MEDIA ABOUT US (22)
Key informational occasions...
КИБЕРБЕЗОПАСНОСТЬ ЦВЦБ – ЦИФРОВОЙ ВАЛЮТЫ ЦЕНТРАЛЬНОГО БАНКА
Written by Aleksandr Podobnykh
30 декабря 2022 года, вышел в свет 6-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных: Кибербезопасность ЦВЦБ – цифровой валюты центрального банка (в разделе Технологии \ Криптография).
Всё начиналось с цветных монет и мечты энтузиастов о дешевых и быстрых финансовых транзакциях. Коронавирус и тотальный переход на дистанционный режим работы во многом предопределил и переход на цифровые, виртуальные валюты. Пандемия стимулировала переход клиентов от традиционных банковских отделений на цифровые каналы. Согласно данным BCG, за время пандемии использование онлайн-банкинга выросло на 23%, а мобильного – на 30%. В то же время число тех, кто пользуется услугами отделений, снизилось на 12%. Эти тенденции повлияли и на российский банковский сектор.
Сегодня бизнес хочет привлекать финансирование, с одной стороны, быстро и дешево, с другой стороны – прозрачно и безопасно. Конечно же, в зоне внимания оказались и криптовалюты, в частности стейблкойны.
Стейблкойны – это общее название криптовалют, обменный курс которых стараются стабилизировать, например привязывая котировки к обычным валютам или биржевым товарам (золото, нефть и пр.). Объем рынка стейблкойнов весьма значителен – порядка 80% от общего суточного объема криптовалютного рынка.
На фоне успеха криптовалют властям разных стран мира пришла идея официальных стейблкойнов, эмитируемых центральными банками и привязанных к национальной валюте. Такой вид платежных средств называют цифровой валютой центрального банка (Central bank digital currency, CBDC, ЦВЦБ).
Идея прижилась во многих странах, и вот уже глобальные игроки платежного рынка, такие как SWIFT, Visa и Mastercard, планируют быть в центре новых разработок, касающихся цифровых активов, в том числе ЦВЦБ и стейблкойнов.
В настоящее время крупные блокчейн-компании, технологические гиганты и национальные банки различных стран создают платежные платформы, публикуют проекты и инструкции, унифицируют API, не за горами экосистемы. Многие идут по пути трансграничных ЦВЦБ. Ряд стран создают рабочие группы для проведения исследований и анализа, с привлечением регуляторов, ведомств и отраслевых компаний, для выработки оптимального пути с минимизацией рисков для финансовых систем.
Не криптовалюта, но цифровой рубль
Банк России не поддерживает создание в стране частных стейблкойнов как законного платежного средства, однако активно работает над проектом ЦВЦБ, цифровым рублем, – дополнительной формой российской национальной валюты, которая будет эмитироваться Банком России в цифровом виде и сочетать свойства наличных и безналичных рублей. В основе цифрового рубля будет использоваться технология распределенного реестра, то есть блокчейн.
Как и безналичные деньги, цифровой рубль позволит проводить дистанционные платежи и онлайн-расчеты. С другой стороны, как и наличные деньги, цифровой рубль может использоваться в офлайн-режиме при отсутствии доступа к Интернету. Подобно банкнотам, каждая из которых имеет свой номер, экземпляры цифрового рубля будут подкрашиваться уникальным цифровым кодом.
Цифровой рубль будет принципиально отличаться от обычных биткойна или эфириума как раз тем, что у криптовалют отсутствует единый эмитент, гарантии защиты прав потребителей, а их стоимость подвержена серьезным колебаниям. В большинстве стран криптовалюты нельзя законно использовать для оплаты товаров и услуг, и, как правило, они не имеют единого института, который обеспечивал бы сохранность средств в кошельках пользователей.
Банк России подчеркивает, что цифровой рубль является обязательством центрального банка, реализуемым посредством цифровых технологий, и не имеет никакого отношения к криптовалютам. Это фиатная валюта, то есть валюта, устойчивость функционирования которой обеспечивается государством в лице центрального банка.
Вопросы информационной безопасности и конфиденциальности
В ходе пилотного проекта цифрового рубля, проходящего в 2022 г., для обеспечения информационной безопасности и киберустойчивости прототипа платформы цифрового рубля используются следующие подходы.
В части организации доступа пользователей к платформе цифрового рубля:
- взаимодействие клиента с платформой цифрового рубля осуществляется по защищенным каналам через приложение банка, установленное на мобильное устройство пользователя;
- доступ пользователя к кошельку, на котором хранятся его цифровые рубли, а также все операции пользователя с цифровым рублем осуществляются с использованием специализированного программного модуля Банка России, интегрированного с мобильными приложениями кредитных организаций;
- программный модуль БР разрабатывается Банком России и будет предоставлять API для разработчиков приложений кредитных организаций и использоваться для обеспечения безопасного взаимодействия пользователя с банком, генерации и хранения криптографического ключа доступа клиента кредитной организации к цифровому кошельку, подписания распоряжений по операциям с цифровыми рублями клиента;
- криптографическая защита каналов взаимодействия пользователей с инфраструктурой кредитной организации (шифрование) при использовании мобильного приложения кредитной организации осуществляется с применением СКЗИ, сертифицированных ФСБ России.
В части организации доступа кредитной организации к платформе цифрового рубля:
- при доступе к платформе цифрового рубля осуществляется "строгая" двухсторонняя аутентификация прямых участников с использованием ключей, сертифицированных УЦ БР, по защищенным каналам взаимодействия, реализованным с применением сертифицированных ФСБ России СКЗИ.
В части обеспечения защиты данных на платформе цифрового рубля:
- применение СКЗИ, сертифицированных ФСБ России, для обеспечения целостности и достоверности данных на платформе Банка России при подписании транзакций с цифровым рублем;
- создание цифровых рублей исключительно с применением эмиссионного ключа Банка России. Эмиссионный ключ Банка России регистрируется в специально выделенном УЦ БР для эмиссии;
- применение комплекса технологических мер защиты информации: логический контроль, структурный контроль, контроль дублирования, контроль авторства и т.д.;
- на участках, где невозможно применение сертифицированных СКЗИ, предусмотрено применение специальных технологических мер, обеспечивающих целостность данных для операций с цифровым рублем;
- организация контроля целостности смарт-контрактов и прав доступа к возможности их запуска.
При развитии платформы цифрового рубля особое внимание в части информационной безопасности будет уделено обеспечению операционной надежности и киберустойчивости на всех стадиях жизненного цикла цифрового рубля.
В схеме на рис. 1 (см. оригинал статьи) отражены процессы взаимодействия участников в соответствии с вышеизложенными подходами к обеспечению информационной безопасности.
Но, как писал "Коммерсант", серьезным препятствием для финансовых организаций становится отсутствие четких требований к уровню защиты информации в отношении цифрового рубля. Сейчас инфраструктура, поддерживающая обслуживание ЦВЦБ, строится по классу КС2 СКЗИ, но вполне вероятно, что уровень будет повышен до КС3 или КВ и КА, и тогда затраты банков могут стать несоразмерно большими.
В технологическом аспекте эксперты видят риск недостаточной производительности технологии распределенных реестров, осложняющийся дефицитом микроэлектронных компонентов, а также риск сложности реализации решения по обеспечению конфиденциальности в распределенных реестрах.
Стоит отметить, что на платформе цифрового рубля будет обеспечена конфиденциальность информации об операциях клиентов и защита их персональных данных, но при этом расчеты в цифровом рубле не предполагают анонимности платежей. Со стороны финансовых организаций, обеспечивающих проведение клиентских операций в цифровом рубле, будут выполняться процедуры, предусмотренные законодательством в сфере ПОД/ФТ/ФРОМУ. В этом смысле степень конфиденциальности операций на платформе цифрового рубля будет обеспечена на уровне не ниже, чем при существующем механизме безналичных платежей.
Если все планы реализуются, то с 1 апреля 2023 г. цифровой рубль должен появиться в экономическом пространстве.
Опыт пилотирования ЦВЦБ в Казахстане
В Казахстане недавно завершился пилотный проект введения своей ЦВЦБ – цифрового тенге. В целом финансовой инфраструктуре удалось поддержать вполне комфортный для пользователей уровень производительности при совершении транзакций, хотя и частично за счет организационных мер и ограничений.
Оптимизация производительности не являлась главным фокусом пилотного проекта, но в рамках нагрузочного тестирования разработанной платформы проводились замеры пропускной способности и времени ответа. Результаты пилотного проекта показали, что производительность платформы на уровне показателей платежных систем является одним из ключевых вызовов на будущее.
На следующем этапе платформа ЦВЦБ Казахстана потребует глубокой проработки вопросов производительности: повышения пропускной способности, сокращения длительности обработки транзакции, решения вопроса увеличения длительности обработки транзакции при увеличении истории и т.п.
В силу незрелости технологии и отсутствия значительного количества промышленных внедрений существует риск того, что платформа не позволит обеспечить производительность, сопоставимую с существующими решениями национального уровня, например с карточными системами. На текущий момент технологические платформы демонстрируют допустимые результаты по производительности, сопоставимые с существующими системами (например, системами быстрых платежей), но их приемлемость для продуктивного решения пока не тестировалась в условиях, приближенных к реальным.
