Блог

 29 декабря 2024 года в 6-м номере журнала Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, члена Международного Комитета цифровой экономики БРИКС, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству АРСИБ, судебного эксперта: Блокчейн на досмотре. Таможня охотится за цифровым добром.

В России сложилась беспрецедентная ситуация в сфере таможенного и валютного контроля, связанная с неконтролируемым вывозом цифровых валют, когда примерно две трети экономики нашей страны работает в тени с USDT, – в основном из-за санкционного давления.

Говорят, в 2019–2020 гг. была предпринята попытка предложить поправки в таможенное законодательство и нормы по валютному контролю, однако под предлогом защиты прав и свобод граждан инициатива была отложена.

В настоящее время наблюдаются значительные злоупотребления. Если отток капитала в 2023 г. сократился в 2–3 раза с оценкой порядка $90 млрд, то количество операций с криптовалютами за девять месяцев 2023 г. возросло до 185 тыс.

Например, по данным аналитической компании Chainalysis, за 2023 г. и прошедшие месяцы 2024 г. обороты USDT в России в 8–9 раз превышают обороты биткоина. И это без учета внебиржевых и p2p-сделок.

 

Корень проблемы

 

Самый очевидный способ перемещения средств через границу – наличность. Россияне за год действия валютных ограничений попытались незаконно вывезти более 1 млрд руб.

Количество таких нарушений подскочило на 70%, следует из статистики ФТС. В марте 2022 г. в связи с санкциями Центробанк РФ ввел запрет на вывоз сумм более $10 тыс. – именно его нарушали чаще всего. Рост случаев нелегального провоза обусловлен трудностями с переводами за рубеж и удорожанием таких услуг в банках.

Более 12 тыс. нарушений при ввозе и вывозе гражданами денег через границу выявлено за год с марта 2022 г. по март 2023 г., как следует из данных ФТС. В результате таможенные органы возбудили 12,1 тыс. дел об административных правонарушениях. Из них львиная доля приходится на попытки вывоза средств из России – 10,2 тыс., что на 69% больше, чем годом ранее.

Второй доступный способ перевода денег – криптовалюты. Он эффективно используется, например, в арабских странах. Но, несмотря на сравнительно меньшие комиссии, такой путь влечет курсовые, а также инфраструктурные и регуляторные риски.

Но если транзакции можно отследить при перемещении активов, то при использовании холодных и иных кошельков для перевозки, контроль становится гораздо сложнее.

 

Что у «Пяти глаз»?

 

«Пять глаз» – это международный альянс, объединяющий США, Великобританию, Канаду, Австралию и Новую Зеландию. Он был сформирован после Второй мировой войны и изначально был направлен на обмен разведывательной информацией и координацию действий в сфере безопасности и разведки. Альянс имеет значительное влияние на мировую разведывательную деятельность.

С 2018 г. в странах "Пяти глаз" при пересечении границы досматривают личные устройства, в том числе на наличие хранилищ виртуальных валют. В законе «О таможне и акцизах», синхронно принятом в странах британского содружества в 2018 г, появилась специальная статья о цифровых следах. Она недвусмысленно вменяет таможенным службам аэропортов в обязанность поиск следов цифровых валют в устройствах пассажиров, таких как смартфоны и ноутбуки.

Новая Зеландия стала последней страной, которая приняла законы, предоставляющие таможенным агентам беспрецедентные следственные полномочия, включая право заставлять путешественников сообщать сотруднику таможни свои пароли от ноутбука, смартфона и программ, установленных на них. Если пассажир откажется предоставить пароль, ему надлежит уплатить штраф в размере $5 тыс.

Есть, правда, ограничения, позволяющие требовать пароли только от программ, хранящихся на самом устройстве. Предъявлять пароли от облачных хранилищ не требуется.

 

Что же делать нам?

 

Необходимо законодательно ввести строгий порядок досмотра личных цифровых устройств и унифицировать его. Существуют общие принципы и процедуры, которые могут применяться.

В России существуют законы о защите данных и конфиденциальности, которые регулируют, как таможенные службы могут обрабатывать личную информацию. Важно, чтобы проверки проводились в соответствии с этими законами.

Таможенные службы имеют право проверять личные цифровые устройства на границе в рамках своих полномочий, например, на наличие запрещенных материалов, контрабанды или других незаконных активов. В некоторых случаях таможенники могут запрашивать согласие владельца устройства на его проверку. Отказ от предоставления доступа может привести к задержанию устройства для дальнейшего анализа.

Таможенники могут просматривать файлы, приложения и другие данные на устройстве: электронную почту, сообщения, фотография и другие цифровые следы. В некоторых случаях используются специальные инструменты для анализа данных на устройствах, например программное обеспечение для восстановления удаленных данных или анализа сетевого трафика.

Результаты досмотра должны быть задокументированы, и владельцы устройств могут иметь право на получение копии этой документации. Рассмотрим некоторые предлагаемые процедуры и алгоритмы более подробно.

 

Алгоритм досмотра смартфона

 

Общий алгоритм досмотра смартфона на предмет наличия цифровых валют должен проводиться в рамках закона и с соблюдением прав человека и конфиденциальности данных. Он может выглядеть следующим образом с основными шагами:

1. Идентификация и проверка документов. При пересечении границы проверяются документы пассажира. Если есть подозрения на возможное нарушение законодательства (например, незаконный ввоз или вывоз цифровых валют), может быть инициирован дополнительный досмотр.

2. Запрос согласия. Сотрудник таможни может запросить согласие владельца устройства на его проверку. Важно информировать гражданина о целях досмотра и возможных последствиях.

3. Проверка наличия приложений. Специалисты могут просмотреть установленные на смартфоне приложения, связанные с цифровыми валютами (например криптовалютные кошельки, обменники и т.д.)

4. Доступ к данным. Если владелец согласен, таможенник может запросить доступ к кошелькам и учетным записям. Может потребоваться ввод паролей или кодов доступа.

5. Анализ транзакций. После получения доступа к приложениям таможенники могут просмотреть историю транзакций, баланс и другие данные, связанные с цифровыми валютами.

6. Использование специализированного программного обеспечения. В некоторых случаях могут использоваться инструменты для анализа данных и поиска информации о цифровых валютах, которые могут быть скрыты или зашифрованы (например Autopsy).

7. Документирование результатов. Все действия фиксируются для дальнейшего анализа и возможного использования в юридических процедурах. Владелец устройства может получить копию этой документации.

8. Заключение. На основе собранной информации принимается решение о том, есть ли основания для дальнейших действий, таких как задержание средств или привлечение к ответственности.

 

Файлы, реестр и история

 

Для эффективного анализа содержимого ноутбука, смартфона или иного личного устройства необходимо понимать, какие есть основные криптовалюты и как могут выглядеть логотипы и названия связанные с ними.

Посмотрим на цифровые следы от кошельков и приложений связанных с хранением и обменом криптовалют.

Файл биткоин-кошелька обычно хранится в виде файла с расширением ".dat". Для стандартного кошелька Bitcoin Core этот файл называется "wallet.dat". Он содержит все необходимые данные для управления вашим кошельком, включая адреса, приватные ключи и информацию о транзакциях.

Местоположение файла "wallet.dat" зависит от операционной системы:

- Windows: "C:\Users\<user>\AppData\Roaming\Bitcoin\";

- macOS: "/Users/<user>/Library/Application Support/Bitcoin/";

- Linux: "/home/<user>/.bitcoin/"

Файл кошелька Ethereum может храниться в разных местах в зависимости от используемого программного обеспечения для управления кошельком. Вот несколько распространенных вариантов:

1. Geth (Go Ethereum):

- Windows: "C:\Users\<user>\AppData\Roaming\Ethereum\keystore\".

- macOS: "/Users/<user>/.ethereum/keystore/".

- Linux: "/home/<user>/.ethereum/keystore/".

