2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Управление уязвимостями в криптокошельках.

Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области.

Проблемы и угрозы

Криптовалютные кошельки во всем их многообразии можно поделить на две большие категории: к холодным относят аппаратные, к которым есть физический доступ, а к горячим – браузерные или мобильные приложения.

Холодные кошельки не подключаются к Интернету и считаются самыми безопасными – это бумажные кошельки, флешки и т.п. Их нужно подключать к компьютеру или телефону для совершения транзакций.

Важно отметить, что при использовании холодных криптокошельков за сохранность закрытых ключей и средств, к которым они предоставляют доступ, несет сам владелец, а при использовании горячих ответственность ложится на оператора сервиса (кастодиана или депозитарий).

Основные проблемы и угрозы, с которыми сталкиваются пользователи криптовалютных кошельков, включают в себя следующие.

1. Взломы и кибератаки. Криптовалютные кошельки могут стать целью злоумышленников, которые стараются получить доступ к частным ключам и совершить кражу средств.

2. Фишинг. Злоумышленники могут создавать поддельные веб-сайты и электронные письма, имитирующие официальные криптовалютные сервисы, на которых пользователи вводят свои

аутентификационные данные и теряют доступ к средствам.

3. Потеря доступа. В случае утери пароля, закрытого ключа или резервной фразы пользователи могут лишиться доступа к своим средствам без возможности их восстановления. К утере можно отнести также и невозможность их вспомнить.

4. Социальная инженерия. Атаки могут быть направлены не только на технические слабые места, но и на слабые места в поведении пользователей, которые подвергаются обману с целью раскрытия их конфиденциальных данных.

5. Влияние человеческого фактора. Ошибки в управлении кошельком, неверное сохранение частного ключа или резервной фразы также могут привести к потере средств.

6. В последние годы для российских пользователей высокие риски несут санкции, реализуемые площадками по требованию иностранных регуляторов (OFAC, SEC, FCA). При этом одни биржи просто блокируют кошельки (так поступили большинство площадок), другие же дают время на вывод средств (как было с Binance в 2023 г.)

7. Растет также количество взломов, связанных с инсайдерами в самих проектах. Они сливают информацию о кошельках, платформах, протоколах взаимодействия.

8. Многих разработчиков в последнее время интересует защита от квантовых компьютеров, в частности защита от перебора приватных ключей. Возможно, угроза со стороны квантовых компьютеров преувеличена, однако она все же существует, и многое зависит от того, какие шаги предпримут блокчейн-разработчики до того момента, когда эта угроза станет более реальной.

К примеру, разработчики Ethereum ведут разработку устойчивых к квантовым атакам методов криптографии, таких как подписи Winternitz и технология с нулевым разглашением STARK.

Примеры уязвимостей и их эксплуатации

В феврале 2018 г. сообщество отметило несколько новостных статей, в которых утверждалось, что Национальный институт стандартов и технологий (NIST) активно расследует уязвимость 2018 г. в приложении iOS Trust Wallet, которая была оперативно исправлена в том же году. Разработчики заверили пользователей в том, что их средства в безопасности, а кошельки безопасны для использования.

В августе 2022 г. произошла крупная кража токенов из кошелька Solana, которая была вызвана уязвимостью централизованного сервера Sentry. Исследователи обнаружили две новых технологии сбора данных из Solana, которые могут выполнять атаки с перестановкой битов.

В конце ноября 2023 г. 1,5 млн биткойнов оказались под угрозой хищения из-за уязвимости Randstorm, которая позволяет восстанавливать пароли и получать несанкционированный доступ к множеству кошельков на разных блокчейн-платформах. Уязвимость связана с использованием BitcoinJS – открытой JavaScript-библиотеки для разработки криптовалютных кошельков в браузере.

Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и восстановления сгенерированных приватных ключей кошельков, причем уязвимости в базовых библиотеках, используемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок.

В декабре 2023 г., "надписи" на биткойнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения внимания к недостаткам безопасности, которые были допущены при разработке протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности.