В части информационной безопасности в отчете по пилотному проекту внедрения ЦВЦБ отмечено, что пока отсутствует полное понимание относительно наиболее безопасной реализации систем защиты на уровне платформы цифровой валюты. В качестве возможных мер предлагаются алгоритмическая криптозащита, безопасность на основе аппаратного или программного обеспечения и их комбинация.
Каждый вариант несет определенные риски с точки зрения достигаемого уровня защиты, сложности реализации и поддержки ввиду "гонки вооружений" между атаками и защитой. Безопасность на уровне пользователя эксперты отнесли к "последней миле" – мобильным приложениям, смарт-картам и прочим пользовательским устройствам и технологиям.
Источник: Информационная безопасность
БИТКОЙН-КРИМИНАЛИСТИКА ДЛЯ ДЕАНОНИМИЗАЦИИ КРИПТОМИКСЕРОВ И ТРАНЗАКЦИЙ COINJOIN
Written by Aleksandr Podobnykh
21 ноября 2022 года, вышел в свет 5-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Биткойн-криминалистика для деанонимизации криптомиксеров и транзакций CoinJoin (в разделе Технологии \ Криптография).
В отличие от алгоритмов, люди всегда оставляют следы. Биткойн по природе публичен, история его транзакций может быть легально просмотрена кем угодно. И хотя пользовательские публичные адреса в блокчейне не дают возможность идентификации конкретных лиц, стоящих за каждой операцией, но технологии анализа развиваются, и они все эффективнее позволяют связывать адреса с личностями. Поэтому со временем появились технологии разрыва связей между транзакциями – миксеры, тумблеры и CoinJoin.
Миксеры, тумблеры и CoinJoin
В широком смысле миксинг (микширование) монет может означать любую деятельность, связанную с обфускацией финансовых средств и заменой их другими. Применительно к криптовалютам под миксингом обычно подразумеваются услуги третьей стороны, которая принимает средства пользователей и за небольшую комиссию возвращает криптомонеты, уже не имеющие связи с отправленными. Эти сервисы известны как тумблеры или миксеры.
Безопасность и анонимность таких централизованных сервисов, конечно, сомнительна, ведь пользователь не получает гарантии возврата своих средств и их валидности. Фактически в процессе миксинга пользователь временно отказывается от контроля над своими средствами, надеясь получить обратно монеты, не связанные с отданными. Кроме того, выполняющая миксинг сторона может логировать IP- и биткойн-адреса, а это угрожает конфиденциальности пользователей.
Более высокую степень несвязанности предоставляет интересный подход, называемый CoinJoin. Он заключается в объединении средств нескольких пользователей в одну транзакцию. Так как входы объединяются, становится невозможно однозначно связать конкретный выход транзакции с каким-либо входом. После транзакций CoinJoin никакие свидетельства не могут гарантированно доказать связь пользователя с его предыдущими транзакциями. Таким образом, CoinJoin служит чем-то вроде черного ящика для миксинга монет, скрывающего связь между старыми и новыми владельцами криптосредств.
Многие решения CoinJoin являются децентрализованной альтернативой микшерам. Несмотря на то что в схеме может присутствовать координатор, пользователям не нужно отказываться от временной потери контроля над своими средствами. Новейшие реализации CoinJoin позволяют пользователям надежно объединять свои входные данные с десятками других, обеспечивая высокую степень несвязности. Например, в середине 2019 г. была успешно выполнена транзакция с сотней участников.
Сам факт существования CoinJoin достаточен для того, чтобы поставить под сомнение методы анализа криптотранзакций. В большинстве случаев можно понять, что был использован CoinJoin, но нельзя узнать, кому какие средства были переведены. В оценке киберпреступности ЕС за 2020 г. сервисы кошельков, использующие концепции CoinJoin, такие как Wasabi и Obscuro, были признаны главной угрозой наряду с хорошо зарекомендовавшими себя централизованными микшерами.
Obscuro, поддерживая децентрализованную службу микширования, к тому же использует антифорензивные методы, например аппаратные среды доверенного выполнения (TEE) для защиты своих операций от операционной среды. Содержимое защищенного анклава шифруется и хранится в оперативной памяти, теоретически оставляя минимальные артефакты на диске системы, в которой он работает. Obscuro использует защищенный анклав Intel SGX System Secure Enclave для отделения данных приложений от остальной части системы. Исследователи назвали эту и аналогичные технологии TEEs BANKLAVES (банклавы).
Почему используются криптомиксеры?
Большинство пользователей сервисов микширования используют их с целью конфиденциальности. Такая конфиденциальность важна тем, кто по различным причинам хочет совершать финансовые операции анонимно.
Небольшой процент пользователей миксеров являются киберпреступниками. Они используют сервисы смешения, чтобы скрыть связь между криптокошельками, которые используются ими для сбора незаконной прибыли, и криптокошельками, с которых они переводят средства на криптофиатные биржи. Таким образом они стремятся избежать срабатывания предупреждений в антифрод-системах, связанных с отмыванием денежных средств. В июле 2022 г. около 10% всех криптовалют, принадлежащих незаконным сервисам, были отмыты именно через миксеры.
Биткойн-криминалистика
Для биткойн-криминалистики важно, что координатор CoinJoin имеет представление о пользовательской информации, которая может позволить cвязать входные данные с пользователем. Это открывает возможность обнаружения значимых артефактов (свидетельств), если инфраструктура криптосервиса будет подвергнута криминалистическому анализу.
В мае 2019 г. голландская служба финансовой информации и расследований (FIOD) в тесном сотрудничестве с Европолом и властями Люксембурга конфисковала шесть серверов Bestmixer.io, контролирующих потоки Bitcoin, Bitcoin Cash и Litecoin. Изъятие серверов злоумышленников и надлежащее восстановление информации помогают обеспечить значительную степень раскрытия анонимности этих транзакций. Если исследователям известны биткойн-адреса, принадлежащие как интересующему лицу, так и стороннему сервису микширования, они могут идентифицировать транзакции между ними.
В 2021 г. сотрудники Эдинбургского университета Нейпира опубликовали исследование, описывающее инструментарий и методологию для анализа сервисов смешивания биткойнов, доступ к которым был получен после судебного изъятия. Они изучили, какие реальные, общедоступные инструменты и методы раскрываются криминалистически, а также проанализировали источники артефактов, которые потребуют дальнейшего академического внимания.
Тестовая среда упомянутых кошельков была развернута на виртуальных машинах, затем использовался ряд инструментов компьютерно-технической экспертизы для исследования созданных виртуальных образов на наличие значимых артефактов. Задействованные инструменты смогли восстановить широкий спектр криминалистических свидетельств и позволили обнаружить, что сетевые активности и файлы системных журналов являются полезными источниками свидетельств для деанонимизации служб микширования.
Наиболее эффективные методы защиты от криминалистической экспертизы, используемые службами микширования, включали шифрование данных при передаче и в состоянии покоя. Obscuro микшировал в защищенном анклаве, но последующая запись этих данных на диск в зашифрованных артефактах сделала это микширование избыточным и привело к компрометации данных.
Инструменты анализа транзакций
Исследователи использовали различные наборы криминалистических инструментов, а затем по результатам их работы выполнялся поиск конкретных криминалистических артефактов. Преимущество в том, что для поиска значимых доказательств можно применять множество инструментов, предоставляющих расширенные возможности: захват файлов и потоков данных, анализ сигнатур и более глубокий синтаксический анализ конкретных приложений.
1. Autopsy, один из основных инструментов цифровой криминалистики с открытым исходным кодом, позволяющий анализировать жесткие диски, смартфоны, флеш-карты и т.д.
2. FTK Imager, программное обеспечение с открытым исходным кодом, которое было выбрано за его мощную способность монтировать и анализировать файлы образов.
3. AXIOM, платный комплексный набор инструментов, позволяющий захватывать снепшоты устройств, обрабатывать образы для восстановления данных, он предоставляет аналитические инструменты.
4. Для анализа и исследования сетевого трафика использовался инструмент Wireshark, а для исследования снепшотов памяти – LIME и Volatility.
На сегодняшний день доступны экспертные инструменты для анализа транзакций и кластеризации адресов, которые превращают криптотранзакции в простую визуализацию, подкрепленную точными данными об атрибуции адресов.
Заключение
По состоянию на 2022 г. в России запрещено использование криптовалют в качестве средства платежа, но при этом по-прежнему растут криптофинансовые потоки и незаконные финансовые сервисы на теневом рынке, в том числе и миксеры криптовалют. Между тем в Евросоюзе уже создан регулирующий орган AMLA, которому поручен прямой надзор за криптобизнесом.
При столкновении с биткойн-миксером, разработанным для сокрытия источника биткойнов и личности пользователей, правоохранительным органам требуется специфический набор навыков и инструментов для отслеживания средств, совершенно отличный от соответствующего комплекта для сбора криминалистических доказательств в случае более традиционных форм отмывания денежных средств. Кроме того, пока еще проведено мало исследований, направленных на рассмотрение и изучение криминалистического анализа сервисов смешивания биткойнов.
