Цена молчания: трейдер Mt.Gox обвиняет банк Mizuho в мошенничестве и бездействии

Пользователь обанкротившейся биткоин-биржи Mt.Gox Джозеф Лэк обвиняет в бездействии и мошенничестве японский банковский холдинг Mizuho Bank. Об этом пишет Financefeeds.

В январе 2014 года калифорниец перевел $40 тысяч на счет Mizuho, обрабатывающего депозиты пользователей печально известной биржи. Банк принял средства и снял комиссию за транзакцию.

Джозеф Лэк ждал, пока депозит появится в его учетной записи Mt.Gox, однако тщетно. Спустя месяц биткоин-биржа полностью остановила торги, а трейдеру так и не удалось вернуть деньги.

Согласно заявлению Джозефа, после коллапса Mt.Gox банк пытался скрыть от пользователей биржи тот факт, что финучреждение втайне пыталось разорвать партнерские отношения с банкротом.

Он также считает, что отказавшись обрабатывать вывод средств, но по-прежнему продолжая принимать безналичные депозиты, Mizuho тем самым пошел на мошенничество.

В итоге пострадавший подал в суд Калифорнии на Mizuho и CEO биржи Марка Карпелеса. По его словам, обе стороны должны были раскрыть клиентам информацию о проблемах биржи Mt.Gox.

Японский банк попытался опровергнуть эти обвинения и отклонить поданный Лэком иск. Однако суд встал на сторону пострадавшего.

Защитники Mizuho считают, что «бездействие» банка не было нацелено на нанесение ущерба Джозефу Лэку.

«Принятие безналичных депозитов – это пассивная операция. Безналичный перевод – это, по своей сути, не общение между людьми, а просто передача информации электронным путем из машины в одном банке на машину в другом банке», – заявила сторона ответчика, уточнив, что все произошло «случайно».

Суд штата Калифорния продолжает рассмотрение этого дела.

