Управление рисками кибербезопасности при кредитовании с криптовалютой

По мере того, как кредитование с использованием криптовалют набирает обороты среди учреждений и обычных пользователей, кибербезопасность становится всё более заметной за каждой новой транзакцией. Миллиарды цифровых активов, заложенных на этих платформах, означают, что даже одно нарушение безопасности может вызвать шок по всей блокчейн-экономике.

По данным DeFiLlama, в начале 2024 года децентрализованные финансовые кредитные пулы располагали около 80 миллиардами долларов. В рамках этой системы кредиты, обеспеченные криптовалютой, позволяют пользователям получать ликвидность без продажи монет, а кредиторы предоставляют обеспечение в виде биткоинов для обеспечения сделки. Однако такая функциональность делает эти платформы объектом все более масштабной мишени, поскольку хакеры совершенствуют свое мастерство.

В этой статье рассматривается ситуация с кибербезопасностью в сфере биткоин-кредитования, рассматриваются типичные векторы атак, болезненные взломы в реальной жизни, прагматичные меры защиты, которые могут использовать команды, и тенденция в регулировании, требующая более строгих кодексов поведения. Читатели получат полное представление об угрозах и мерах защиты, которые сейчас характеризуют этот динамично развивающийся сегмент цифровых финансов.

Сайты криптокредитования позволяют людям заморозить активы, такие как биткоин или эфир, и брать в долг наличные или стейблкоины под залог, предоставляя заёмщикам быстрый доступ к средствам без необходимости продавать свои монеты. Хотя такой подход увеличивает ликвидность, он открывает несколько путей, которыми может воспользоваться злоумышленник.

Одна из самых серьёзных проблем для этих платформ — эксплойт смарт-контрактов. Скрытые глубоко в коде уязвимости могут проявиться неожиданно, позволяя хакеру украсть замороженное обеспечение. Отрезвляющим напоминанием стал взлом Inverse Finance в 2022 году , когда злоумышленники исказили данные о ценах оракулов и похитили более 15 миллионов долларов, продемонстрировав, насколько разрушительными могут быть злоупотребления оракулами.

Кража приватных ключей остаётся ещё одним источником серьёзных потерь. Поскольку многие кредитные сервисы хранят активы пользователей в кошельках, предназначенных для хранения, ключи, необходимые для перемещения этих монет, представляют особую привлекательность для воров. Если эти ключи попадут не в те руки, преступники смогут перевести средства задолго до того, как кто-либо это заметит. Печальным примером 2023 года стал провал Atomic Wallet , когда плохо охраняемые ключи у стороннего поставщика позволили ворам унести более 35 миллионов долларов.

Фишинг учётных записей и вредоносное ПО серьёзно ударили по обычным пользователям. В Telegram и Discord появились поддельные сайты кредитования, которые заманивают жертв к ключам кошельков или сид-фразам. Одновременно с этим проникают мошеннические расширения для браузеров, похищающие данные буфера обмена, что позволяет подменять украденные адреса кошельков и перенаправлять переводы.

Анализ прошлых взломов в сфере криптокредитования показывает, где были упущены слабые места и почему ответные меры оказались неэффективными.

В 2022 году Celsius Network заморозила вывод средств, а затем объявила о банкротстве на фоне более масштабного дефицита ликвидности. Хотя причиной краха стали чрезмерное кредитное плечо и падение рынка, впоследствии просочившиеся внутренние меморандумы указали на нестабильный контроль рисков и слабый мониторинг. Эти бреши слишком долго позволяли подозрительной активности просачиваться сквозь систему и способствовали утечке клиентских активов.

В том же году Cream Finance подверглась серии взломов, и только один из них понес убытки в размере более 130 миллионов долларов. Злоумышленники воспользовались уязвимостью повторного входа в коде кредитования, которую обычно отмечают опытные аудиторы, но которую так и не удалось устранить в действующем контракте. Повторные взломы породили сомнения в том, насколько глубоко платформы тестируют код и действительно ли они исправляют проблемы после завершения аудита.