Аналитические платформы уже достаточно развиты для того, чтобы видеть все криптотранзакции. Примером является программное обеспечение Chainalysis для обеспечения соответствия требованиям в сфере оборота криптовалют. В России для этих целей работает платформа КОСАтка.
Не следует забывать, что использование Tor в Wasabi, как правило, помогает в решении проблем конфиденциальности и безопасности, но субъекты угроз, ищущие биткойн-трафик, могут и действительно нацеливаются на узлы Tor в попытках украсть средства или раскрыть пользователей.
В ближайшем будущем стоит ожидать появления криминалистических инструментов с применением поддельных нод Tor и дистанционным сбором свидетельств с хостов и облачных ресурсов для нужд криминалистической экспертизы.
Источник: Информационная безопасность
СМАРТ-КОНТРАКТЫ И ВОПРОСЫ БЕЗОПАСНОСТИ
Written by Aleksandr Podobnykh
21 сентября 2022 года, вышел в свет 4-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных — Смарт-контракты и вопросы безопасности (в разделе Технологии \ Безопасная разработка).
Сарт-контракт – это приложение, использующее блокчейн и выступающее в качестве цифрового соглашения, подкрепляемого набором правил. Смарт-контракты не являются договорами в юридическом смысле в большинстве юрисдикций, включая российскую. Это всего лишь приложение, удовлетворяющее формальным требованиям и запущенное в распределенной системе блокчейна. Смарт-контракты делают транзакции отслеживаемыми, прозрачными и необратимыми. Результатом выполнения контракта может быть обмен активами между сторонами.
Смарт - контракты имеют обширную область применения не только в финансовом секторе, но и в иных отраслях экономики, и мировой тренд на цифровизацию является одним из основополагающих драйверов развития этого инструмента. Смарт-контракты позволяют создавать протоколы коммуникации, не требующие априорного доверия между сторонами. Участники процесса могут быть уверены, что контракт будет выполнен только при соблюдении всех условий, в нем предусмотренных.
Кроме того, использование смарт-контрактов избавляет от необходимости в посредниках, значительно снижая расходы на проведение операций. Каждый блокчейн может использовать собственный способ реализации смарт-контрактов. Например, в сети Ethereum для написания смарт-контрактов используется язык Solidity.
С точки зрения разработчика, Solidity легко читается практически любым программистом и на первых шагах обманчиво кажется простым. Кроме кода, смарт-контракты содержат два публичных ключа, один из которых предоставлен создателем контракта, а другой является цифровым идентификатором, уникальным для каждого смарт-контракта.
Неизменность смарт-контрактов
Поскольку смарт-контракты работают в рамках неизменяемой децентрализованной блокчейн-сети, их результаты нельзя подделать ради неправомерного извлечения выгоды. Но неизменность является не только достоинством, но и недостатком. Например, в 2016 г. хакеры взломали децентрализованную автономную организацию The DAO и украли эфиры (валюта сети Ethereum) на миллионы долларов, воспользовавшись уязвимостями в коде смарт-контракта. Поскольку смарт-контракт The DAO был неизменным, разработчики не смогли исправить код.
В результате сеть Ethereum приняла решение откатить ситуацию до момента взлома, вернуть средства законным владельцам, и этот форк является частью текущего блокчейна Ethereum. В то время как оригинальная цепочка, получившая название Ethereum Classic, никак не отреагировала на взлом, руководствуясь тем, что события в блокчейне никогда не должны изменяться.
Высокая зависимость от уровня программистов и подверженность багам
Считается, что взлом злоумышленниками качественно написанных смарт-контрактов практически невозможен, а популярные смарт-контракты в индустрии децентрализованных финансов на сегодняшний день являются самым надежным способом хранения документов в цифровом мире. Но код пишется программистами, а из-за того, что смарт-контракт виден всем пользователям блокчейна, в рамках которого он функционирует, его возможные уязвимости будут видны всей сети, притом что устранить их не всегда возможно из-за неизменности. В идеальном мире разработка смарт-контрактов должна осуществляться только опытными программистами, особенно когда речь идет о конфиденциальной информации, персональных данных или больших суммах денег.
Но в реальности очень большой процент ошибок вызван человеческим фактором и уязвимый код является причиной многочисленных рисков. Одна из причин, провоцирующих уязвимости, заключается в сложности проектирования, разработки и тестирования смарт-контрактов. И если для простых смарт-контрактов вероятность ошибки относительно мала, то в сложных смарт-контрактах ошибки встречаются часто. А последствием может быть хищение средств, их заморозка или даже уничтожение смарт-контракта.
Распространенные уязвимости вызваны давно известными чисто программными ошибками.
1. Рекурсивный вызов: смарт-контракт совершает вызов к другому внешнему контракту до того, как изменения были зафиксированы. После этого внешний контракт может рекурсивно взаимодействовать с исходным смарт-контрактом недопустимым способом, так как его баланс еще не обновлен.
2. Целочисленное переполнение: смарт-контракт выполняет арифметическую операцию, но значение превышает емкость хранилища (обычно 18 знаков после запятой). Это может привести к неправильному расчету сумм.
3. Опережение: плохо структурированный код содержит данные о будущих транзакциях, которые могут быть использованы третьими лицами в своих интересах.
Эффективность смарт-контрактов
Оптимизация производительности смарт-контрактов является показателем мастерства разработчика. Некоторые контракты для выполнения своей функции производят сложные серии транзакций, и комиссия за производимые операции становится высокой. Эффективные контракты могут значительно сократить комиссию за транзакции.
Вопрос комиссии за вычисления в смарт-контрактах тесно связан с безопасностью, ведь ситуация, когда средства навсегда застряли в контракте, с практической точки зрения мало отличается от ситуации, когда их украли.
Виртуальная машина Ethereum
EVM (Ethereum Virtual Machine) – это единый глобальный 256-битный "компьютер", в котором все транзакции хранятся локально на каждом узле сети и исполняются с относительной синхронностью. EVM может выполнять произвольные команды, и в этом кроется его уязвимость: можно подобрать программный код, который приведет к непредвиденным последствиям. Понятно, что уязвимости в EVM могут привести к сбою в работе смарт-контрактов.
Еще одна проблема заключается в том, что можно практическим либо техническим способом подобрать код смарт-контракта, операции которого нагрузят виртуальную машину и замедлят ее непропорционально той комиссии, которая была оплачена за выполнение этих операций. Исследователи борются с такого рода злоупотреблениями, но проблема по прежнему остается актуальной.
Аудит защищенности смарт-контрактов
В качестве ответной меры на возможные риски довольно распространенной услугой стал аудит смарт-контрактов. Аудит безопасности предоставляет подробный анализ смарт-контрактов проекта для защиты вложенных средств. Так как все транзакции в блокчейне являются конечными, вернуть средства в случае кражи невозможно. Единого подхода к аудиту нет, и каждая аудиторская компания выполняет его по своему усмотрению.
Детерминизм исполнения кода смарт-контракта позволяет тестам работать везде, быть крайне простыми в поддержке и делает расследование инцидентов надежным и неоспоримым.
Аудиторы изучают код смарт-контрактов, составляют отчет и предоставляют его команде проекта. Затем выпускается окончательный отчет с подробным описанием всех оставшихся ошибок и работы, проделанной для решения проблем с производительностью и безопасностью. Помимо общих выводов, отчет обычно содержит рекомендации, примеры избыточного кода и полный анализ ошибок кодирования.
Команде проекта дается время, чтобы исправить ошибки, прежде чем будет выпущен окончательный отчет. Большая часть аудита включает проверку контрактов на наличие уязвимостей в системе безопасности. Хотя некоторые проблемы лежат на поверхности, многие ошибки могут быть устранены только с помощью сложных инструментов и стратегий. Например, слабый смарт-контракт может подвергнуться атаке в сочетании с рыночными манипуляциями. Чтобы обнаружить эти проблемы, аудиторы проводят пентесты.
Аудит безопасности смарт-контрактов широко распространен в экосистеме децентрализованных финансов (DeFi). Решение инвестировать в блокчейн-проект может быть частично основано на результатах проверки кода смарт-контракта.
Заключение
Несомненно, смарт-контракты оказали большое влияние на мир криптовалют и, безусловно, произвели революцию в области блокчейн-технологий. Совместный потенциал смарт-контрактов и блокчейна может оказать значительное влияние практически на все сферы жизни общества. Но только время покажет, смогут ли эти инновационные технологии преодолеть барьеры на пути к широкомасштабному внедрению.
Поскольку транзакции блокчейна необратимы, очень важно убедиться в безопасности кода смарт-контрактов. Особенности технологии "блокчейн" затрудняют возврат средств и решение проблем постфактум, поэтому лучше заранее определить потенциальные уязвимости проектов.
Источник: Информационная безопасность
ЗНАЧИМОСТЬ НОВОГО НАЛОГОВОГО РЕЖИМА КАЗАХСТАНА ДЛЯ ИНДУСТРИИ МАЙНИНГА
Written by Aleksandr Podobnykh
2 августа 2022 ведущее отраслевое издание Cointelegraph опубликовало статью: «Что означает новый налоговый режим Казахстана для индустрии майнинга криптовалюты». Автор материала – David Attlee… Новые поправки, недавно подписанные президентом страны, могут способствовать модернизации энергосистемы при сохранении общих цен относительно умеренными.