Пока нет комментариев

$225 миллионов, или 10% от всех вложений через Ethereum удалось украстьмошенникам во время ICO в 2017 году, деньги были похищены в одном случае из десяти. По итогам исследований от различных групп безопасности, становится понятно, что зачастую хакеры не применяют сверхъестественное оборудование и не придумывают ничего нового, а используют самые примитивные методы. Виноват человекПрежде чем приступить к анализу методов хищений инвестиций из ICO, необходимо упомянуть, что во всех случаях была взломана не технология блокчейн — это сделать практически невозможно, а сами крипто-проекты, разработчики которых безответственно и легкомысленно подошли к вопросам безопасности системы. Поэтому главная и, пожалуй, единственная причина кибератак на ICO — человеческий фактор.«Если расценивать в целом, то безопасность в блокчейн-индустрии удовлетворительная. Есть такие ресурсы, которые так и просят: “Взломай меня”. Это все по причине халатности организаторов любого проекта. Атакуют тех, кто мало уделяет внимания безопасности системы», — говорит в комментарии для DeCenter Magazine бывший хакер Владислав Хорохорин (известен под псевдонимом BadB), который более семи лет отбывал наказание в американской тюрьме за кибермошенничество в крупном размере.Из этого утверждения можно выделить несколько уязвимостей, которые были допущены ввиду отсутствия навыков или желания у участников проекта в проработке деталей информационной неприкосновенности системы. Компания Positive Technologies, занимающаяся анализом защищенности, соответствия стандартам веб-приложений банков и других финансовых организаций, в феврале 2018 года опубликовала отчет, где говорилось о том, что в среднем каждый ICO-проект содержит 5 уязвимостей, а именно:Ошибки при написании смарт-контрактов, которые происходят по причине отсутствия компетентных, знающих принципы безопасности разработчиков и программистов;Ошибки при настройке архитектуры, устройства и развертывания блокчейн-платформы;Непродуманная модель угроз, когда программисты не мониторят информацию о возникновении новых кибератак, и при возникновении критических ситуаций, когда мошенники проникают в сеть,а участники команды не знают, как противостоять нападению на их сеть;Отсутствие мониторинга подозрительных транзакций на протяжении всех этапов ICO.Этот список можно дополнять новыми уязвимостями, ведь киберпреступники постоянно совершенствуются, и, основываясь на человеческой неосознанности и психологии, находят новые методы. Несмотря на то что только 7% из выявленных уязвимостей были высокого уровня, любая из перечисленных незащищенностей может оказаться роковой для проекта.Команда атакованаСоциальная инженерия является уязвимой и все чаще используется в кибератаках как точка проникновения, ведь человеческое доверие, и невнимательность по-прежнему остаются главными причинами утечек данных. Личные и корпоративные аккаунты подвергаются нападению, ведь информацию об участниках ICO-команды со всеми ссылками на страницы можно найти на сайте проекта. Организаторы выкладывают биографические справки, фотографии и другие данные создателей, это необходимо для демонстрации серьезных намерений и открытости к коммуникациям с потенциальными инвесторами. Хакеры собирают данные и управляют ими, опираясь на свои технические способности и фантазии.«Веб-инжекты (технология, позволяющая изменить содержимое веб-страницы на стороне клиента и добавить свой контент. — DeCenter Magazine) и нерадивость персонала, то есть социальная инженерия, являются очень незащищенной точкой. Сломать можно все, но здесь большой вопрос — стоит ли овчинка выделки», — говорит Хорохорин и добавляет, что к каждому проекту разрабатывается собственный подход.Специалисты из компании по предотвращению и расследованию киберпреступлений Group-IB в своем исследовании за 2017 год, где были проанализированы порядка 450 кибер-вмешательств в ICO-проекты по всему миру, поставили атаки с социальным вектором на 3-е место среди популярных методов. В эту категорию включили атаки на членов команд проектов и воровство монет у представителей комьюнити через социальные сети, тематические форумы и медиа-ресурсы.«В последние месяцы 2017 года и в начале 2018 мы зафиксировали всплеск мошенничеств в социальных сетях, где злоумышленники используют хорошо известные методы социальной инженерии: сообщения от “имени” службы безопасности криптовалютного сервиса, объявление о выигрыше монет в конкурсе, приглашение принять участие в каком-либо важном для комьюнити типе активности и другое», — говорится в отчете Group-IB.Атаки осуществляются с помощью известных, уже давно изобретенных приемов, которые не отличаются креативом и уникальностью, но все равно продолжают работать. К ним относятся:Фишинг — самый опасный и распространенный тип угроз, который заключается в краже идентификационных паролей и пользовательских данных с помощью спам-рассылки. Мошенники выстраивают сложные многоэтапные программы и схемы, которые побуждают на открытие запрещенных ссылок, это охватывает все комьюнити ICO-проекта. В электронных письмах мошенники представляются членами ICO-проекта и под каким-либо заманивающим предлогом просят пройти по скомпроментированной ссылке — эта процедура перенаправления на мошеннический сайт с ложным IP-адресом называется фармингом. После клика вся конфиденциальная информация о пользователе остается на сайте киберпреступников. На долю фишинга приходится более 50% всех похищенных средств. По данным Group-IB, группировки похищают таким способом от $30,000 до $1.5 миллиона в месяц. Манипуляции осуществляются через фишинговые сайты — клоны официального ресурса проекта. Например, клон американского проекта Numeraire был зарегистрирован в августе 2017 года и распространялся через мессенджер Slack от хакера, который представлялся сотрудником хедж-фонда. Злоумышленники выпрашивали приватный ключ и выводили все средства с аккаунта пользователей. Эти же мошенники создали копии сайтов 7 других криптовалютных проектов. Только в августе 2017 года они аналогичным образом опустошили почти 350 кошельков на $1.4 миллиона. Фишеры настраивают контекстную рекламу в поисковиках и забрасывают адреса своих сайтов во все каналы коммуникации. Ведь, как правило, пользователи в ажиотаже ICO при желании заработать зачастую не проверяют сайт, на котором покупают токены.