Миллионы долларов на безопасность: как Gate.io защищает средства клиентов

По данным портала HedgewithCrypto, за последние 10 лет хакеры взломали 49 криптобирж и украли $2,7 млрд. Тем не менее площадки постоянно улучшают защиту — крупных краж становится все меньше. В 2020 году произошло девять взломов, в прошлом году — четыре, а в этом — всего один.

Вместе с Gate.io рассказываем, какие векторы атаки чаще всего используют хакеры, как платформа защищает средства клиентов и чего боятся крупнейшие криптобиржи.

Из чего состоит безопасность биржи

Самая частая причина взлома бирж — уязвимости хранилища приватных ключей к горячим кошелькам. Согласно HedgewithCrypto, хакеры также использовали:

• баги торговой платформы;
• фишинг; 
• бреши в защите серверов;
• рассылку вредоносных программ;
• подкуп сотрудников. 

Чтобы защитить клиентов, площадки должны закрыть эти уязвимости и разработать сценарии реагирования на разные угрозы. Некоторые биржи используют уникальные меры:

• Gate.io разработала программу для ончейн-аудита резервов и первой из мейнстримных криптобирж предоставила доказательство 100% обеспечения балансов пользователей;
• BitMEX реализовала в торговом движке сверку балансов пользователей после каждой сделки и стоп-кран для остановки операций, если счет хоть одного трейдера не сойдется с историей его сделок;
• Coinbase запустила Coinbase Tracer — собственный сервис для проверки чистоты транзакций;
• Kraken установила в серверных системы видеонаблюдения и приставила к ним вооруженную охрану.

Комплексная защита площадки обходится дорого: Gate.io тратит на нее миллионы долларов в год. Точная сумма находится под секретом.

Защита горячих и холодных кошельков

Биржи используют два вида кошельков: горячие для ежедневных операций по принятию депозитов и вывода средств и холодные для безопасного хранения активов.  

Ключи от горячих кошельков обычно находятся в компьютере с подключением к интернету, чтобы площадка могла быстро подписывать транзакции. Это опасно —  хакеры могут получить доступ к машине, украсть приватный ключ или перенаправить транзакции на свои адреса.  

Для управления горячими и холодными кошельками Gate.io использует мультиподпись, а значит кража одного ключа не приведет к потере контроля над активами.

Кроме того, Gate.io держит ключи и бэкапы в аппаратных модулях безопасности (Hardware Security Module) — аналогах Trezor и Ledger для задач бизнеса. Все холодные кошельки отключены от интернета.

Безопасность сайта и серверов

В 2020 году хакеры получили доступ к серверам биржи Livecoin, повысили котировки биткоина и Ethereum до $220 000 и $65 000 соответственно, а затем похитили более $2 млн. С 2014 года от подобных взломов пострадали восемь бирж.

Чтобы противостоять таким атакам, Gate.io использует:

• протокол HTTPS для безопасной передачи данных между пользователями и серверами;
• собственный анти-DDoS и файрвол CloudFlare для защиты от трафика, который может замедлить или парализовать работу платформы;
• Web Application Firewall (WAF) для борьбы с сетевыми атаками — SQL-инъекциями, подменой токенов доступа, исполнением вредоносного кода в браузере и попытками перебора паролей;
• защищенные DNS, чтобы хакеры не смогли перенаправить пользователей на фишинговый сайт.

Торговое ядро Gate.io состоит из раздельных модулей. Такой подход не позволяет хакерам реализовать сценарий с подменой котировок криптовалют, доходности инструментов или любых других параметров платформы.

Для обеспечения внутренней безопасности биржа внедрила корпоративные файрволы и систему контроля доступа к корпоративным ресурсам. При заражении одного рабочего компьютера система выявит вирус при первых попытках прочесть данные.

Безопасность аккаунтов

Если злоумышленник получит доступ к аккаунту пользователя, то сможет украсть его средства несмотря на меры защиты кошельков и платформы. Поэтому Gate.io обязывает пользователей настраивать двухфакторную аутентификацию одним из способов:

• код в SMS или письме на электронную почту;
• Google Authenticator;
• подтверждение входа через аппаратный ключ безопасности YubiKey, аппаратный кошелек Gate.io Wallet S1 со сканером отпечатка пальца или другое устройство с поддержкой стандарта FIDO2.

Пользователь также задает торговый пароль. Платформа запрашивает его перед любой операцией с активами: открытием или закрытием позиции, переводом средств или выводом криптовалюты на внешний кошелек. Кроме того, он может настроить белый список адресов для вывода.

Даже при наличии логина и пароля от аккаунта хакер не сможет вывести или по-другому использовать средства на счету. При этом Gate.io пришлет владельцу счета уведомление о входе с нового IP-адреса и запишет его в журнал логинов. 

Для непредвиденных обстоятельств на Gate.io работает сервис наследования аккаунтов. Пользователь указывает контактные данные близких или друзей. Если он не будет заходить на платформу в течение длительного времени, биржа свяжется с указанными людьми и после подтверждения личности передаст им доступ к аккаунту.

Прозрачность платформы

В 2022 году криптоэнтузиасты столкнулись с новой проблемой: биржи использовали их депозиты для собственных операций. Из-за падения курсов биткоина и Ethereum позиции площадок стали убыточными. Компании приостанавливали вывод средств или даже объявляли о банкротстве. 

За два года до этого Gate.io разработала ончейн-решение Proof-of-Reserves для независимого аудита резервов. В нем можно узнать свой реальный баланс на холодном кошельке биржи по хешу UID.

В июле 2022 года аудиторская компания Armanino LLP подтвердила, что Proof-of-Reserves работает правильно и Gate.io хранит 100% внесенных средств.

Безопасность экосистемы

Криптобиржи запускают блокчейны и токены, но не могут гарантировать безопасность децентрализованных приложений. Так, в марте 2021 года хакеры захватили DNS Pancake Swap на BNB Chain, и перехватили приватные ключи части трейдеров.

Для устранения этой уязвимости Gate.io добавила в GateChain механизм отмены транзакций и резервного вывода. Пользователи создают специальные адреса-хранилища и задают количество блоков, в рамках которого могут отменить отправленные транзакции.

Кроме того, владелец хранилища может привязать к нему резервный адрес для вывода средств в случае потери приватного ключа. Для этого нужно обратиться в техподдержку Gate.io.

Выводы

После ребрендинга на странице «О Gate.io» появился слоган «Наш высший приоритет — безопасность данных и активов пользователей». И это правда: система безопасности биржи закрывает известные уязвимости торговых площадок.

Но Gate.io не останавливается на достигнутом: биржа запустила баунти-программу для белых хакеров и разработала аппаратный кошелек со сканером отпечатков пальца Wallet S1.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.