11 июля Президент Казахстана Касым-Жомарт Токаев подписал закон о новых налоговых ставках для майнеров криптовалюты. Хотя эти поправки отражают растущее недовольство в стране в связи с недостаточным налогообложением и непрозрачным использованием национальной энергосистемы, как иностранными инвесторами, так и местными потребителями, новые налоги вряд ли можно назвать исключающими.
Более того, они могут сигнализировать о дальнейшем внедрении и легализации майнинга в богатом энергоресурсами Казахстане, что сделает страну и регион еще более привлекательным местом для майнеров на фоне ужесточения давления в более авторитетных юрисдикциях.
Проверка реалистичности
Две поправки вступят в силу 1 января 2023 года и будут привязывать налоговые ставки к цене, которую майнеры платят за электроэнергию. Следуя прогрессивной шкале, он должен будет заплатить $0,024, или 10 тенге, налогов за кВтч энергии по самой низкой цене в $0,012–0,024 и $0,0072, или 3 тенге, при самой высокой цене в $0,048–0,060 за кВтч. Те, кто использует производимую ими возобновляемую энергию, столкнутся с самыми выгодными условиями - всего один тенге за кВтч.
Эти недавние поправки - не первая попытка правительства Казахстана обложить налогом отрасль. Предыдущий законопроект был подписан Токаевым 29 июня 2021 года и вводил дополнительную плату в размере 0,0023 доллара, или 1 тенге, на тот момент за 1 кВтч электроэнергии, потребляемой майнерами.
Налоговые поправки стали вехой в долгой и сложной истории отношений Казахстана с безумием криптомайнинга, которое привлекло в страну волну иностранных операторов майнинга. По некоторым оценкам, к ноябрю 2021 года в республику было доставлено более 87 849 единиц оборудования для майнинга. Звезда Казахстана на глобальной карте майнинга быстро вспыхнула после общенационального подавления криптомайнинга в Китае. К 2021 году страна заняла второе место по добыче биткойна (BTC) в мире, уступая только Соединенным Штатам, и на её долю приходилось 18,1% мирового хешрейта биткойна.
Китайские майнеры переносят свой бизнес в Казахстан, считая его “раем для индустрии майнинга” из-за стабильной политической обстановки и дешевой электроэнергии. Правительство Казахстана, со своей стороны, приветствовало волну новых инвесторов, поддерживая криптомайнинг вплоть до прямых субсидий. Эксперты ожидают более $1,5 миллиардов налоговых поступлений от майнинга в течение следующих пяти лет.
Цифровой майнинг был признан законной предпринимательской деятельностью ранее в 2020 году, когда закон “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий” заложил основы крипторегулирования.
Однако, сказка воплотилась в реальность в начале 2022 года, когда выяснилось, что оба фактора для майнинга — политическая стабильность и изобилие энергии - далеко не гарантированы. К концу 2021 года стало ясно, что энергетическая система страны не способна вместить всех майнеров, а в январе 2022 года общенациональные протесты из-за цен на топливо привели к кратковременному политическому коллапсу, когда российские войска вступили, чтобы защитить статус-кво.
Так совпало, что после зимних политических потрясений власти Казахстана пересмотрели свою позицию по отношению к добыче криптовалюты и начал попытки взятия под контроль стремительно растущей индустрии. 8 февраля Токаев распорядился провести исследование майнинга криптовалют на уровне кабинета министров, а первый вице-министр финансов Казахстана Марат Султангазиев предложил повысить цены на электроэнергию для криптомайнеров.
С тех пор правительство начало периодически сообщать о закрытии нелегальных майнеров, причем самый крупный случай произошел в марте, когда 55 нелегальных майнинговых ферм добровольно прекратили свою работу из-за принудительной кампании регулирующих органов, а функционирование еще 51 организации было прекращено.
В мае министр цифрового развития страны изложил новые требования к налоговой отчетности для майнеров, и они были приняты в первом чтении и подписаны, чтобы отрегулировать отрасль и избежать дальнейших проблем с нехваткой электроэнергии. Власти даже публично признали влияние зимних рейдов на доходы государства, которые составили скромные $1,5 миллиона в 1 квартале 2022 года — цифра, которая вряд ли соответствует амбициозным прогнозам, упомянутым выше.
Преимущества и недостатки
В беседе с Cointelegraph основатель и генеральный директор криптомайнинговой компании Sazmining Уильям Шамоссеги занял непримиримо оппозиционную позицию по отношению к усилиям властей Казахстана по регулированию майнинговой отрасли. Хотя экологические проблемы, вызванные потреблением энергии, безусловно, вызывают озабоченность, он считает, что такие правила могут быть не самым эффективным решением, поскольку они не стимулируют инновации, а вместо этого повышают стоимость жизни обычных людей. В результате повышения цен на продовольствие и энергоносители для населения “на земле” такая политика может еще больше усложнить ситуацию:
“Протесты вспыхнули в Казахстане после того, как цены на газ удвоились в самом начале 2022 года. Это повышение цен не случайно: за последние несколько лет правительство все чаще вмешивается в энергетический сектор страны, часто для поддержки проектов по возобновляемым источникам энергии. Но такого понятия, как бесплатный обед, не существует, поэтому их поддержка возобновляемых источников энергии осуществляется за счет производителей угля, сырой нефти и природного газа”.
Шамоссеги отметил еще одну официальную политику, напрямую не связанную с крипторегулированием, - закон “Об энергосбережении и энергоэффективности”, принятый в январе 2022 года. Это законодательство навязало ряд критериев как потребителям, так и производителям энергии, например, обязанность регистрироваться в Государственном энергетическом реестре для всех субъектов, которые потребляют энергоресурсы на сумму 1500 или более тонн условного топлива в год. По его мнению, это замедляет рост энергетического сектора, что, в свою очередь, делает сектор уязвимым к росту цен.
Александр Подобных, эксперт по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют и член региональной Ассоциации руководителей служб информационной безопасности (АРСИБ), придерживается другого мнения. Он сказал Cointelegraph, что, хотя новые налоги вряд ли могут понравиться майнерам, они помогут Казахстану сохранить устойчивость своего энергетического сектора:
“Это, конечно, усугубляет работу майнеров. Но это хорошо для государства. Линии и оборудование будут обновлены - им нужно использовать больше дешевой и возобновляемой энергии”.
Одобряя новые налоговые поправки, Подобных указал на слабое место, которое уже было в предыдущих законодательных актах и не исчезло с последним обновлением. В частности, новые поправки не изменили действующее законодательство в отношении налоговых обязательств физических лиц, получивших имущественный доход от продажи цифровых необеспеченных активов. Следовательно, налогооблагаемый доход будет рассчитываться, как полная цена продажи такого актива без вычета стоимости приобретения.
Существуют также разногласия относительно аренды услуг по облачному майнингу. Согласно действующим налоговым правилам, аренда криптомайнера будет облагаться налогом, как доход от сдачи в аренду имущества. В соответствии с этими нормами широко распространенная практика продажи хэшрейта, когда клиент арендует определенное количество вычислительной мощности у криптомайнера, остается без определенного регулирующего режима. Как объяснил Подобных:
“Это в большей степени коснется крупных майнеров. Облачные майнеры также будут косвенно затронуты, поскольку это пропорционально повлияет на стоимость услуг. Конечно, не для тех, кто арендует мощности в других юрисдикциях”.
Тем не менее, даже с учетом вышеупомянутых предостережений, общая комбинация налогов и цен на энергоносители в Казахстане остается относительно привлекательной. Даже на самой высокой отметке 1 кВтч обойдется майнерам на постсоветском пространстве примерно в $0,067, что значительно ниже, чем в среднем в $0,12 за кВтч до каких-либо сборов в Соединенных Штатах. Республика остаётся, пожалуй, самой прозрачной юрисдикцией для майнеров в регионе и новый налоговый режим послужит серьезным испытанием для соседей Казахстана, считает Подобных:
“Это, безусловно, позитивный сигнал для отрасли в целом в Казахстане. В какой-то степени он выступает в качестве пилотной зоны для стран бывшего СНГ и России”.
DEFI: ИНКАПСУЛИРОВАННАЯ УГРОЗА ДЕЦЕНТРАЛИЗОВАННЫХ ФИНАНСОВ
Written by Aleksandr Podobnykh
29 июля 2022 года, вышел в свет 3-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных - DeFi: : инкапсулированная угроза децентрализованных финансов (в разделе Технологии \ Криптография).
Децентрализованные финансы (DeFi) – это набор специализированных приложений и финансовых сервисов на основе блокчейна, выстроенный по определенным правилам непрерывной последовательной цепочки блоков, содержащих информацию. Основная идея DeFi – создание независимой и прозрачной финансовой экосистемы, которая не подвержена влиянию регуляторов и человеческого фактора.
DeFi и NFT – две самые быстрорастущие области оборота криптовалют, причем почти половина криптотранзакций включает DeFi, NFT или связанные с ними типы смарт-контрактов. C помощью DeFi финансы становятся доступными кому угодно: пользователи проводят транзакции и решают финансовые вопросы напрямую друг с другом, а не через посредников в лице банков. Программное обеспечение для децентрализованной экосистемы позволяет взаимодействовать покупателям, продавцам, кредиторам и заемщикам. У разработчиков наиболее популярна сеть Etherium, но сервисы DeFi существуют и на других блокчейн-платформах: EOS, Waves, Tron, NEO, Polkadot, Binance Smart Chain.