Слева представлена главная страница официального сайта проекта Numeraire, справа — фишинговый сайт. Отличие в клавишах «learn more about airdrop» и «sing in» почти незаметно и может ввести в заблуждение даже самых внимательных пользователей.Кража электронной почты организаторов ICO — незамысловатый прием, который предоставляет возможность открыть все привязанные к ящику социальные сети. Информация об участниках проекта есть на каждом сайте для того, чтобы инвесторы видели серьезные намерения членов команды. Хакеры с помощью логина почты могут воспользоваться функцией восстановления пароля через мобильный номер (для этого стоит лишь купить полную детализацию смс-сообщений на черном рынке) и пройти всю аутентификацию, угадав ответы на контрольные вопросы. При успешной реализации атаки кибер-мошенники получают возможность писать инвесторам проекта от лица организаторов, дезинформировать и требовать перечислить дополнительные средства и прочее. Восстановленный пароль от хостинга открывает почти безграничные возможности перед хакерами, например, они могут заменить ID кошелька проекта на свой. Таким образом у Coindash.io было похищено $7 миллионов.Чтобы предотвратить все хакерские нападки на членов команды, необходимо соблюдать правила безопасности:Отказаться от использования простых числовых и словарных паролей типа 123456, qwerty, а также имен, дат рождений, названий улиц и так далее, разработать строгие правила для корпоративной парольной политики и беспрекословно выполнять их. Главное — не открывать ссылки с незнакомых адресов;Обеспечить дополнительной двухфакторной аутентификацией и защитой привилегированных учетных записей управляющих проектом, разработчиков, администраторов домена;Защитить инфраструктуру от атак через восстановление учетных записей с помощью установки новых версий ОС и включения группы привилегированных, изолированных от несанкционированного доступа пользователей;Удалить те данные с сайтов проекта, которые представляют особую значимость для команды и привязаны к источникам конфиденциальной информации;Провести анализ защищенности беспроводных сетей, проверить надежность используемых методов аутентификации, настроить изоляцию пользователей точки доступа;Периодически интересоваться данными по атакам и методам их нивелирования, контролировать всю сеть, использовать SIEM-систему;Архитектуру могут разрушитьСамые главные и значимые по масштабу атаки приходятся на менее защищенные ресурсы, которые обеспечивают функционирование ICO, — веб-приложения проекта. Более 28% из всех взломов осуществляются через программы быстрого доступа, а именно с помощью смартфон-девайсов и поисковых систем, которые подключены к интернету. С одной стороны, разработчики блокчейн-проектов намереваются следовать мировой цифровой тенденции и вводят в эксплуатацию всевозможные приложения для смартфонов, с другой, так информационная защита проекта приходит в самую низкую стадию защищенности, ведь именно приложения для телефонов являются несовершенной и необработанной с технической точки зрения технологией.Некоторые уязвимости связаны с безопасностью самого блокчейна и механизма его внедрения в серверную часть веб-приложения (например, при использовании web3.js). Проблемным местом является неправильная настройка CORS — технологии современных браузеров, которая предоставляет веб-странице доступ к ресурсам другого домена. Спецификация CORS помогает определять разрешенные и запрещенные запросы. Поэтому часть уязвимостей ICO свойственна всем веб-приложениям вне зависимости от сферы их использования: раскрытие информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и так далее. Например, как говорится в исследовании Positive Technologies, в одном из проверенных проектов была обнаружена уязвимость чтения произвольных файлов — arbitrary file reading. Благодаря этому недостатку системы хакеры могут зарегистрировать учетную запись у того хостинг-провайдера, где размещается веб-приложение, и получить доступ к тому же серверу, где находится домен веб-приложения ICO. Таким образом злоумышленники смогут получить доступ к файлам конфигурации, а значит, и загружать на сервер любые данные. В этом случае все деньги от инвесторов попадают к хакерам.Покушение на самое главноеОснова ICO — смарт-контракт — общедоступный алгоритм для заключения и поддержания блокчейн-проекта. После запуска его нельзя изменить или вмешаться в его работу — все происходит автоматически. Прозрачная система демонстрирует данные всех транзакций и кошельков, поэтому любой пользователь, в том числе и хакер, может посмотреть переводы на счет проектов и воспользоваться этой информацией.В смарт-контрактах не должно быть изъянов для вариаций и манипуляций действиями — все функции должны четко следовать только одному плану развития. Нарушение действий приводит к колоссальным потерям. Так, например, в июне 2016 года инвестиционный проект The DAO, построенный на базе Ethereum, за несколько часов потерял десятки миллионов долларов из-за ошибки, допущенной разработчиками при описании одной из функций. Годом позже у клиентов Parity было похищено $30 миллионов из-за уязвимости кода одного из пользователей сети, а через несколько месяцев из-за другой ошибки в смарт-контракте Parity были заморожены $285 миллионов. Ошибок программирования, которые влекут за собой взломы ICO, немало:Несоответствие стандарту Ethereum — ERC20, который описывает интерфейс токена. Мало того, что разработчики упускают из вида важные критерии стандарта, так еще и сам ERC20 нельзя назвать совершенным в техническом плане, ведь при работе со смарт-контрактами токены могут заморозится из-за ошибки в транзакции.