В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн. Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчейне, причем с возможностью предварительного расчета их адресов до развертывания. Функция является легитимной, но она создала уязвимости в системе безопасности Ethereum.

Основной способ эксплуатации заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники заставляют жертвы подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса.

В декабре 2023 г. многие криптосервисы оказались под угрозой из-за взлома кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализованных сервисов, администраторы которых вынужденно отключили пользовательский интерфейс. Оказался скомпрометированным широко используемый код сервиса авторизации через криптокошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов.

Как видно из этого выборочного списка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков.

Управление уязвимостями

Когда речь идет о контроле уязвимостей при эксплуатации криптовалютных кошельков, рекомендации всегда тривиальны, но от этого они не становятся менее важными.

1. Использование надежных кошельков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак.

2. Обновление системы и программного обеспечения. Регулярные обновления кошельков и всех связанных с ними программных компонентов помогают устранять известные уязвимости и обеспечивают безопасность системы.

3. Многофакторная аутентификация. Включение функции многофакторной аутентификации обеспечивает дополнительный уровень защиты от несанкционированного доступа к кошельку.

4. Резервное копирование и безопасное хранение ключей. Регулярное создание резервных копий ключей доступа к кошельку и их безопасное хранение в надежном месте поможет избежать потери средств в случае утери или повреждения исходного кошелька.

5. Обучение. Проведение обучающих мероприятий по безопасности криптовалютных кошельков поможет пользователям понять основные угрозы и принять меры по их минимизации.

Другими словами, чтобы минимизировать угрозы, рекомендуется использовать надежные и проверенные криптовалютные кошельки, следовать правилам кибергигиены и передовому опыту в сфере безопасности, таким как использование сложных паролей, установка двухфакторной аутентификации, резервное копирование закрытого ключа и резервной фразы, их хранение в надежном месте. Необходимо также проявлять бдительность и повышенное внимание при работе с криптовалютными операциями и подозрительными запросами.

Есть улучшения и в сфере стандартизации: в качестве примера можно привести механизм BIP (Bitcoin Improvement Proposal), используемый для предложения изменений в протокол биткоина. Предложения в рамках BIP разрабатываются членами сообщества, включая разработчиков, исследователей и пользователей, и предназначены для обсуждения и координации изменений в сети.

Обратим внимание на предложение BIP-0039 (обычно называемое просто BIP39) – это стандарт, определяющий метод генерации мнемонических фраз для создания и восстановления кошельков биткоин и других криптовалют.

Мнемоническая фраза (Seed Phrase) представляет собой набор слов, который можно легко запомнить и использовать для восстановления частного ключа кошелька. Этот стандарт был предложен для упрощения процесса резервного копирования и восстановления кошельков, а также для повышения безопасности, предоставляя пользователю удобный способ резервного копирования и хранения секретной информации.

Мнемонические фразы по BIP39 особенно полезны для создания и использования кошельков с использованием множества криптовалют, так как они обычно поддерживаются большинством кошельков и платформ.

Замечания в заключение

Необходимо развивать взаимодействие и взаимную поддержку внутри сообщества по вопросам безопасности и устранения уязвимостей для повышения уровня безопасности криптоплатформ и криптосервисов.

Важным аспектом применения блокчейн-технологий стал запущенный в России цифровой рубль. К счастью, для него практически все, что было известно к моменту запуска, было учтено. Но остается важным вопрос операционной безопасности и повышения осведомленности граждан. Об этом требуется особая забота.

Все чаще злоумышленники используют фишинговые транзакции, фишинговые аирдропы (NFT), вредоносные смарт-контракты на сайтах для последующего опустошения криптовалютных кошельков. Это стало возможным ввиду доступности инструментов широкому кругу злоумышленников.

И конечно же, уже сегодня необходимо готовиться к грядущей квантовой угрозе, путем разработки квантовоустойчивых протоколов и технологий. В перспективе года-двух злоумышленникам могут стать доступны квантовые алгоритмы перебора ключей.

Источник: Информационная безопасность