2. Mist (официальный кошелек Ethereum):

- Windows: "C:\Users\<user>\AppData\Roaming\Ethereum\".

- macOS: "/Users/<user>/Library/Ethereum/".

- Linux: "/home/<user>/.ethereum/".

3. В случае использования расширений для браузера, таких как MetaMask, ключи и данные кошелька хранятся в локальном хранилище браузера, и их нельзя найти в виде отдельных файлов. Но можно экспортировать сидфразу или ключи для создания резервной копии.

Важно помнить, что для доступа к средствам в Ethereum-кошельке понадобятся приватные ключи или сидфраза.

Такие кошельки как Electrum могут запускаться на ПК или ноутбуке даже без установки. Поэтом следы запуска могут остаться только в реестре (например факт запуска или получения обновлений).

При нормальных условиях, кошелек хранит свои файлы в зависимости от операционной системы, на которой он установлен. Вот пути хранения файла кошелька Electrum для различных операционных систем:

- Windows: "C:\Users\<user>\AppData\Roaming\Electrum".

- macOS "/Users/<user>/Library/Application Support/Electrum/".

- Linux: "/home/<user>/.electrum/".

В этих папках содержатся файлы с расширением .dat, которые и представляют собой кошельки.

Кошелек Tonkeeper, как и многие другие мобильные приложения для управления криптовалютами, хранит данные в локальном хранилище устройства. Однако точный путь хранения файлов может варьироваться в зависимости от операционной системы и версии приложения.

- Android: данные приложения обычно хранятся в каталоге приложения, доступ к которому можно получить только с правами суперпользователя (root). В общем случае, это может выглядеть так: "/data/data/com.tonkeeper/files/".

- На iOS данные приложения хранятся в защищенном пространстве, и доступ к ним без джейлбрейка невозможен. Путь к данным также не может быть определен обычными пользователями.

- Если используется веб-версия или десктопное приложение, данные могут храниться в локальном хранилище браузера или в папке приложения, но точный путь зависит от реализации.

Кроме того, в истории просмотров в браузерах (Chrome, Edge, Safari, Firefox) или в закладках (и закрепленных вкладках) могут находится сведения о посещаемых кошельках, биржах, обменниках и иных криптовалютных сервисов. При исследовании устройств необходимо учитывать и это.

Кошельков и блокчейн-приложений огромное множество. В неохваченных этим подразделом случаях, при исследовании того или иного личного устройства (ноутбука, смартфона, планшета и пр.) необходимо действовать по аналогии.

 

Комплексный подход к проблемам

 

На сегодняшний день в России практически не существует эффективного механизма отслеживания перемещений холодных кошельков и средств, находящихся в них. Эта проблема становится особенно актуальной в условиях быстрого развития технологий в области цифровых активов.

Для того чтобы эффективно противодействовать угрозам, необходимо придерживаться комплексного подхода, который включает в себя совершенствование законодательства и процедур, регулирующих досмотр цифровых устройств и поиск цифровых следов.

Необходимо активное обучение и повышение осведомленности сотрудников таможенных и пограничных органов, а также других государственных структур, которые могут быть вовлечены в процесс пресечения незаконных действий, связанных с цифровыми активами. Ведь их готовность и способность оперативно реагировать на новые вызовы имеют огромное значение для обеспечения безопасности и законности в сфере цифровых финансов.

Не менее важным является решение проблемы экспоненциального роста незаконных сервисов, зачастую мошеннических, предоставляющих услуги по обходу санкций и незаконному выводу средств. Эти сервисы используют разнообразные схемы, включая фальшивые криптовалютные обменники и биржи, что затрудняет не только их пресечение, но и выявление их деятельности на ранних этапах.

 

 

 

Источник: Информационная безопасность

Серия книг на ЛитРес: Криптолетопись

Книга в Телеграм: КриптодетективЪ — Цепная Безопасность

Книга на ЛитРес: КриптодетективЪ — Цепная Безопасность

Автор на ЛитРес: Александр Подобных

Канал КриптодетективЪ: https://t.me/SecICP

Канал на Рутьюбе: https://rutube.ru/u/CryptoDetective/

Канал в Дзене: https://zen.yandex.ru/id/622235eb5751776e302d3336

Сообщество в ВК: https://vk.com/seicp

4 декабря 2024 года в 5-м номере журнала Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, члена Международного Комитета цифровой экономики БРИКС, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству АРСИБ, судебного эксперта: Оракулы, их проблемы и уязвимости.

Технология блокчейна изменила представление о безопасности, прозрачности и децентрализации в цифровом мире. Однако ее возможности ограничиваются лишь событиями и данными, происходящими внутри самой цепочки блоков. Для полноценного взаимодействия с реальным миром потребовались механизмы, способные связать блокчейн с внешними источниками информации. Именно эту задачу выполняют блокчейн-оракулы.

 

Что такое оракулы?

 

Смарт-контракты работают исключительно в рамках данных, доступных в блокчейне. Однако, для выполнения операций с учетом событий реального мира они нуждаются в информации извне – погодных условиях, результатах спортивных событий, курсах валют, рыночных ценах. Именно эту роль выполняют блокчейн-оракулы – специальные механизмы, которые обеспечивают передачу данных из внешнего мира в смарт-контракты, действующие внутри блокчейнов.

В блокчейн-экосистеме оракулы обеспечивают достоверность и доступности данных. Без них большинство децентрализованных приложений (dApps), включая DeFi-платформы, системы страхования или прогнозирования, были бы неработоспособными, так как их логика напрямую зависит от событий, происходящих за пределами блокчейна.

Роль оракулов особенно заметна в децентрализованных финансах. Например, для определения ликвидности активов в DeFi-протоколах требуется информация о текущей рыночной цене. Оракулы в данном случае служат источником этих данных, гарантируя их своевременность и точность. Кроме того, они применяются в смарт-контрактах при управлении логистикой для учета местоположения грузов, или в страховании, где выплаты зависят от погодных условий или других объективных факторов.

 

Виды оракулов

 

Блокчейн-оракулы условно делят на несколько основных типов, каждый из которых предназначен для решения своего класса задач.

- Централизованные оракулы работают с одним источником данных или провайдером информации. Они просты в реализации, обеспечивают быструю передачу данных, но такие оракулы уязвимы к манипуляциям и взломам, так как вся система зависит от единственного узла.

- Децентрализованные оракулы, напротив, используют несколько независимых источников данных и применяют механизмы консенсуса для определения достоверной информации. Такой подход повышает надежность и устойчивость системы, устраняя единую точку отказа. Однако децентрализация требует больших затрат времени для обработки данных, что может быть критичным для приложений, требующих мгновенного отклика.

- Аппаратные оракулы предназначены для получения данных из физического мира с использованием датчиков, камер или других IoT-устройств. Такие оракулы востребованы в ситуациях, где необходимо учитывать реальные физические параметры: температуру, местоположения грузов и т.п. Хотя они обеспечивают необходимую точность, их слабым местом остаются физические атаки и сбои оборудования.

- Программные оракулы берут данные из онлайн-источников, в частности, с веб-сайтов, из API или баз данных, что делает их идеальным решением, если нужно для получить информацию в реальном времени: например, котировки валют или результаты спортивных событий. Но при этом они подвержены таким векторам атак, как перехват данных или подмена источников, а их надежность полностью зависит от достоверности подключенных ресурсов.

Существуют также внутриблокчейновые оракулы, которые работают исключительно с данными, уже существующими в блокчейне. Они используются для обмена информацией между разными блокчейнами или анализа данных внутри одной сети. Такие оракулы обеспечивают высокий уровень безопасности, но их область применения ограничена задачами, не требующими связи с внешним миром.

Оракулы не только расширяют функциональность блокчейна, но и привносят в него специфические угрозы, притом что их точность и безопасность напрямую влияют на результат работы смарт-контрактов.