Некорректная генерация случайных чисел, ошибочное определение области видимости, а также неверная верификация отправителя транзакции приводят к сбою системы, и токены замораживаются.Целочисленное переполнение — integer overflow — ситуация, при которой вычисленное значение в результате операции не может быть помещено в n-битный целочисленный тип данных. Переполнение может возникнуть в исходном коде программы из-за ошибки разработчиков и из-за недостаточной проверки выходных данных. Так, например, при знаковом переполнении может случиться неопределенное поведение, когда компиляция пойдет по незапланированному сценарию;«Состояние гонки», или неопределенность параллелизма, — race condition — ошибка проектирования многопоточной системы или приложения, при которой работа сети зависит от порядка выполнения частей кода. Данный гейзенбаг («глюк») системы появляется в случайные моменты и пропадает при попытке ее локализации;Ошибки в бизнес-логике, то есть в реализации правил и ограничений автоматизируемых операций, которые случаются из-за невнимательности программистов и пренебрежительного отношения к тестированию исходного кода или отсутствия необходимых знаний.«Вряд ли вам удастся на 100% обезопасить себя. Если хакеры захотят, они взломают вас. Но есть набор правил и политик, следуя которым можно минимизировать риски», — говорит Хорохорин.Всех перечисленных проблем можно избежать или решить их с помощью локальной копии, продумывания синхронизации потоков, использования проверенных библиотек и фреймворков, помогающих проводить вычисления без риска непредсказуемых последствий, проверки валидации всех поступивших извне числовых данных, исследования всех нюансов языка программирования, на котором будет написан смарт-контракт, изучения всех поступивших от компилятора предупреждений и других моментов, связанных с банальной внимательностью к системе ICO-проекта.Не обошлось без DDoS-атакDDoS-атака (Distributed-Denial-of-Service — атака с распределенным отказом в обслуживании) — популярный вид кибератаки, главная цель — вывести из строя информационную систему предприятия-жертвы (например, веб-сайт или базу данных), заспамить ресурс до перегруженного состояния. Ввиду атаки легитимные пользователи не смогут получить доступ к интернет-странице проекта. Это достигается благодаря тому, что атаки происходят с разных серверов, которые могут располагаться по всему миру и заполнять трафик. При данном кибер-нападении невозможно отличить хакеров от легальных членов сети, что оборачивается риском для любого ICO, утверждает директор специальных проектов Group-IB Руслан Юсуфов.«По-прежнему опасными остаются и DDoS-атаки, которые, как правило, используются в комбинации с фишинговыми сайтами. Недоступность основной площадки проекта позволяет перенаправить инвесторов на поддельные сайты. Кроме этого, известны случаи вымогательства за прекращение атаки. Большинство проектов неправильно конфигурирует анти-DDoS защиту. При этом DDoS-атакам подвергается практически каждый проект, выходящий на ICO. Несмотря на то, что для реализации таких атак нужна достаточно серьезная технологическая подготовка, подобные сервисы доступны на черном рынке», — говорит Юсуфов.Зачастую DDoS-атаки используют в качестве прикрытия других, более серьезных кибер-вмешательств в систему, например, получение доступа к панели управления веб-сайта через администратора или отправка по почте ссылки, содержащей вектор атаки для пользователей и потенциальных покупателей токенов ICO. После получения контроля над сайтом проекта мошенники могут изменить данные, то есть произвести дефейс, и перевести все инвестиции от пользователей на собственный счет.Для избежания атак необходимо регулярно следить за работой всех структур проекта. Для этого нужно:Установить программы, расширенные службы защиты анти-DDoS. CloudFlare, Incapsula, Akamai или DoS Arrest помогают эффективно смягчать атаки. Но эти системы могут дать сбой, и мошенники найдут способ их обхода, поэтому постоянный контроль за системами лишним не будет.Использовать безопасный хостинг с несколькими встроенными функциями безопасности и с масштабируемостью. Heroku, например, применяет элементы управления безопасностью на каждом уровне сети, изолирует клиентские приложения и данные, может быстро разворачивать обновления безопасности без вмешательства пользователя или прерывания обслуживания.Установить WAF — web application firewall, который будет генерировать правила безопасности и проверять влияние вредоносных полезных нагрузок в режиме реального времени.Исследовать качество кода и его готовность к масштабированию. Лучше постоянно проводить аудит всех систем безопасности с помощью смарт-контрактов, которые проверяют надежность всех паролей.Следить за официальным сайтом ICO-проекта. Необходимо регулярно отслеживать любые изменения на веб-страницах и в социальных сетях, фиксировать всю активность, а также изменения контента. Чем жестче и чаще будет контроль, тем быстрее можно будет найти вектор атак.Пожалуйста, будьте внимательныЗащититься от хакерских атак вполне реально, главное — постоянно держать систему под контролем и реагировать на все изменения в сети. Сама по себе процедура ICO длится недолго, поэтому вероятные уязвимости проекта необходимо просчитать заранее и устранить. Современные технологии позволяют совершать аудит системы и качественно защищать проект от киберугроз. Пристальный контроль и внимание к каждой детали безопасности помогут успешно закончить инвестиционный период и реализовать блокчейн-идею в жизнь.«Никогда не пренебрегайте собственной безопасностью, а если не хотите, то лучше и вовсе оставить эту работу и заняться чем-то другим», — напоследок советует Владислав Хорохорин, который неоднократно взламывал электронные сети.