Недавние громкие атаки показывают, что нарушения начинаются как из-за недостатков кода, так и из-за базовых недостатков процесса, таких как отсутствие обновлений, слабая подготовка персонала и невнимательные правила мультиподписи.

Защита платформ криптокредитования требует комплексной защиты, сочетающей технический контроль, надежные процедуры и обучение пользователей.

Во-первых, каждый новый смарт-контракт должен пройти тщательный аудит внешними экспертами (без исключений). После этого должна последовать формальная верификация, математически проверяющая логику контракта, что добавляет второй уровень доказательств.

Надёжные кошельки с мультиподписями в сочетании с пороговым доступом снижают вероятность того, что кто-то снимет средства за одну ночь. Именно поэтому мультиподпись Gnosis Safe стала незаменимым инструментом в DeFi-проектах.

Не менее важно обнаружение аномалий в режиме реального времени. Такие системы за секунды выявляют необычное поведение контрактов — повторяющиеся вызовы оракула или крупные запросы на получение залога — и, совместно с автоматическими аварийными выключателями, замораживают операции до тех пор, пока люди не смогут проверить их.

На стороне пользователя использование аппаратного кошелька и обычная двухфакторная аутентификация должны быть включены по умолчанию. Более надёжные варианты, такие как вход по отпечатку пальца или белый список адресов, обеспечивают дополнительную защиту от фишинга и мошенничества с использованием социальной инженерии .

Программы вознаграждения за обнаруженные ошибки приглашают этичных хакеров находить системные недостатки и сообщать о них за деньги, превращая раскрытие уязвимостей в уровень безопасности, связанный с получением дохода.

Теперь регулирующие органы прикрепляют к этому уровню контрольные перечни соответствия, гарантируя, что исправления не будут лежать на полке.

Во все большем числе юрисдикций власти рассматривают кибербезопасность как центральный фактор финансовой стабильности и оценивают платформы криптокредитования через эту призму.

В Европе готовящийся регламент «Рынки криптоактивов» ( MiCA ) обязывает операторов кошельков и биржи разрабатывать формальные киберправила, проводить ежегодные проверки «красной команды», оповещать регулирующие органы в течение нескольких часов после взлома и вести четкие планы восстановления услуг.

Сингапур пошел по схожему пути: Денежно-кредитное управление ожидает, что компании, работающие в сфере цифровых активов, будут шифровать конфиденциальные данные, встраивать рекомендации по безопасному кодированию в руководства для разработчиков и проверять поставщиков ИТ-решений с той же строгостью, что и внутренний код.

В Соединенных Штатах правила все еще находятся на стадии обсуждения, а противоречивые заключения судов омрачают картину, однако и Комиссия по ценным бумагам и биржам (SEC), и Комиссия по торговле товарными фьючерсами (CFTC) указали на пробелы в системе безопасности в делах о правоприменении с участием потребителей из США.

Наложенные ими штрафы показывают, что неспособность защититься от хорошо документированных схем атак теперь считается существенным риском, что усиливает необходимость проведения тестирования, ведения журналов инцидентов и учений по восстановлению до прибытия надзорных органов.

Во всем мире платформы трансграничного кредитования испытывают растущее давление, связанное с необходимостью соответствовать международным передовым практикам. В этих условиях получение сертификата ISO/IEC 27001 в области управления информационной безопасностью стало неформальным знаком доверия — даже там, где это пока не требуется законом.

Платформы кредитования с использованием криптовалюты — это быстрорастущая, но, естественно, нестабильная область цифровых финансов. Благодаря миллиардам долларов в виде заблокированного залога, они привлекают опытных хакеров, которые умеют использовать даже самые незначительные уязвимости.

Предыдущие атаки доказали, что слабый код и плохое управление могут в совокупности привести к потере огромных сумм. По мере роста отрасли более строгие меры безопасности, подкреплённые чёткой внутренней политикой и чёткими внешними правилами, будут иметь решающее значение для поддержания доверия пользователей.

Без этой надежной основы кибербезопасности привлекательность биткоин-кредитов и продуктов с криптозалоговым обеспечением может превратиться в самое слабое звено в индустрии цифровых активов.