 

Уязвимости блокчейн-оракулов

 

Одной из главных проблем оракулов является отсутствие прямой гарантии достоверности данных. Смарт-контракты, будучи автономными и децентрализованными, полностью зависят от информации, предоставляемой оракулами. Если входные данные окажутся некорректными, это может привести к принятию неправильных решений и финансовым потерям, известным как проблема "garbage in – garbage out" ("каков вопрос, таков ответ").

Атаки на централизованные оракулы представляют серьезную угрозу, так как они зависят от одного источника данных. Злоумышленник, получивший контроль над единственным источником, может манипулировать информацией в своих интересах. Например, подмена данных о рыночных ценах на бирже может привести к значительным убыткам в DeFi-приложениях.

Но и децентрализованные оракулы, которые объединяют данные из разных источников, не защищены от манипуляций. Злоумышленники могут использовать атаки совершенно другого характера, такие как подкуп операторов или влияние на консенсусный механизм.

Аппаратные оракулы особенно уязвимы к физическим атакам или сбоям оборудования. Например, датчики, предоставляющие данные о температуре или местоположении, могут быть подменены злоумышленником, что приведет к передаче ложной информации в смарт-контракты. Более того, такие оракулы часто зависят от внешних сетей, например, Интернета, что делает их подверженными атакам типа "человек посередине" (MITM), когда данные перехватываются и изменяются на этапе передачи.

Еще одной уязвимостью обладают программные оракулы, которые подключаются к API и веб-ресурсам. Они подвергаются риску компрометации исходного веб-сайта или сервера, что может привести к распространению ложных данных. Атаки на программные оракулы нередко используют уязвимости в самих API, что позволяет злоумышленникам вмешиваться в процесс передачи информации.

Возможны также более комплексные риски, например, проблемы с согласованностью, когда несколько оракулов предоставляют противоречивые данные, вызывая неопределенности в работе смарт-контрактов.

Важным аспектом является вопрос доверия. Даже в случае с децентрализованными оракулами существует вероятность конфликтов интересов среди операторов, а недостаточно строгий аудит и отсутствие прозрачности в работе оракулов усиливают риск манипуляций.

 

Перспективы развития

 

Одним из основных направлений развития оракулов является повышение уровня их безопасности и надежности. Современные решения все чаще прибегают к децентрализации самого процесса предоставления данных, в том числе за счет применения распределенных сетей оракулов, где данные собираются из множества источников и проходят проверку консенсусными механизмами.

Еще одним перспективным направлением является использование в блокчейн-оракулах искусственного интеллекта. Цель понятна – улучшить анализ данных, поступающих в оракулы, фильтруя потенциально недостоверную информацию. Такие интеллектуальные оракулы смогут не только передавать данные, но и выполнять предварительную обработку, повышая их точность и актуальность.

Интеграция с Интернетом вещей также открывает новые горизонты. Аппаратные оракулы, связанные с IoT-устройствами, позволят создавать сложные экосистемы, где данные из физических устройств автоматически передаются в блокчейн, что особенно актуально для логистики, умных городов и индустрии 4.0. 

Кроме того, с развитием межсетевых решений, таких как Polkadot и Cosmos, оракулы начинают играть важную роль в обеспечении взаимодействия между различными блокчейнами. Такая архитектура позволит создавать более сложные децентрализованные приложения, которые могут обмениваться данными между цепочками без потери скорости и без угроз для безопасности.

Разработка новых криптографических методов, в том числе на основе доказательства с нулевым разглашением (ZeroKnowledge Proofs), также обещает повысить конфиденциальность данных, передаваемых через оракулы.

 

Заключение

 

Блокчейн-оракулы стали незаменимым инструментом для интеграции децентрализованных технологий с реальным миром, предоставляя смарт-контрактам доступ к внешним данным. Несмотря на существующие уязвимости и риски, они продолжают эволюционировать, становясь более надежными, безопасными и функциональными.

Перспективы развития оракулов связаны с повышением их децентрализации, интеграцией с ИИ и IoT, развитием межсетевого взаимодействия и улучшением криптографической защиты. Эти направления не только укрепляют доверие к данным, поступающим в блокчейн, но и способствуют расширению сфер применения децентрализованных технологий, делая их более доступными и безопасными для реального мира.

В будущем оракулы смогут играть важную роль в формировании более безопасной и связанной цифровой экономики, обеспечивая фундамент для инновационных решений в самых разных отраслях.

 

Источник: Информационная безопасность

25 сентября 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, члена Международного Комитета цифровой экономики БРИКС, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству АРСИБ, судебного эксперта: Уязвимости и недостатки протоколов выпуска токенов в сети Биткоин.

С 2023 г. в сеть Биткоин стали внедряться новые протоколы, и текущий год ознаменовался их активным использованием: Runes, BRC-20, ARC-20, Ordinals NFT. Эти нововведения не просто носят технический характер, они повлияли на всю экосистему первой криптовалюты, причем не только с точки зрения возможностей и удобства, но и с точки зрения информационной безопасности. Все началось с протокола Ordinals.

Протокол Ordinals Как известно, сатоши — это наименьшая единица биткоина, названная в честь Сатоши Накамото, создателя этой криптовалюты. Вновь добавленный протокол Ordinals — это система создания и прикрепления цифровых данных (например, изображений, текстов, файлов) к отдельным сатоши, а также система их нумерации, присваивающая каждому сатоши серийный номер и отслеживающая его в ходе транзакций.

Нумерация происходит в порядке создания и переводов сатоши, отсюда и название "ординалы" (от англ. ordinals – порядковые числа). Ординалы записываются непосредственно на отдельные сатоши, то есть полностью размещаются в блокчейне и не нуждаются в сайдчейне или отдельном токене. В этом смысле надписи ординалов унаследовали простоту, неизменяемость, безопасность и долговечность сети Биткоин.

Несмотря на вроде бы небольшие технологические изменения, которые привнесли ординалы, они стали концептуально новым вариантом использования сети Биткоина, далеко выходящим за рамки простого перевода средств. Неудивительно, что новый протокол был неоднозначно встречен сообществом. Противники нововведения считают, что необходимо сохранить изначальную простоту Биткоина, чтобы он просто хранил и переводил средства. Сторонники же возражают, что Биткоин должен развиваться за счет появления новых функций и сценариев применения.

Кроме того, недовольство сообщества вызывает то обстоятельство, что подписанные сатоши теперь конкурируют за место в блоке с обычными транзакциями, в результате чего растут комиссии. Но сторонники ординалов и в этом видят плюсы, так как комиссия мотивирует майнеров обеспечивать безопасность блокчейна.

Споры разделили криптосообщество на два лагеря, но одно ясно точно: проект добавил инновации в биткоинпространство. Пока ландшафт Ordinals все еще находится на стадии становления, однако он уже дал толчок для других экспериментов с токенами на Биткоине, включая Runes и BRC-20.

 

Runes

 

Runes – это протокол для создания взаимозаменяемых токенов на блокчейне Биткоина, разработанный для упрощения и повышения эффективности работы с токенами. В отличие от токенов BRC-20, Runes не зависит от протокола Ordinals и использует другие проверенные временем модели.

Runes повышают эффективность управления токенами в сети Биткоина и выделяется среди аналогов простотой создания и управления множеством взаимозаменяемых токенов прямо на блокчейне без необходимости использования внешних данных или создания дополнительных нативных токенов.

Запуск Runes в апреле 2024 г. вызвал интерес криптосообщества, но после первичного ажиотажа активность в протоколе снизилась. Тем не менее, он представляет собой перспективную платформу для новых вариантов использования Биткоина и может привлечь пользователей в будущем.

 

BRC-20

 

BRC-20 – это экспериментальный стандарт для создания токенов на блокчейне Биткоина, причем все токены идентичны по функциям и стоимости, что делает их взаимозаменяемыми.