Разница между централизованной (CeFi) и децентрализованной финансовыми системами заключается в том, как их пользователи достигают своих целей. В CeFi пользователи доверяют людям, стоящим за бизнесом, и регулирующим нормам законодательства. В случае с DeFi пользователи полагаются исключительно на технологии, программный код и алгоритмы шифрования.
В отличие от традиционных централизованных финансовых систем в DeFi майнеры генерируют новые монеты (токены), которые затем попадают в оборот и используются всем сообществом, а деньгами считаются криптовалюты и токены. Инвестиции также осуществляются через токены. Децентрализованные платформы, контролируемые сообществом, отвечают за кредитование.
Функционал обмена активов выполняют децентрализованные биржи, которые не требуют от пользователей предоставления официальных документов и не хранят их данные. Биржа не получает доступ к средствам своих клиентов, то есть реальный обмен происходит без посредника. Токены перемещаются между платформами DeFi с помощью обычных транзакций в блокчейне. Пользователь может забрать токены с одной платформы и инвестировать их в другую.
Важный компонент DeFi – cтейблкоины, это криптовалюты, стоимость которых привязана к тому или иному базовому активу. Например, Tether USDT привязан к курсу доллара США. Но не все так безоблачно. Риски, заложенные в архитектуру DeFi, достаточно серьезны.
Повышенная ответственность пользователей
У независимости есть и обратная сторона: сам владелец токенов и отвечает за их безопасность. Если ключ от кошелька окажется забыт или украден, доступ к активам будет безвозвратно утерян. Поэтому использование DeFi требует от пользователя довольно высокого уровня компетенции не только в части понимания механизмов работы смарт-контрактов, но и в основах информационной безопасности.
Кроме того, никакая организация не несет ответственности за действия участников внутри системы, что в том числе означает и невозможность обслуживания в привычном банковском смысле. Со всеми проблемами пользователь разбирается сам.
Инфраструктурные сбои и взломы смарт-контрактов
Доля средств, украденных с криптовалютных платформ по протоколам DeFi, неуклонно растет с начала 2020 г. По состоянию на середину 2022 г. на протоколы DeFi приходится 97% украденной криптовалюты, что составляет примерно $1,68 млрд. Эксперты считают, что большая часть этих средств досталась хакерским группам, связанным с правительствами.
Дело в том, что при возникновении критической ошибки в любом из протоколов появляется риск уязвимости всей системы, через которую можно проникнуть в любую точку цепи. Так, 10 августа 2021 г. в результате крупной хакерской атаки был взломан межсетевой протокол Poly Network, и злоумышленникам удалось украсть $611 млн. Это на сегодняшний день считается крупнейшей кражей в истории децентрализованных финансов.
Кроме того, рост транзакций DeFi создает новые технические проблемы для исследователей криптовалют и комплаенс-групп, поскольку децентрализованные протоколы и приложения, которые они используют, создают трудно отслеживаемые транзакции, более сложные, чем традиционные централизованные сервисы.
Неопределенность с регулированием DeFi
Изначально децентрализованная архитектура DeFi делает практически невозможным их регулирование со стороны государства. По крайней мере, это невозможно в том виде, в котором происходит регулирование традиционных CeFi. Тем не менее DeFi – это состоявшийся феномен, а государство априори берет на себя задачи предотвращения отмывания денег и финансирования терроризма через любой новый инструмент.
Например, в Минфине России с опасением следят за тем, как развиваются DeFi, в том числе и потому, что в децентрализованных финансах высока вероятность появления финансовых пузырей, которые могут причинить вред национальной экономике.
В России действует закон № 259 от 31.07.2020 г. "О цифровых активах" (ЦФА) , согласно которому с 1 января 2021 г. к выпуску и обороту разрешены только токены, эмитент которых зарегистрируется в ЦБ РФ. Аналогичное разрешение ЦБ должны иметь и торговые платформы. Существуют и другие ограничения вроде максимальной суммы для покупки токенов неквалифицированными инвесторами.
Впрочем, токены DeFi, обращающиеся на публичных блокчейнах, не попадают в предусмотренную законом категорию ЦФА, так как их разработчики вряд ли будут регистрироваться в ЦБ РФ – они останутся в "серой зоне".
18 февраля 2022 г. Минфином направлен в Правительство России проект закона о регулировании криптовалют "О цифровой валюте". В нем указано, что использование цифровых валют в качестве средства платежа на территории РФ будет запрещено. В рамках предлагаемого регулирования цифровые валюты рассматриваются исключительно в качестве инструмента для инвестиций.
Впрочем, специального регулирования для сферы DeFi пока не существует и в других странах, так как даже статус криптовалют еще мало где определен. В странах, где есть регулирование и налогообложение криптоактивов, например в Японии, Австралии, США и некоторых странах ЕС, доходы от DeFi рассматриваются в рамках соответствующего законодательства.
Мошенничество
В 2021 г. злоумышленники похитили более $10 млрд на инвестициях с применением технологии децентрализованных финансов. Мошенники выпускают токены-пустышки и завлекают инвесторов обещаниями чрезвычайно высоких доходов (так называемый Rug Pull). Стандартная схема Rug Pull: дождаться, пока торговля в пуле "разогреется" и цена токена подскочит, а потом вывести всю ликвидность и исчезнуть с деньгами.
В июне 2021 г. был опубликован стандарт ISO 23195:2021 Security Objectives of Information Systems of Third-Party Payment (TPP) Services – "Цели обеспечения безопасности информационных систем сторонних платежных сервисов". Согласно стандарту, провайдер TPP – это услуга, которая дает продавцам возможность принимать онлайн-платежи без необходимости иметь торговый счет. Но когда речь идет о безопасности, факт наличия посредника повышает риск мошенничества при обработке платежа.
ISO 23195 содержит согласованный на международном уровне перечень терминов и определений, две логические структурные модели и перечень целей безопасности. Для обеспечения максимальной актуальности логические структурные модели, активы, угрозы и цели безопасности в этом документе основаны на реальных практиках. Учитывая, что поставщики услуг TPP постоянно стремятся снизить риски мошенничества при проведении платежей, данный стандарт служит хорошим дополнением к уже существующим мерам по обеспечению безопасности платежей.
Низкая производительность DeFi
Блокчейны по своей природе работают медленнее, чем их централизованные аналоги. Поэтому при накоплении большого количества транзакций производительность протоколов DeFi начинает заметно снижаться.
Беспорядочность экосистемы DeFi
Как любая растущая сфера, экосистема DeFi еще не успела полностью сформироваться. Поэтому поиск наиболее подходящего, надежного и защищенного приложения может оказаться довольно сложной задачей. Однако сервисы в области DeFi активно развиваются, их цель – облегчить использование этой технологии и компенсировать ее недостатки, в том числе и в части безопасности.
Заключение
Секрет успеха DeFi в их доступности и автономности: участвовать в создании продуктов DeFi и пользоваться ими может каждый, независимо от гражданства и места жительства, ведь протоколы и экономические модели сервисов открыты для проверки и аудита.
Однако, увеличивающиеся инвестиции в DeFi привлекают внимание все большего количества хакерских групп, что усугубляется технической сложностью этой сферы, не всегда достаточной квалификацией пользователей и отсутствием эффективного регулирования со стороны законодательства.
Источник: Информационная безопасность
31 мая 2022 года, вышел в свет 2-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных - Сущность и риски NFT (в разделе Технологии \ Криптография).
Технология “блокчейн” известна в основном как основа для криптовалют, но сейчас она приобретает популярность благодаря своей роли в торговле невзаимозаменяемыми токенами, NFT. В то время как криптовалюты, как и физические деньги, являются взаимозаменяемыми, то есть они равны по стоимости и могут быть проданы или обменены друг на друга, каждый NFT имеет свою собственную цифровую подпись, которая делает невозможным обмен NFT. NFT – это цифровые активы с запрограммированной редкостью, и поэтому они идеально подходят для представления прав собственности на уникальные виртуальные активы и цифровые удостоверения.
Таксономия NFT
Невзаимозаменяемый токен NFT – это уникальный цифровой идентификатор, который нельзя копировать, заменить или разделить. NFT записывается в блокчейне и используется для подтверждения подлинности конкретного цифрового актива и права собственности на него, например на исходную версию онлайн-фото или видео. Ранними предшественниками невзаимозаменяемых токенов были подкрашенные монеты. Это были очень маленькие единицы биткойна, которые "окрашенные" определенными атрибутами, закодированными в метаданных с использованием встроенного языка сценариев. Таким образом, единица размером всего один сатоши (0,00000001 BTC) могла представлять собой любой актив. Цветные монеты позволяли создавать не только NFT, но и другие активы. И хотя концепция цветных монет представлялась весьма мощной и перспективной, у нее были и серьезные недостатки, препятствовавшие ее развитию.