Пока нет комментариев

Оператор Нью-Йоркской фондовой биржи представил глобальную платформу для цифровых активов Bakkt

Родительская компания Нью-Йоркской фондовой биржи (NYSE) и одна из крупнейших мировых финансовых корпораций Intercontinental Exchange (ICE) в партнерстве с компаниями Microsoft, Starbucks и BCG работают над созданием интегрированной платформы Bakkt, которая позволит пользователям и институциональным инвесторам покупать, продавать и хранить цифровые активы в глобальной экосистеме.

Introducing @Bakktapp

Designed to enable consumers and institutions to seamlessly buy, sell, store and spend digital assets. Formed with the purpose of bringing trust, efficiency and commerce to digital assets.

Экосистема Bakkt будет включать регулируемые на федеральном уровне биржи, кастодиальные сервисы, приложения для мерчантов и пользователей. Биткоин, как самая ликвидная криптовалюта, станет первым в листинге новой платформы и будет торговаться в парах с фиатными валютами.

Отметим, в ноябре 2018 года ICE также намерена запустить однодневный поставочный биткоин-фьючерс, после истечения срока которого инвестор получит базовый актив [биткоин], а не денежный расчет. На данный момент инициатива находится на рассмотрении в Комиссии по срочной биржевой торговле США (CFTC).

ICE, в частности, планирует создать гарантийный фонд, который будет финансироваться платформой Bakkt.

Напомним, слухи о запуске криптобиржи от ICE появились еще в мае.

Пока нет комментариев

5% блоков в сети биткоина добываются с применением технологии ASICBoost

Почти 5% блоков в основной сети биткоина добываются с применением технологии ASICBoost открытого типа.

Примечательно, что еще 25 июля этот показатель не превышал 2%.

Крупнейшими майнерами, использующими ASICBoost, являются SlushPool, F2Pool и CKPool. Технологию также применяют BitClub Network и BitFury Group.

Отметим, что некоторых майнеров так и не удалось идентифицировать.

Ранее компания Bitmain раскрыла объем подконтрольных вычислительных мощностей: 1692.05 Петахеш/сек на алгоритме SHA256, 339,69 Гигахеш/сек на ETHASH и 44,19 Гигахеш/сек на SCRYPT.

Пока нет комментариев

UBS: масштабируемость и поддержка регуляторов позволит биткоину заменить фиатные валюты

Биткоин может стать конкурентоспособным механизмом для осуществления платежей и полноправным классом активов, если решит проблему масштабируемости и получит поддержку регуляторов. Такое мнение высказали аналитики швейцарского финансового холдинга UBS, пишет CoinDesk.

Согласно исследованию UBS, разосланному клиентам банка, на данный момент криптовалюта не является формой денег или жизнеспособным активом из-за ограниченной эмиссии и высокой волатильности.

Также эксперты UBS заявили, что биткоин сможет заменить фиатные валюты в том случае, если его пропускная способность улучшится, а цена криптовалюты поднимется до $213 тысяч.

Выводы авторов исследования основаны на сравнении биткоина с различными классами активов и макропеременных параметрах.

Напомним, в апреле на основанной UBS блокчейн-платформе Batavia была проведена первая трансграничная сделка.

Пока нет комментариев