Появление этого стандарта связано с обновлением, которое увеличило объем данных в блоках Биткоина, и запуском протокола Ordinals. Ординалы и стали основой для создания токенов BRC-20. Важная особенность – они не используют смарт-контракты, а создаются путем записи файлов в формате JSON на отдельные сатоши с помощью механизма Ordinals.

Простота токенизации делает процесс создания и передачи токенов доступным даже для пользователей без специальных технических знаний. Отметим главные преимущества BRC-20:

- не требуется использование сложных смарт-контрактов;

- стандарт использует децентрализованную архитектуру Биткоина и механизм Proof-of-Work;

- количество проектов на базе BRC-20 продолжает расти.

Однако у стандарта есть и недостатки:

- отсутствие поддержки смарт-контрактов ограничивает его функциональность;

- зависимость от блокчейна Биткоина делает его уязвимым к проблемам масштабируемости и высоким комиссиям;

- ограниченная совместимость с другими блокчейнами и кошельками;

- активность с токенами BRC-20 может вызывать замедление транзакций и повышение комиссий.

В целом, BRC-20 – это интересное решение для расширения возможностей Биткоина, но его экспериментальный характер подразумевает наличие ограничений, которые, впрочем, со временем могут быть преодолены.

 

ARC-20

 

ARC-20 — это еще один экспериментальный стандарт взаимозаменяемых токенов, который подхватил идеи BRC-20, расширив их функционал и возможности управления цифровыми активами. ARC-20 созданна основе протокола Atomicals для блокчейна Биткоина, который позволяет создавать и управлять цифровыми объектами (атомами), включая и взаимозаменяемые, и невзаимозаменяемые токены (NFT).

Токены ARC-20, подобно BRC-20, привязаны к сатоши и могут переводиться, разделяться и объединяться как обычные монеты. Каждый токен имеет уникальный тикер и название, что гарантирует уникальность и прозрачную историю всех транзакций.

ARC-20 предлагает стандартизированный подход к управлению токенами и открывает новые возможности для децентрализованных финансов и токенизации активов в экосистеме Биткоина.

 

Влияние на производительность

 

Протокол Ordinals, хотя и открывает новые возможности, может вызывать серьезные проблемы с производительностью. Увеличение количества данных, прикрепляемых к отдельным сатоши, приводит к значительному увеличению размера блокчейна и перегрузке сети. А задержки в обработке транзакций вызывают повышение комиссии и замедление подтверждений. В результате стандартные транзакции могут сталкиваться с конкуренцией за включение в блоки, особенно в периоды повышенной активности, когда сеть перегружена. 

Кроме того, высокая нагрузка на сеть создает риск потенциальных DoS-атак. Они могут быть осуществлены путем привязывания большого объема данных к сатоши, чтобы создать искусственную перегрузку.

Стоит напомнить, что падение производительности в условиях растущего спроса на транзакции архитектурно является ахиллесовой пятой Биткоина. Поэтому для протокола Ordinals потребуются эффективные решения, чтобы сбалансировать его инновационные возможности с требованиями к производительности и устойчивости Биткоина.

 

Ordinals в базе уязвимостей NVD

 

9 декабря 2023 г. Национальная база данных уязвимостей (NVD), явялющаяся частью Национального института стандартов и технологий США (NIST), объявила об уязвимости в системе безопасности Биткоина, связанную с протоколом Ordinals.

Согласно данным NVD, в некоторых версиях программных клиентов Bitcoin Core и Bitcoin Knots можно обойти ограничения на использование носителей данных, внедряя код.

Этот инцидент был признан важным, и информация была включена в каталог NVD, а среди возможных последствий выявленной уязвимости указывалось увеличение объема нерелевантных данных в блокчейне Биткоина, что может привести к перегрузке сети и росту комиссии. 

В 2023 г. сеть Биткоина не раз испытывала перегрузки из-за увеличения объема транзакций, что повышало конкуренцию за их подтверждение и увеличивало комиссию. Некоторые специалисты даже увидели предпосылки для DoSатаки, когда данные NFT могут перегружать блокчейн. 

Исправление этой уязвимости может ограничить использование ординалов и токенов BRC-20, хотя в этом случае уже существующие надписи останутся неизменными.

 

Заключение

 

Ординалы открыли новую эру в мире блокчейна, предложив инновационный способ хранения информации в транзакциях Биткоина. Они не только расширили функциональные возможности сети, но и способствовали увеличению интереса со стороны пользователей – количество активных адресов выросло до рекордных показателей.

Все это весьма тесно может быть связано с финансовой системой России, ведь осенью 2024 г. в рамках регуляторных песочниц на биржах Москвы и Санкт-Петербурга начнется тестирование возможности покупки и продажи криптовалют, включая цифровой рубль, а на предстоящем саммите БРИКС в Казани, планируется представить ключевые элементы новой криптофинансовой системы, включая общую расчетную единицу (Unit), платформу для расчетов в цифровых валютах (Bridge), платежную систему (Pay), расчетный депозитарий (Clear), систему страхования (Insurance) и рейтинговый альянс.

Основными принципами этих систем станут децентрализация и применение передовых цифровых технологий, и опыт развития ординалов несомненно будет учтен, чтобы, как минимум, избежать уже известных проблем.

 

Источник: Информационная безопасность

 

Автор на ЛитРес: https://www.litres.ru/author/aleksandr-viktorovich-podobnyh/about/

 

Канал КриптодетективЪ: https://t.me/SecICP

 

Канал на Рутьюбе: https://rutube.ru/u/CryptoDetective/

 

Канал в Дзене: https://zen.yandex.ru/id/622235eb5751776e302d3336

 

Сообщество в ВК: https://vk.com/seicp

Глобальный Союз Генезиса, Международный комитет цифровой экономики БРИКС при поддержке Ассоциации Российских дипломатов учреждают Genesis Консорциум бизнес - дипломатии БРИКС.

 

Официальная, торжественная презентация состоится 27 сентября 2024 в Державной столице России, в Санкт – Петербурге.

 

В основе концепции «Философия взаимосвязей», которая по мнению Президента России Владимира Путина сочетает интересы стран и народов, природы и общества, научного знания и государственной власти».

 

Бизнес-дипломатия, как особая форма международного публичного взаимодействия, направлена на формирование имиджа России, что отвечает ключевым приоритетам государственной политики.

 

Участниками консорциума, современной мировой модели достижения целей, станут руководители федеральных структур и главы компаний стран БРИКС.

 

Учредители Консорциума ведут деятельность в сфере публичной дипломатии с 2014 года при поддержке МИД и Россотрудничества в странах БРИКС и Евросоюза.

 

В мероприятии примут участие видные общественные деятели и деятели культуры, руководители официальных структур.