Сеть биткойна официально не поддержала подсвеченные монеты, поэтому признать их существование могли только поставщики кошельков. Минимальный размер для биткойн транзакций тогда же был увеличен до 5430 сатоши (0,000543 BTC), что оказалось слишком большой суммой для реализации концепции подкрашенных монет. Окончательный закат идеи ознаменовало принятие стандартов NFT в 2015 г. Первым общепризнанным стандартом NFT стал Ethereum (сеть "Эфириум") ERC 721. "Эфириум" был пионером в этой сфере и до сих пор является наиболее популярной блокчейн платформой для создания NFT. Со временем появились и другие протоколы, такие как Solana и Tezos. Общепринятыми сейчас являются стандарты ERC 721 и ERC 1155. ERC 721 – это наследуемый стандарт смарт-контрактов надежности, то есть разработчики могут легко создавать новые контракты, совместимые с ERC 721, импортируя их из библиотеки OpenZeppelin. В сети "Эфириум" метаданные постоянно хранятся в NFT, они могут изменяться в соответствии с логикой цепочки, а логика сети может взаимодействовать с метаданными. Но большинство проектов хранят свои метаданные вне сети "Эфириум" из-за текущего ограничения по хранению на блокчейне – либо по общедоступному URL-адресу, либо на централизованных серверах, таких как InterPlanetary File System (IPFS). В рамках технического комитета ISO/TC 307 "Блокчейн и технологии распределенного реестра" (Blockchain and distributed ledger technologies) создано 14 рабочих групп, в том числе по цифровым валютам, смарт-контрактам, аудиту распределенных реестров и по представлению физических активов в виде невзаимозаменяемых токенов (NFT). Связанные с NFT стандарты находятся в разработке и у технического комитета ISO/TC 68/SC 2 "Финансовые услуги, безопасность": l аспекты безопасности для цифровых валют – ISO/DTS 23526 Security aspects for digital currencies; l информационные технологии – методы безопасности – DLT и блокчейн для финансовых услуг – ISO/DTR 24374 Information technology – Security techniques – DLT and Blockchain for Financial Services3. Существуют также взаимосвязи с множеством других рабочих групп, в том числе по вопросам постквантовой криптографии, которая воспринимается как перспективная угроза и для технологии NFT.
NFT и вопросы законодательства
На сегодняшний день многие существующие регуляторные и правовые среды по всему миру не применимы к цифровым активам, включая NFT. Но правительства и регулирующие органы ряда стран, в том числе и России, работают над тем, чтобы обеспечить регулирование этой быстро развивающейся сферы. Например, Сингапур, Бермудские острова, ЕС и Великобритания внедряют специальные правила для размещения цифровых активов, в то время как США работают над применением уже существующей нормативной базы для этих новых классов активов. Хотя большинство существующих в настоящее время NFT не похожи на ценные бумаги, вскоре ситуация может измениться: в некоторых случаях NFT классифицируются как ценные бумаги и таким образом подпадают под соответствующие законодательные ограничения на перепродажу. Кроме того, NFT, весьма вероятно, станет подпадать под действие законов и нормативных актов о противодействии отмыванию доходов и финансированию терроризма. Это потребует от торговых площадок NFT сообщать о подозрительной активности и транзакциях. Африка и Индия предприняли шаги, чтобы вовсе ограничить или запретить гражданам использование NFT и криптовалют. Отдельно стоит упомянуть, что законы об авторском праве, интеллектуальной собственности, товарных знаках и логотипах, правах личности и неимущественных правах хотя и сильно отстают от развития индустрии NFT, но в ближайшем будущем ситуация, скорее всего, изменится.
Комментарий эксперта
Наталья Мануйлова, судебный эксперт, специалист по ПОД/ФТ и цифровым активам
В настоящий момент в рамках мероприятий по ПОД/ФТ/ФРОМУ с NFT, как и с другими цифровыми активами, необходимо использовать риск-ориентированный подход. Особое внимание требуется уделять не только самой ценности NFT как актива и инвестиционного инструмента, но и стандартным для антиотмывочных мер процедурам – идентификации (KYC) и анализу транзакций клиента (KYT). Так, например, для митигирования риска вовлечения в отмывание преступных доходов при проведении процедур идентификации клиента необходимо обращать внимание на то, что клиент выдает себя за другое лицо в социальных сетях, имеет неподтвержденные учетные записи, у которых также нет активной подписки и активности. Если мы говорим о сообществе, то смотрим, например, насколько сообщество легализовано, работает ли в рамках правового поля какой-то юрисдикции и пр. Основная работа в расследовании, конечно, лежит в плоскости анализа самого NFT и его цифрового следа. Здесь требуется обращать внимание и на динамику цены NFT, на адрес контракта на веб-сайте проекта и в смарт-контракте, и на условия выполнения транзакции.
Источник: Информационная безопасность
КОММЕНТАРИЙ COINTELEGRAPH В СТАТЬЕ: РОССИЯ ВКЛЮЧИТ КРИПТОВАЛЮТУ В СВОЙ НАЛОГОВЫЙ КОДЕКС
Written by Aleksandr Podobnykh
21 апреля, ведущее отраслевое издание Cointelegraph опубликовало новость: «Россия включит криптовалюту в свой налоговый кодекс: вот как могут выглядеть правила». Автор – David Attlee… Так, поправки к налоговому кодексу прошли первый раунд парламентского рассмотрения в феврале.
За последние несколько месяцев противостояние между Центральным банком России (ЦБ РФ) и Министерством финансов страны по поводу регулирования криптовалют стало ключевым регуляторным сюжетом для российского криптосообщества. Параллельно, и несколько незаметно разворачивалось еще одно важное законодательное событие: переговоры вокруг поправок к налоговому кодексу, которые сделали бы криптовалюты налогооблагаемым классом активов. Вот как это происходило до настоящего времени.
13% для физических лиц и 20% для компаний
Глава комитета по финансовым рынкам Государственной Думы (нижней палаты российского парламента) Анатолий Аксаков 7 апреля сообщил местным СМИ, что ожидается, что поправки к федеральному налоговому кодексу, касающиеся криптовалют, будут приняты к концу летней парламентской сессии.
Поддерживаемое правительством законодательство включает требование сообщать о транзакциях с цифровыми активами, если их общая сумма превышает 600 000 рублей, или около $ 8 000 в год, а также штрафы в размере до 40% от суммы индивидуального налога в случае непредставления отчетности. Законопроект прошел первое чтение в феврале 2021 года, после чего по неизвестным причинам застрял в подвешенном состоянии почти на год.
Аксаков лишь упомянул о недавней задержке в обсуждении поправок к криптоналогам, указав на возникающую перед Думой задачу разработки “антикризисной политики”, которая на некоторое время отложила крипторегулирование.
Поправки ожидали своей участи, поскольку последовало более широкое обсуждение нормативно-правовой базы в области криптовалют между ЦБ РФ и Министерством финансов. В то время как центральный банк поддерживает идею прямого запрета как на криптоторговлю, так и на майнинг, Министерство предложило свое собственное видение регулирования, а не запрета отрасли. Похоже, что ЦБ РФ по-прежнему придерживается своей ограничительной позиции, и налоговые поправки не станут исключением. Представитель ЦБ РФ заявил, что “цифровые активы используются, среди прочего, для уклонения от уплаты налогов”.
Тем не менее, оценки потенциальных федеральных налоговых поступлений от криптовалют варьируются от 10-15 миллиардов рублей, или около $122-181 миллиона, до 20 миллиардов рублей, или около $244 миллионов. Предлагаемый налог будет взиматься только с доходов — 13% с личных доходов физических лиц и 20% с доходов юридических лиц. Квалифицированные инвесторы получат налоговый вычет в размере 52 000 рублей и более в год. Налоги вряд ли будут применяться к активам, накопленным к 2021 году, но ударят по крипто-транзакциям российских налоговых резидентов, совершаемым в любой юрисдикции.
C чего-то начали
“Это инициатива Федеральной налоговой службы при поддержке Министерства промышленности и торговли, а также ряда чиновников и бывших чиновников Министерства финансов”, - пояснил Cointelegraph Александр Подобных, CISO компании по исследованию цифровых активов Security Intelligence Cryptocurrencies Platform (SICP, ныне КОСАтка).
Александр Бычков является генеральным директором глобального поставщика крипто-дебетовых карт Emily и платит налоги в Сингапуре. Бычков сказал, что предлагаемые налоговые поправки являются частью более широкой картины регулятивного конфликта между ЦБ РФ и Министерством финансов. Он считает, что поправки будут приняты, открывая “много дверей для разработки продуктов” в России.
Остается открытым вопрос, захотят ли российские граждане, владеющие цифровыми активами, стоимость которых, по собственным оценкам правительства, составляет около $130 миллиардов, состоять в реестре и будут ли у Федеральной налоговой службы (ФНС) технические возможности для сбора налогов. Бычков не уверен в последнем пункте, но не видит другого выбора для властей, кроме как с чего-то начинать:
“Мое мнение таково, что российская система не может быть действительно готова, но у нее нет другого выбора, кроме как строить инфраструктуру шаг за шагом. Как налогоплательщик и резидент Сингапура, я могу сказать, что налоговая легализация криптовалют помогает Сингапуру стать одной из самых развитых рыночных экономик с одним из самых высоких показателей ВВП на душу населения в мире”.
