Холодно, но безопасно: как Phemex хранит средства пользователей

Горячие кошельки остаются одним из самых уязвимых мест криптобирж. По данным сервиса Atlas VPN, в 2012-2020 годах 87 платформ лишились $4,8 млрд в результате хакерских атак.

Чтобы защитить средства пользователей, некоторые биржи хранят их только офлайн. Одна из таких площадок — Phemex. Рассказываем о системе безопасности и холодных кошельках этой торговой платформы.

Коротко о Phemex

Phemex — сингапурская криптобиржа, которую основали восемь бывших сотрудников банка Morgan Stanley. В марте 2020 года Phemex привлекла $3,5 млн в ходе раунда финансирования Серии А при оценке в $50 млн.

Платформа работает с 2019 года и поддерживает 37 криптоактивов. Пользователям доступны фьючерсные контракты с кредитным плечом до 100х. На момент публикации статьи на бирже зарегистрировалось 2 млн человек.

Торговый движок Phemex может обрабатывать до 300 000 транзакций в секунду. Он состоит из двух модулей: CrossEngine и TradingEngine. Первый упорядочивает ордера в зависимости от приоритета по времени и цены, а второй принимает запросы на размещение ордеров пользователей.

Криптобиржа работает в соответствии со стандартом информационной безопасности ISO/IEC 17799 и сотрудничает с аудиторской компанией SlowMist. Для защиты от внешних атак биржа использует систему Amazon Web Services Cloud Security.

Разница между холодными и горячими кошельками

Большинство криптобирж использует два типа кошельков: горячие (онлайн) и холодные (офлайн). 

Горячие кошельки постоянно подключены к интернету, и поэтому уязвимы для хакерских атак. Однако они позволяют биржам быстрее обрабатывать запросы пользователей на вывод средств.

Холодные кошельки не имеют доступа к интернету. Это защищает их от взлома, но в то же время замедляет вывод криптовалют с биржи.

Крупные биржи переводят большую часть цифровых активов на холодные кошельки. Например, Bitstamp хранит офлайн 98% средств клиентов, а Kraken — 95%. 

Phemex разработала собственную систему иерархически детерминированных (hierarchical deterministic, HD) холодных кошельков, которая позволяет хранить 100% средств пользователей офлайн.

Как работают холодные кошельки Phemex

Каждый пользователь биржи получает отдельный депозитный адрес. Периодически Phemex консолидирует отдельные депозиты на одном холодном кошельке. 

Сотрудники платформы подтверждают внутренние переводы и выводы с биржи с помощью офлайн-подписей. Для таких операций нужно два компьютера:

• первый не имеет доступа к интернету и хранит закрытые ключи для подписи транзакций;
• второй подключен к интернету и транслирует транзакцию в блокчейн.

Сотрудники Phemex подписывают транзакции на офлайн-компьютере, а затем переносят их на онлайн-компьютер с помощью USB-носителя. После этого онлайн-компьютер транслирует транзакции в блокчейн. 

Криптобиржа обрабатывает запросы на вывод средств три раза в сутки. Персонал биржи проверяет заявки и подтверждает их офлайн-подписями.

Выводы

В марте 2012 года хакеры украли 18 500 BTC с горячего кошелька платформы Bitcoinica. С тех пор мало что изменилось: в 2019 году злоумышленники взломали Binance и Upbit, в 2020 году — KuCoin и EXMO, а в 2021 году Liquid и Bilaxy.

Phemex обеспечивает сохранность пользовательских активов: биржа хранит все средства на холодных кошельках. 

У такого подхода есть минус: клиенты вынуждены ждать, пока платформа обработает заявки на вывод средств офлайн. Однако это небольшая цена за стопроцентную уверенность, что хакеры не получат доступ к цифровым активам на бирже.

Подписывайтесь на канал ForkLog в YouTube!