 

Наталина Литвинова

 

Международный общественный деятель

Президент Глобального Союза Генезиса

Соучредитель Genesis Консорциум бизнес - дипломатии БРИКС

 

Оргкомитет по подготовке торжественного учреждения Genesis Консорциума бизнес - дипломатии БРИКС:

Председатель Комитета по ВЭД и продвижению интересов российского бизнеса Ассоциации Менеджеров, Заместитель председателя Комитета по экономической интеграции ВЭД ТПП России

 

Антон Акимов

 

Генеральный директор АО «Омега - Технологии Будущего», Член Правления «Консорциума робототехники и интеллектуальных систем управления»

 

Ярослав Алейник

 

Председатель рабочей группы «Импортозамещение в сфере энергетики, ЖКХ и потребителей энергоресурсов», Зам Председателя Гильдии Московской Торгово-промышленной Палаты предприятий энергетического комплекса Москвы

 

Рашид Артиков

 

Космонавт - испытатель. Обладатель государственной награды «За заслуги в освоении космоса». Командир экипажа международного эксперимента (SIRIUS – 21). Номинант Премии «Знание»

 

Олег Блинов

 

Председатель Гильдии по безопасности Московской Торгово-промышленной Палаты, Председатель Всероссийской общественной организации по защите Национальных интересов «Хранители России», Президент Гильдии безопасности МТПП

 

Дмитрий Галочкин

 

Директор Института цифровой экономики и права

 

Сергей Горбунов

 

Президент Ноосферной духовно – экологической Ассамблеи мира

 

Любовь Гордина

 

Президент Корпорации XXI век, Автор разработчик Ноосферной Архитектуры, Член Попечительского Совета Международной миротворческой Ассамблеи «Рождение Мира»

 

Виталий Гребнев

 

Президент WomenInfluence Community, Президент Всемирного коммуникативного форума в Давосе

 

Янина Дубейковская

 

Главный редактор Журнала МГЮА им. Кутафина – «Цифровое право и экономика». Проректор по международной деятельности

 

Мария Егорова

 

Ректор Российского нового университета (РосНОУ), Председатель Ассоциации негосударственных вузов России

 

Владимир Зернов

 

1-й Заместитель Председателя Наблюдательного совета АНО «Объединенный совет делового сотрудничества «Африка. Единый континент», Заместитель Председателя Совета Директоров «Терра Линк Глобал»

 

Олег Золотарев

 

1-й заместитель Председателя Наблюдательного совета «Объединённый совет делового сотрудничества "Китай. Великий путь", 1-й заместитель Генерального директора АО «РТ - Проектные технологии»

 

Василий Зуйков

 

Председатель Комиссии по развитию креативных индустрий в совета финансово – промышленной и инвестиционной политике «Торгово-промышленной Палаты Российской Федерации», Президент ГК «Салюс»

 

Егор Иванков

 

Генеральный директор Harpy Aerospace, Индия

 

Dr Джаякумар Венкатесан

 

Президент CEO Space Kidz. Индия

 

Dr. Srimathy Kesan

 

Председатель Правления Ассамблеи народов Болгарии

 

Пламен Милетков

 

Президент Медиа-холдинга «Цивилизация»

 

Рамаз Мишеладзе

 

Президент Международной Ассамблеи столиц и крупных городов

 

Владимир Селиванов

 

Советник Президента Международного Комитета цифровой экономики БРИКС

 

Андрей Уткин

 

Лауреат государственный премия им. Пушкина, Иностранный член Российской Академии Образования, академик РАЕН, Доктор философских наук, профессор

 

Сухейль Фарах

 

Председатель Ассоциации Российских дипломатов

 

Игорь Халевинский

 

Президент Евразийской Палаты национальных культурных ценностей, Президент Евразийской Палаты судебной экспертизы и оценки, эксперт МАГ (Международной Ассамблеи крупных городов и столиц)

 

Швейдель Александр

 

Председатель Комитета Московской Торгово-промышленной Палаты по поддержке предпринимательства в сфере нового качества жизни, Государственный Советник

 

Ольга Штемберг

 

27 сентября 2024, Санкт – Петербург, Дворец труда, Актовый зал.

 

 

Источник: Момент истины

Криптовалютные биржи и обменники работающие с Россией и Белоруссией, и российскими банками и платёжными системами.

 

- OKX.com (неплохая биржа, можно держать крипту под проценты, уже начинает блокировать выводы пользователям из России из-за ужесточения законодательства и санкций, пока не массово);

- HTX.com (ранее Huobi, своеобразная биржа работающая с российскими банками, не поступало сведений о санкционных блокировках);

 

- Whitebird.io (работает с картами Мир, можно оплачивать товары и услуги, а также онлайн сервисы за рубежом, и даже выпустить крипто карту);

- BTCSale.me (достаточно надёжный обменник, работает с картами российских банков, хорошо с USDT);

- GetBit (быстрый обменник, работает с картой Мир, хорошо с BTC);

 

Интересные и удобные сервисы.

- ЧекСкан (автоматический кэшбэк за чеки, перевод на карту Мир, покупка ЦФА по карте Альфа-Банка, даже неквалифицированными инвесторами);

 

Криптобиржи и обменники ушедшие из России из-за санкций.

 

- Binance.com (одна из ведущих бирж, отличная учебная программа по криптосфере, ушла из страны разрешив пользователям вывести средства, санкции);

2 августа 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Дрейнеры и инсайдеские атаки.

В мире криптовалют мошенничество становится все более изощренным, а злоумышленники находят новые способы кражи цифровых активов. Одним из таких методов являются дрейнеры – вредоносные смарт-контракты, которые незаметно опустошают криптовалютные кошельки пользователей.

Понимание того, как работают дрейнеры, и знание мер предосторожности, которые можно предпринять для защиты своих активов, становится критически важным для всех участников криптовалютного сообщества. Рассмотрим механизмы работы дрейнеров, методы их использования мошенниками и способы защиты от подобных угроз.

 

Как работают дрейнеры

 

Мошенничество, особенно фишинг, представляет серьезную угрозу для криптовалют. Злоумышленники часто используют так называемые эйрдропы – бесплатные раздачи монет или NFT, создавая поддельные сайты, которые копируют известные ресурсы и привлекают пользователей ложными обещаниями.

Переходя по такой ссылке, жертва попадает на сайт, требующий авторизации через криптокошелек, например, MetaMask, CoinBase или WalletConnect. После подключения запускается вредоносный смарт-контракт – дрейнер, который переводит все активы с кошелька жертвы на счета злоумышленников.

Так как деталей смарт-контракта не видно, то подтверждать транзакцию приходится на основе доверия, что называется "слепая подпись". Одобряя транзакцию, пользователь добровольно передает доступ к своим активам мошенникам.

Злоумышленники в основном используют фишинговые почтовые сообщения, спам-токены (по названию сайта, в виде NFT), транзакции (пылевые атаки), для заманивания своих жертв. При этом используются дрейнеры кошельков и взломы смарт-контрактов, в том числе для манипулирования ценой активов.

Одним из наиболее распространенных дрейнеров среди злоумышленников, по оценкам экспертов, стал Pink Drainer. Администраторы подобного ПО обычно получают порядка 20–30% украденных активов, а остальная часть достается партнерам, которые приводят жертв на сайты, под разными предлогами предлагающие им подключить криптокошелек. Операторы Pink Drainer объявили, что сворачивают деятельность после того, как с его помощью украли $85 млн у более чем 21 тыс. жертв.

 

Инсайдерские атаки

 

Инсайдерские атаки, с другой стороны, осуществляются лицами, имеющими внутренний доступ к системам. В контексте криптовалют инсайдеры могут использовать свои полномочия для установки или активации дрейнеров, доступа к ключевой информации или вывода средств напрямую.

Комбинация дрейнеров и инсайдерских атак усиливает угрозу. Инсайдер может внедрить дрейнер в смарт-контракт или платформу, используя свои привилегии, что делает обнаружение и предотвращение таких атак гораздо более сложным. Внутренний доступ позволяет инсайдерам манипулировать системой изнутри, обходя многие внешние меры защиты.

Инсайдерские атаки особо опасны, поскольку они могут оставаться незамеченными длительное время.

 

AML-дрейнеры

 

Новинкой этого года и проблемой для всей отрасли, особенно в работе подразделений криптокомплаенса и инвесторов, стали AML-дрейнеры.

AML-дрейнеры (Anti-Money Laundering, противодействие отмыванию денег) представляют собой специализированные программы или скрипты, которые используются для обхода механизмов противодействия отмыванию денег. Они могут использоваться злоумышленниками для хищения средств и нанесения репутационного ущерба организациям из сферы AML.

Теперь дрейнеры добрались и до сферы ПОД/ФТ: мошенники создают фишинговые сайты новых AML-провайдеров. Принцип действия стандартный: они просят прикрепить кошелек и крадут все токены и криптовалюты.