В тени более масштабной битвы
Александр Подобных сказал, что сбор криптоналогов в настоящее время не является большой проблемой. Он прокомментировал:
“С декабря 2021 года при подаче налоговой декларации вы можете выбирать цифровые активы и указывать прибыль от них. Еще одной проблемой является обмен одного криптоактива на другой и расчет прибыли. Здесь решение видится в сервисах расчета доходов, возможно, интегрированных с биржами и доступных для проверки заинтересованными сторонами”.
Как согласны оба эксперта, процесс институционализации налогообложения криптовалют посредством поправок к налоговому кодексу не имеет особого значения в контексте противостояния между ЦБ РФ и Министерством финансов по поводу фундаментального подхода к регулированию цифровых активов. Это согласуется с недавними заявлениями министра финансов Антона Силуанова, который подчеркнул второстепенную важность схемы сбора налогов по сравнению с более общей нормативно-правовой базой.
Учитывая тот импульс, который подход Министерства финансов к включению криптовалют в сферу регулирования в последнее время получил среди многих заинтересованных сторон в российском правительстве, принятие налоговых поправок к концу весны, как и обещал Аксаков, выглядит как очень реалистичный график.
1-Й НОМЕР ЖУРНАЛА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ТЕХНОЛОГИИ \ КРИПТОГРАФИЯ
Written by Aleksandr Podobnykh
7 апреля 2022 года, вышел в свет 1-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, эксперта КОСАтка (SICP) Александра Подобных - Квантовый переход и безопасность блокчейнов (в разделе Технологии \ Криптография).
Квантовые компьютеры – мощные машины, которые могут решать сложные уравнения гораздо быстрее, чем обычные. Эксперты полагают, что квантовые компьютеры способны взламывать системы шифрования за считанные минуты, в то время как обычным на это потребовалось бы несколько тысяч лет. Если эти предположения верны, то под угрозой находится большая часть современной инфраструктуры цифровой безопасности, включая криптографию, лежащую в основе биткоина и криптовалюты в целом.
Учитывая потенциальную угрозу для информационной безопасности, разумно начать разрабатывать способы защиты от возможной атаки в будущем. К счастью, в настоящее время проводится много исследований, по результатам которых могут быть развернуты новые решения в существующих типах систем. Эти решения позволят защитить критически важную инфраструктуру от будущей угрозы со стороны квантовых компьютеров.
Объем данных стремительно растет, а их ценность увеличивается; более 40% данных блокчейн-проектов нуждаются в усиленной защите; криптографическая защита требует наибольшего внимания; квантовые компьютеры представляют реальную угрозу безопасности блокчейн-проектов.
В обозримом будущем наступит Q-day – день, когда большинство современных методов защиты информации станут бесполезны. Квантовые компьютеры смогут чуть ли не моментально подбирать ключи шифрования для популярных криптографических протоколов, а значит, любые данные станут доступны. Уже сейчас высчитывают, какая мощь нужна для взлома алгоритма шифрования биткоина – и хоть таких не будет еще долго, некоторые системы шифрования уязвимы уже сейчас.
В любом случае первоначальные реализации будут гибридными, с использованием постквантовой технологии для дополнительной безопасности поверх существующих систем. Если все пойдет по плану, к тому времени, когда вычислительная техника войдет в свою квантовую эру, Интернет уже будет в постквантовой эре. Тогда для взлома криптосистем квантовым компьютерам потребуется примерно в тысячу раз больше вычислительных компонентов (кубитов), чем сейчас...
Источник: Информационная безопасность
КОММЕНТАРИЙ COINTELEGRAPH В СТАТЬЕ О НЕВОЗМОЖНОСТИ ВЫРАБОТКИ КОНСОЛИДИРОВАННОЙ ПОЗИЦИИ ПО РЕГУЛИРОВАНИЮ КРИПТОВАЛЮТ В РОССИИ
Written by Aleksandr Podobnykh
19 февраля, ведущее отраслевое издание Cointelegraph опубликовало новость: «Шаг назад к ясности: российское правительство не может выработать консолидированную позицию по регулированию криптовалют». Автор – David Attlee…
Еще один предварительный крайний срок для Министерства финансов и Центрального банка для достижения компромисса проходит, поскольку ожидаемый законопроект не поступает.
18 февраля Министерство финансов России начало публичные консультации по правилам выпуска криптовалют и мониторинга транзакций. Хотя это и отрадное событие, оно значит меньше, чем ожидало получить криптосообщество страны. Ранее на этой неделе правительство объявило, что к 18 февраля будет подготовлен законопроект, содержащий консолидированную позицию Министерства финансов и Центрального банка по регулированию криптовалют. Обновленные оценки показывают, что для того, чтобы законопроект увидел свет, потребуется еще, как минимум месяц. Основной причиной задержки, по-видимому, является возобновившееся сопротивление Центрального банка, которое всего несколько дней назад, казалось, было преодолено. Вот краткий обзор последних поворотов в этой поездке по колдобинам.
Раунд 1: Предложение Центрального банка о запрете
20 января Центральный банк России (ЦБ РФ) опубликовал отчет, в котором кратко изложена его позиция по цифровым активам. Используя множество обычных аргументов против криптовалют, таких как сравнение цифровых активов со схемой Понци, регулятор призвал к полному внутреннему запрету на использование традиционной финансовой инфраструктуры для криптоторговли, а также к ограничению криптомайнинга в стране.
Предложение было немного менее пугающим, чем кажется: ЦБ РФ не собирался запрещать индивидуальное владение криптовалютой или использование международных платформ для торговли, но эта мера была явно нацелена на крупных игроков - российские частные банки и институциональных инвесторов - отговаривая их от любого участия в цифровых активах.
Более того, отчет сразу же вызвал резкую критику со стороны самого широкого круга заинтересованных сторон, от местных игроков отрасли до политических активистов и влиятельных лиц, таких как Павел Дуров из Telegram. Но что еще более важно, сразу же последовала реакция из нескольких других важных ведомств российского правительства.
25 января Иван Чебесков, глава Департамента финансовой политики Министерства финансов, заявил, что позиция министерства в отношении цифровых активов заключается в регулировании, а не в запрете, и что оно уже работает над собственным нормативным документом.
Раунд 2: Предлагаемая Министерством финансов система работы
8 февраля правительство России утвердило “Основы регулирования механизмов обращения цифровых валют” - документ, который ранее был опубликован Министерством финансов. Это был неожиданный, но благоприятный поворот событий: в документе предлагается режим регулирования, который в значительной степени рассматривал бы цифровые активы как обычные валюты. Также подразумевалось, что одобрение правительства означало, что опасения ЦБ РФ были развеяны. 18 февраля было объявлено датой, к которой будет готов законопроект, отражающий согласованную позицию двух ведомств.
Система работы отображается тем, что отбрасывается идея полного запрета. По данным министерства, запрет был бы невозможен или непрактичен в стране с более чем 12 миллионами криптокошельков, и цифровыми активами на сумму более 26 миллиардов долларов, хранящимися в них, и третьей по величине в мире мощностью криптомайнинга:
“Полное отсутствие регулирования, а также запрет привели бы к росту теневой экономики, мошенничества и общей дестабилизации сектора. Предлагаемые законодательные изменения направлены на создание легального рынка криптовалют с действующими правилами обращения и определенным кругом участников, а также требованиями, которым они подчиняются”.
Предлагаемые правила определяют криптовалюты, как “близкий аналог” иностранных валют, а не как цифровой финансовый актив, регулируемый отдельным законом. Согласно предложению, было бы совершенно законно владеть криптовалютой и обмениваться ею, но только через лицензированные банки или одноранговые биржи с российской лицензией. Клиенты будут проходить полный процесс идентификации в соответствии с банковскими стандартами и требованиями по борьбе с отмыванием доходов и финансированием терроризма. Все оперативные данные должны передаваться через государственную систему "прозрачный блокчейн”.
Ограничения также предусматривают, что незадекларированные криптотранзакции выше определенного размера будет преступной и рассматривает использование криптовалют, как отягчающий фактор при определенных уголовных преступлениях.
Раунд 3: Круговая порука ЦБ РФ
Однако радость по поводу компромисса двух ключевых участников регулирования, возможно, была преждевременной. 15 февраля глава ЦБ РФ Эльвира Набиуллина усилила противодействие регулятора предлагаемой легализации криптоторговли. Заявление было сделано одновременно с отчетом о прогрессе, достигнутом ЦБ РФ в области цифровой валюты Центрального банка.
Набиуллина также направила письмо министру финансов Антону Силуанову, в котором повторила свои опасения по поводу того, что “криптовалюта - это схема Понци”. Она утверждала, что институциональная поддержка криптооборота создаст “иллюзию государственной защиты” среди инвесторов, которые обратятся за помощью к правительству в случае краха крипторынка. По сути, письмо повторяет аргументы и предложения январского отчета ЦБ РФ.
На этом этапе появление “согласованной” нормативно-правовой базы к концу недели явно встало под сомнение.
Что дальше?
Ольга Гончарова, директор по связям с правительствами в СНГ криптовалютной биржи Binance, заявила, что компания поддерживает позицию министерства финансов, добавив, что регулирование будет способствовать ”затенению" рынка, в то время как полный запрет будет иметь противоположный эффект. Пару дней назад появилась новость, что финансовый директор Binance возглавит криптовалютный экспертный центр Ассоциации банков России.
