Jak bezpiecznie posługiwać się kryptowalutami?](https://admin.fxmag.pl/api/image?url=../../../images/cache/article_square_filter/images/articles/nie-daj-sie-okrasc-jak-bezpiecznie-poslugiwac-sie-kryptowalutami.jpg)