Конечно, ни один настоящий AML-провайдер не потребует присоединения кошелька к своему сервису. Для физических лиц требуется только адрес кошелька или хэш транзакции, интеграция для бизнеса происходит через API. Но проблема как раз и заключается в том, что такое предостережение известно далеко не всем.

 

Что же делать?

 

Разработчики и специалисты по безопасности не сидят сложа руки, придумывая новые решения для обеспечения сохранности пользовательских средств. Так, в октябре команда MetaMask в партнерстве с фирмой Blockaid внедрила уведомления безопасности в браузерное расширение Web3-кошелька. Эта функция призвана обеспечить проактивное предотвращение вредоносных транзакций, обеспечив защиту пользователей от скамов, фишинговых и хакерских атак.

Для защиты от дрейнеров и инсайдерских атак необходим комплексный подход. Во-первых, регулярные аудиты смарт-контрактов и систем безопасности помогают выявить и устранить уязвимости до того, как они будут использованы злоумышленниками. Во-вторых, программы баг-баунти могут мотивировать внешних экспертов на поиск и доклад об уязвимостях. В-третьих, использование кошельков с мультиподписью добавляет дополнительный уровень безопасности, так как для проведения транзакции требуется одобрение нескольких сторон.

В борьбе с инсайдерскими угрозами важно внедрять строгие контрольные меры и системы мониторинга. Ограничение прав доступа, регулярные проверки активности сотрудников и обучение персонала правилам безопасности помогают минимизировать риски. Только комплексные и скоординированные усилия могут обеспечить надежную защиту от этих сложных и многоуровневых атак.

Есть и ряд других направлений для противодействия дрейнерам.

 

Стандартизация смарт-контрактов

 

Необходимость стандартизации подходов при разработке смарт-контрактов обусловлена стремлением повысить безопасность, эффективность и совместимость этих программных компонентов. Стандартизация позволит разработчикам следовать проверенным методикам и лучшим практикам, что существенно снизит вероятность ошибок и уязвимостей в коде.

Кроме того, стандарты помогут обеспечить согласованность и предсказуемость поведения смарт-контрактов, что критически важно для их интеграции в различные системы и платформы.

 

Security Awareness

 

Требуется постоянное повышение осведомленности работников соответствующих сфер и пользователей сервисов, чтобы эффективно противостоять быстро развивающимся киберугрозам в виде дрейнеров и обеспечивать безопасность данных и финансовых средств.

Сотрудники, обладающие актуальными знаниями о возможных рисках, связанных с дрейнерами, и способах их предотвращения, способны быстрее и эффективнее реагировать на инциденты, минимизируя возможные убытки и ущерб. Для пользователей сервисов повышение осведомленности играет не менее важную роль.

В условиях роста числа фишинговых атак, мошеннических схем и вредоносного ПО пользователи, обладающие необходимыми знаниями и навыками, могут лучше защищать свои личные данные и финансовые активы.

Регулярное обучение и информирование пользователей о признаках мошенничества, методах защиты своих аккаунтов и основах кибергигиены способствует снижению количества успешных атак и улучшению общей безопасности цифрового пространства.

 

Соблюдение KYC/AML

 

Крайне важна интеграция решений для соблюдения требований KYC (Know Your Customer) и AML, поскольку это обеспечивает соответствие строгим нормативным стандартам и защищает экосистему от незаконной деятельности. Соблюдение этих требований помогает идентифицировать пользователей и отслеживать подозрительные транзакции, что снижает риск отмывания денег и финансирования терроризма.

Внедрение эффективных KYC-/AMLпроцедур требует использования современных технологий и автоматизированных систем, которые могут обрабатывать большие объемы данных и обеспечивать высокую точность идентификации.

Однако, при внедрении KYC/AML решений необходимо найти оптимальный баланс между соблюдением нормативных требований и защитой конфиденциальности пользователей. Платформы должны разработать политики и технологии, которые минимизируют сбор и хранение личных данных, обеспечивая при этом необходимый уровень безопасности и подотчетности.

Использование таких подходов, как конфиденциальные вычисления и шифрование данных, позволяет защитить личную информацию пользователей, не жертвуя эффективностью соблюдения регуляторных норм. Такой сбалансированный подход создаст более безопасную и подотчетную экосистему, где интересы пользователей и требования регуляторов находятся в гармонии.

 

Прозрачное управление

 

Открытая и децентрализованная governance-модель расширяет возможности участников сообщества, обеспечивая каждому право голоса. В таких моделях все участники могут вносить свои предложения, голосовать за изменения и участвовать в процессе принятия решений, что способствует созданию более демократичной и инклюзивной системы управления.

Прозрачность управления позволяет каждому участнику видеть, как принимаются решения, что уменьшает риски коррупции и злоупотреблений, повышая доверие к платформе и ее руководству.

 

Заключение

 

В условиях быстрого развития и популяризации криптовалютных технологий угрозы безопасности становятся все более изощренными и опасными. Дрейнеры и инсайдерские атаки представляют собой серьезные риски, которые могут привести к значительным финансовым потерям и подорвать доверие пользователей к платформам. Понимание механизмов этих атак и внедрение эффективных мер предосторожности является ключевым шагом к защите активов и информации.

Регулярные аудиты смарт-контрактов, программы баг-баунти и использование кошельков с мультиподписью могут значительно снизить вероятность успешных атак. В то же время, важность повышения осведомленности сотрудников и пользователей о современных угрозах не может быть недооценена. Прозрачное управление и активное участие сообщества также играют критическую роль в создании устойчивой и безопасной экосистемы.

Только объединяя усилия, применяя передовые технологии безопасности и поддерживая высокие стандарты защиты, мы можем создать более безопасное и надежное будущее для всех участников криптовалютного пространства.

 

 

 

Источник: Информационная безопасность

 

Автор на ЛитРес: Александр Подобных

 

Тлг канал: КриптодетективЪ

3 июня 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Методика изъятия и хранения конфискованной криптовалюты в российских онлайн-сервисах.

Порядок изъятия и хранения цифровой валюты в рамках оперативно-розыскных мероприятий или следственных действий в настоящее время ничем не регулируется и на практике часто оказывается неоптимальным. Фактически правоохранительные органы получают доступ к адресам криптокошельков преступников (открытые и закрытые ключи) на иностранных платформах или же изымают холодные кошельки в виде флеш-карт с имеющимися на них активами.

Проблемы возникают и из-за того, что активы распределены по различным платформам (обменникам, биржам и др.). Ситуация усугубляется тем, что чаще всего преступниками используются сервисы, находящиеся вне юрисдикции Российской Федерации. Вместе с тем обеспечить сохранность и рационально распорядиться этими активами сложно, особенно учитывая их волатильность.

Если криптовалюта признана вещественным доказательством, то такие активы изымаются следователем для их сохранности. В других случаях суд накладывает арест для возмещения ущерба потерпевшему или конфискации, когда это предусмотрено уголовным кодексом РФ. Криптоактивы могут изыматься навсегда или же только на определенное законом время. Тогда по окончании дела вещественные доказательства возвращаются законному владельцу.

Сегодня сложилась практика, когда следователи конфискуют электронные носители информации (или смартфоны), на которых установлены приложения для доступа к криптокошельку, либо активы конвертируются в рубли самим обвиняемым под контролем следователя.

 

Алгоритм изъятия и хранения криптовалюты 

Есть более технологичный и элегантный способ, позволяющий сохранить виртуальные активы. Предлагается следующий алгоритм изъятия и хранения криптовалюты. Будем считать, что закрытые ключи для доступа к кошельку преступника уже изъяты и находятся в доступе у следователя или суда.

1. Определяется разновидность криптовалюты. С помощью аналитических сервисов, например Bitquery, по адресу устанавливается тип актива: биткоин, эфириум, Tether USDT или др.

2. Выявляется остаточный баланс, входящие и исходящие транзакции. Сделать это можно с помощью специализированных обозревателей блоков блокчейна, например Bitcoin Explorer или российского проекта "КОСАтка" для биткоина, Etherscan для эфириума и т. д.

3. Скачивается и устанавливается официальный кошелек с сайта разработчика. Существуют версии для ПК и для мобильных устройств.

4. Регистрируется новый аккаунт и получается адрес нового криптокошелька, который будет управляться правоохранителями. После создания кошелька будут доступны входящие (получения) и исходящие (отправления) адреса, их необходимо сохранить. Потребуется также сохранить ключи доступа к созданному кошельку (пароль, сид-фразу, куар-код, закрытый ключ – в зависимости от вида кошелька).

5. Осуществляется вход в криптокошелек преступника. Вход в горячий кошелек криптовалютной биржи с использованием логина и пароля, также, возможно, потребуется сидфраза. Для входа в холодный кошелек потребуется парольная фраза и, возможно, ПИН-код.

6. Средства из кошелька преступника переводятся на кошелек, созданный правоохранителями. В зависимости от блокчейна за перевод может взиматься небольшая комиссия. Лучше согласиться со значением, установленным по умолчанию, чтобы транзакция не зависла в блокчейне на продолжительное время. 

7. Фиксируются основные атрибуты и подготавливаются свидетельства (доказательства), такие как разновидность криптовалюты, адрес кошелька, хеш-транзакции, дата совершения транзакции и объем средств (по сути, баланс). Дополнительно можно сформировать отчет по транзакциям (pdf-файл) в сервисе "КОСАтка" или в соответствующем обозревателе блоков.

8. Регистрируется аккаунт в сервисе депонирования ЕДРИД, как физическое или юридическое лицо. Потребуется сохранить логин и пароль для доступа к сервисам Единого депозитария результатов интеллектуальной деятельности (РИД).

9. Добавляется новый РИД в сервисе депонирования с выбором категории "Компьютерная программа/База данных". Обязательно указание следующей информации: 

- наименование РИД (к примеру, сокращение от номера дела, названия криптовалюты);

- авторы (ФИО следователя, судьи);

- правообладатель (следователь или организация);

- основания возникновения права (например, создано самостоятельно);

- описание произведения (адреса кошельков, хеши транзакций);

- язык программирования (указать название криптовалюты);

- вид и версия операционной системы (название криптокошелька);

- объем программы для ЭВМ (указываем объем средств);

- ключевые слова (также указать название криптовалюты и кошелька, номер дела и пр.);

- рубрикатор научно-технической информации (например, криминалистика);

- реферат (указать любую дополнительную информацию, но важно учесть, что она будет доступна публично);

- оригинал произведения (загружаются ключи кошелька преступника, ключи созданного адреса, отчет о транзакциях, важно не ставить флажок "Показывать файлы в системе ЕДРИД").

Завершается добавление процедурой депонирования. Важно учитывать, что объем одного депонирования до 500 МБайт, а срок хранения РИД составляет до 20 лет. Стоимость одного депонирования составляет 1200 руб. Возможно размещать несколько кошельков (в рамках дела) в один РИД, для экономии бюджета.

10. Фиксация свидетельств (доказательств) и атрибутов после депонирования. В личном кабинете сервиса ЕДРИД доступны все РИД, даты их создания и коды (номера в сервисе). По каждому РИД можно просмотреть атрибуты, скопировать хеш-сумму депонирования и ссылку (для использования следователями, судами). Аналогичная информация дублируется на электронную почту автору (следователю, судье).

Таким образом, изъятые средства будут зафиксированы в кошельке следствия или суда, что обеспечит прозрачное хранение конфискованных виртуальных активов в защищенном криптографией виде с двумя уровнями защиты (аккаунт ЕДРИД, закрытый ключ криптокошелька следователя или суда).

В случае же использования холодного кошелька для целей хранения появляются дополнительные риски: например, его прошивка может быть модифицирована злоумышленниками для хищения средств, носитель может выйти из строя, потерян закрытый ключ. Часть рисков может быть нивелирована использованием технологии мультиключа с несколькими подписантами, но не все.

При этом для верификации данных (доказательств, свидетельств) достаточно будет использование номера депонирования, хеша депонирования и, возможно, его описания (адреса криптокошельков, хеши транзакций).

В настоящее время насчитывается несколько тысяч активных криптовалют. При работе с криптоактивами, отличными от приведенных в алгоритме, необходимо действовать по аналогии. Различных блокчейнов, на которых работают все типовые криптовалюты, не так много – счет идет всего лишь на десятки.

К слову, сама методика изъятия и хранения конфискованной криптовалюты в российских онлайн-сервисах зарегистрирована с использованием сервиса депонирования ЕДРИД, для тестирования функционала и возможности защиты авторских прав на данную методику.

 

Заключение

Предлагаемую методику и алгоритм уже сегодня можно реализовать и применять с минимальными затратами, она позволит нивелировать отрицательные стороны, такие как риски для конфиденциальности и безопасности данных владельцев криптокошельков. При этом в схеме не задействуются третьи лица типа обменников и криптовалютных бирж.

В настоящий момент времени можно использовать платформу, поднадзорную ФОИВ. На ней государственные органы смогут открывать учетные записи (аккаунты) для хранения ключей доступа к цифровым валютам (криптовалютам) и распоряжаться ими в рамках закона. Данный передовой опыт может быть внедрен Росфинмониторингом, МВД, ФСБ, Генеральной прокуратурой, Следственным комитетом и судами России.

Для наиболее чувствительной информации могут использоваться локальные блокчейны, имеющиеся у организации либо развернутые в ЕДРИД. Например, свой локальный блокчейн уже есть в Федеральной налоговой службе России.

Ограничение сервиса ЕДРИД заключается в том, что при массовом использовании такого подхода в рамках всего государства он станет целью атак злоумышленников. Поэтому целесообразнее организовать отдельный сервис для целей хранения изъятых криптосредств. Это не очень трудозатратно, и такой опыт у госорганов уже есть.

 

ИсточникИнформационная безопасность

2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии) были опубликованы материалы круглого стола, в котором принял участие Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт, на тему — Блокчейн в России: взгляд сквозь призму практики.

Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».

Участники:

Артем Калихов, генеральный директор Web3 Tech

Владимир Лазарев, со-основатель АМЛ Крипто

Александр Подобных, глава департамента расследований BitOK

Михаил Чеканов, генеральный директор АО «Промышленные криптосистемы»

 

Востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?

Михаил Чеканов, Промышленные криптосистемы:

Безусловно, востребованы. На российском рынке представлены разные отраслевые решения, работающие на технологии распределенного реестра. Пример – наша платформа "Контрактиум" для управления цепочками поставок на базе цифровых контрактов с возможностью подключения финансовых и логистических сервисов.

Самым знаковым проектом для нас стала платформа Smart Fuel, спроектированная и разработанная в интересах компании "Газпром нефть". Решение переводит в цифру все операции, связанные с заправкой самолетов, от согласования цен и заказов до формирования отчетов в ФНС и взаиморасчетов через традиционную банковскую инфраструктуру.

Владимир Лазарев, АМЛ Крипто:

В России наблюдается высокий интерес к блокчейн-решениям. Технологии распределенного реестра применяются в различных сферах для повышения прозрачности, безопасности и эффективности бизнес-процессов. Особенно перспективными являются проекты, использующие смарт-контракты и NFT для надежного хранения данных и автоматизации действий.

Развитие этих технологий поддерживается как крупными предприятиями, так и государственными структурами, активно исследующими возможности блокчейна для оптимизации своих процессов. Мы в AML Crypto используем блокчейн для записи данных о результате проверки пользователем того или иного блокчейн-адреса. Это позволяет доказать факт должной осмотрительности при работе с внешними контрагентами.

Артем Калихов, Web3 Tech:

Да, востребованы. Ряд наших крупных блокчейн-проектов вообще не связан с ЦФА. Например, цифровая платформа распределенного реестра ФНС эффективно реализует взаимодействие государственных ведомств и финансовых организаций.

Федеральная блокчейн-платформа ДЭГ 2020 г. успешно используется избирателями по всей стране в единые дни голосования. Растет интерес к решениям для реорганизации трансграничных платежей, благодаря блокчейну здесь возможно множество вариантов реализации.

Александр Подобных, BitOK:

Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.

В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.

 

В чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?

Артем Калихов, Web3 Tech:

1. Блокчейн обеспечивает неизменность данных за счет своей архитектуры без необходимости дополнительных средств защиты.

2. В отличие от централизованной инфраструктуры, в рамках экосистемных проектов стоимость интеграции новых участников не растет экспоненциально.

3. Будучи распределенной системой, блокчейн обеспечивает отказоустойчивость, недоступную централизованным решениям.

4. Благодаря смарт-контрактам блокчейн позволяет просто автоматизировать различные договорные и транзакционные процессы.

Александр Подобных, BitOK:

1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).

2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).

3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).

4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.).

Михаил Чеканов, Промышленные криптосистемы: 

1. Математически гарантированное доверие к результатам совместной работы без необходимости в централизованном сервисе (базе данных). Традиционный же подход подразумевает наличие посредника, который всегда создает риски для других участников рынка.

2. Затраты на внедрение и сопровождение сопоставимы c традиционными решениями, а возможности развития и скорость реакции на изменения на основе блокчейна – гораздо выше.

3. Катастрофоустойчивость и доступность. Распределенная архитектура обеспечивает бесперебойное обслуживание сделок, главное, чтобы контрагенты были доступны. То есть каждый участник сам обеспечивает нужный ему SLA.

Владимир Лазарев, АМЛ Крипто:

Блокчейн обеспечивает прозрачность за счет неизменяемости записей, доступных всем участникам. Это усиливает безопасность, защищая данные криптографией и снижая риск мошенничества. Снижение затрат достигается за счет автоматизации и исключения посредников. Блокчейн повышает эффективность, ускоряя транзакции и процессы. Децентрализация снижает риски коррупции, увеличивая доверие.

Но важно отметить, что:

- преимущества блокчейна не всегда реализуются автоматически;

- для достижения желаемых результатов требуется тщательное планирование и реализация;

- блокчейн не является универсальным решением и подходит не для всех задач.

 

Есть ли технологические особенности реализации систем на основе блокчейна в России?

Владимир Лазарев, АМЛ Крипто:

В России реализация блокчейн-систем имеет свои технологические особенности: строгие нормативные требования, необходимость интеграции с устаревшими системами, высокие стандарты кибербезопасности на фоне геополитической ситуации, политика импортозамещения требует отечественных ИТ-разработок.

Ключевыми факторами являются: кадровый дефицит в области блокчейна, ограничения на использование криптовалют, требования к масштабируемости и энергоэффективности, а также необходимость обеспечения конфиденциальности данных. Кроме того, важно учитывать юридические аспекты, связанные с новизной технологии. При тщательном планировании и реализации блокчейн может стать мощным инструментом для развития различных сфер российской экономики.

Артем Калихов, Web3 Tech:

Технологические особенности реализации блокчейн-систем в России связаны в первую очередь с регуляторной политикой в отношении средств криптографии. Для информационных систем здесь предусмотрен список ГОСТов, охватывающий множество направлений – хеширование, контроль целостности и не только.

Этим требованиям пока соответствуют лишь единичные решения на рынке, в том числе наша платформа "Конфидент", имеющая сертификацию средства криптографической защиты информации КС2.

Александр Подобных, BitOK:

Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.

Михаил Чеканов, Промышленные криптосистемы:

Отечественный рынок выдвигает два основных требования:

- обеспечение юридической значимости операций;

- надлежащая защита данных.

Одним из критичных факторов для большинства заказчиков на нашем рынке является поддержка сертифицированных СКЗИ. Это связано с выросшим уровнем угроз ИБ и ужесточением государственного регулирования. В нашем случае эта задача решена путем встраивания сертифицированных средств криптозащиты линейки ViPNet.

 

Какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?

Артем Калихов, Web3 Tech:

Стоит отметить, что в подавляющем большинстве российских проектов используются приватные блокчейны, а не публичные протоколы, применяющиеся для криптовалют. Они обладают другой моделью безопасности. Особое внимание, как правило, стоит уделять безопасности смарт-контрактов, архитектуре блокчейн-решений, криптографии, защищенности и конфиденциальности данных.

Михаил Чеканов, Промышленные криптосистемы:

Лучшее решение – это избегать одноранговых платформ, выросших из криптовалютных блокчейнов. Они плохо интегрируются с реальным ИТ-ландшафтом, инфраструктурой безопасности и здравым смыслом.

Александр Подобных, BitOK:

Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.

Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.

Владимир Лазарев, АМЛ Крипто:

При разработке блокчейнсистем в России стоит учесть опыт криптовалютных блокчейнов, особенно в вопросах масштабируемости, конфиденциальности и регулирования. Важно выбирать технологии, обеспечивающие высокую пропускную способность и анонимность транзакций и при этом соответствующие законодательству.

Необходимо обеспечить безопасность и прозрачность, а также гладкую интеграцию с существующими системами, придерживаясь при этом законодательных требований. Для успешной реализации проекта критически важно избегать таких ошибок, как выбор неподходящей платформы, недооценка сложности проектов, пренебрежение безопасностью, неготовность к изменениям и игнорирование регулятивных требований.

 

Как применение блокчейнов увязывается с текущим законодательством?

Александр Подобных, BitOK:

В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.

Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.

Артем Калихов, Web3 Tech: 

Формально использование самих блокчейн-технологий в нашей стране не регулируется. Тем не менее требования законодательства затрагивают целый ряд технологий, необходимых для практического применения блокчейна, – криптографические алгоритмы, TLS, PKI, и не только.

Блокчейн-платформам необходима гибкость, в некотором смысле даже модульность, которая позволит подстраиваться под регуляторные политики – как для ИТ-отрасли в целом, так и для отдельных сфер применения, например для финансового сектора.

Михаил Чеканов, Промышленные криптосистемы:

Грамотно спроектированные прикладные решения на базе распределенных реестров хорошо вписываются в действующее законодательство. На данный момент мы не видим каких-либо непреодолимых барьеров. Отдельные нормы можно было бы оптимизировать, но лучшее – враг хорошего.

Например, ФЗ-259 "О ЦФА" зарегулировал рынок цифровых активов до абсурда. До сих пор непонятно, зачем в нем упомянуты распределенные реестры, если все функции привязаны к централизованной информационной системе оператора (обмена) ЦФА. Примерно с таким же успехом можно было бы "завернуть" Интернет в отдельного оператора связи.

Владимир Лазарев, АМЛ Крипто:

Законодательство может стимулировать развитие блокчейн-технологий и их применение. Но в то же время несвоевременные или недоработанные законы замедляют прогресс.

Эффективное внедрение блокчейн-технологий требует гибких регуляторных рамок, создания множества пилотных зон для стимулирования экспериментов в этой области.

 

Источник: Информационная безопасность

О КОСАтка

Корпоративная система аналитики Транзакция Криптовалюта Актив - кибербезопасность инфраструктуры блокчейнов и антифрод в криптовалютной сфере (антискам, прозрачность, комплаенс).

Связаться

Российская Федерация, Москва

Тел.: +7 (911) 999 9868

Факс: 

Почта: cosatca@ueba.su

Сайт: www.ueba.su

Наше сообщество

Зарегистрируйтесь, чтобы получать по почте самую свежую информацию
© 2023 КОСАтка. Все права защищены.                                                                                                                        Грант BTC 1CdD6Xk9RDZ9wyeRqq1uXkktgdaPpGpt8f

Search