Александр Подобных, CISO платформы Security Intelligence Cryptocurrencies Platform (SICP | КОСАтка), специализирующейся на цифровых активах, не считает, что между Минфином и ЦБ РФ существует серьезный конфликт, как это изображают СМИ. «Они прекрасно ладят, как и везде», - сказал он, добавив:
«Просто Министерство финансов представляет более локальную, но прогрессивную группу людей и предпринимателей, а Центральный банк представляет более консервативную и более глобальную».
Наша платформа подавала заявку на участие в работе над законодательными инициативами в сфере оборота криптовалют еще в прошлом году (в т.ч. по крипторублю), но не получила ответа от ЦБ РФ, заявил Подобных. Он считает, что консервативное отношение Центрального банка к криптовалютам проистекает из его цели по запуску цифрового рубля.
Георгий Брянов, эксперт факультета финансов и банковского дела Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (РАНХиГС), считает, что конкурирующие позиции Министерства финансов и ЦБ РФ можно объяснить различиями в основных миссиях этих организаций. В то время как мандат Центрального банка заключается в сохранении стабильности рубля, Министерство финансов в первую очередь заинтересовано в пополнении государственного бюджета. Баранов добавил:
"Как мы знаем, ЦБ РФ только что запустил пробную версию цифрового рубля, поэтому он пытается получить полный контроль, как над фиатными, так и над цифровыми валютами".
Серьезный конфликт или нет, похоже, что российским владельцам криптовалют придется подождать еще, как минимум месяц, прежде чем правительство выработает четкую консолидированную позицию относительно того, как следует регулировать цифровые активы.
4-Й НОМЕР ЖУРНАЛА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ТЕХНОЛОГИИ \ КРИПТОГРАФИЯ
Written by Aleksandr Podobnykh
В октябре 2021 года, вышел в свет 4-й номер журнала "Информационная безопасность". В нём была опубликована статья члена правления АРСИБ, независимого эксперта по ИБ в КОСАтка (SICP) Александра Подобных - Блокчейн проникает в экономику (в разделе Технологии \ Криптография).
На протяжении последних пяти лет технология блокчейн активно развивались и совершенствовались с точки зрения безопасности. Все эти изменения происходили при помощи софтфорков – процедур, не подразумевающих внедрение глобальных изменений в работу системы, и хардфорков – процедур внесения серьёзных модификаций, которые кардинально меняют принципы функционирования сети. Кроме того, появились новые форки (Bitcoin – Bitcoin Cash, Ethereum – Ethereum Classic) и новые виды консенсусов. Предлагаю рассмотреть подробнее, какие именно изменения произошли.
Непрерывно появляется множество алгоритмов консенсуса, каждый из которых решает уникальные проблемы того или иного применения блокчейна. Один из первых консенсусов, появившийся благодаря блокчейну биткойна, называется «доказательство выполнения работы» (PoW, Proof-of-Work). Все алгоритмы консенсусов имеют свои преимущества и недостатки, начиная с необходимости специализированного оборудования и заканчивая высоким энергопотреблением.
В настоящее время, использование блокчейнов распространилось далеко за пределы финансового сектора – от здравоохранения до сельского хозяйства.
Например, техническое руководство ИСО/ТР 23244 помогает обеспечить ясность в вопросе сохранения конфиденциальности личной информации, зачастую являющейся барьером для принятия блокчейн-решений. Также, на сегодня доступны:
- блокчейн и распределённые реестры: терминология (ИСО 22739:2020);
- рассуждения по защите конфиденциальности и персональных данных (ИСО/ТР 23244:2020);
- обзор и взаимодействие между смарт-контрактами в блокчейнах и распределённых реестрах (ИСО/ТР 23455:2019).
В российском «Мастерчейне» на базе блокчейна Ethereum используется ГОСТ-шифрование с соответствующим процессом идентификации пользователей...
Источник: Информационная безопасность
Журнал: ITSec.ru
More...
5TH ISSUE INFORMATION SECURITY MAGAZINE: SPECIAL PROJECT SOC
Written by Aleksandr Podobnykh
On November 25, 2020, the long-awaited 5th issue of the SOC magazine was released. Special issue project: SICP platform for tracking suspicious transactions and ensuring blockchain security.
The article says that the field of cryptocurrencies is technically more complex than traditional finance, noticeably more decentralized and less controllable. Therefore, tools are required to help the use of cryptocurrencies in a legal manner and for legitimate purposes. At the same time, the main systemic problem associated with the use of cryptocurrencies is the possibility of their use for illegal operations, in particular for the legalization of criminal income, as well as for financing prohibited activities.
Also, the services of the Russian platform are considered, the peculiarities of their functioning in the Russian realities. The most detailed descriptions of the recently launched CryptoCERT service. Combined with the threats and risks inherent in digital assets...
Source: Information Security
Magazine: ITSec.ru
CRYPTO SCAMMERS ARE TRYING TO MAKE MONEY ON THE CORONAVIRUS
Written by Dobryshkin Sergey
Fraudsters are trying to make money amid the coronavirus pandemic and the fight against it. In particular, at the beginning of this week the number of spam mails allegedly on behalf of the World Health Organization (WHO) has increased. The letters speak of fundraising for COVID-19 Funds worldwide.
Specialists of the portal SICP.ueba.su analyzed one of these letters, which was sent from This email address is being protected from spambots. You need JavaScript enabled to view it.. It turned out that the second-level domain is actually used by WHO, but it was this letter that was sent from a mail server located in the state of Colorado in the United States of America and in transit passed through a reference mailer in the German municipality of Mauern.
Experts also learned that a link to a picture with a QR code (the address of a bitcoin wallet for donations) leads the reader directly to the portal of the investment company Five Stand Capital, located in the US city of Atlanta from Georgia. As follows from the official information on the company's website, it is a partner of large US investment funds in the United States. The portal itself is hosted by GoDaddy in Oregon (Portland). Still there are three site mirrors - for various domain zones.
This email was first sent from the SendGrid.net mail server, which is also located on GoDaddy’s resources in Colorado, Denver. And, judging by the information bases, another 13 resources are located on this IP address, nevertheless, only one of them is displayed - a web-based mail gateway.
It is important to consider that on the official website of the WHO there is no way to donate funds in the form of cryptocurrency - bitcoin. The same is true of their dedicated donation collection site. And there is even a warning that they do not send any letters.
Apparently, fraudsters are trying to cunningly take advantage of the global crisis situation, possessing a good knowledge of modern technology. Or maybe the owners of WHO decided to use all available tools to raise funds. And experts are wondering, where is the hosting site for WHO?
Interestingly, so far, no funds have been received to the cryptocurrency wallet, which is indicated in the letter of the scammers. The wallet is constantly monitored by SICP platform experts, however, like other malicious purses known to them.
Source: CryptoRussia.ru
IT BECAME KNOWN ABOUT THE STRANGE TRANSFERS NAVALNY BEFORE LARGE SHARES
Written by Bederov Igor
All investigations and political actions of blogger Alexei Navalny begin immediately after large cash receipts come to his bitcoin wallets, the owner of Internet-Rozysk, Igor Bederov, told the Krasnaya Vesna correspondent on November 6.
He said that his company is developing unique services for the prevention and investigation of crimes intended for law enforcement and security services: “You should start the story with the fact that we are developing the first domestic service designed to trace cryptocurrency transactions - SICP | Security Intelligence Cryptocurrencies Platform."
Igor Bederov recalled that Navalny “uses several cryptocurrency bitcoin wallets to finance his activities,” and spoke about the results of monitoring the status of these wallets.
“What are these wallets? The first wallet 3QzYv * (the wallet number is at the disposal of the publisher) was used in 2691 transactions. In total, 633.28146173 Bitcoins came to this wallet, which is 378 196 391.89 rubles. at today's rate.
The second 3MQTR wallet * (wallet number is at the disposal of the publisher) was used in 666 transactions. A total of 72.80104198 Bitcoins came to this wallet, which is 43,476,863.08 rubles. at today's rate, ”the specialist shared information.
He drew particular attention to the fact that the activities of the opposition are “tied” to the proceeds of his Bitcoin wallets: “During the monitoring of these wallets, we clearly see that all his investigations or political actions take place immediately after receiving a large monetary tranche.”
Igor Bederov noted the difference between such large tranches and the receipt of money from Navalny’s supporters: “Such tranches are very specific and very different from the usual donations from FSC supporters. An ordinary supporter of Navalny can transfer him an amount of 100 rubles. and up to 15 thousand rubles. maximum. And these are direct transactions that go from wallet A to wallet B.
At the same time, large transfers that precede stocks and FSC investigations start at 3 million rubles. And these transactions are far from simple. They mix bitcoins, hide information about their real sender in a heap of parallel transactions."
In conclusion, he emphasized that after the analysis it was possible to establish that the sender of such tranches may be located in the USA: “However, we were able to analyze several chains of such transactions and determine that the probable sender of funds may be located in the United States.”
Note, on October 9, the Ministry of Justice of Russia recognized FSC as a foreign agent.
And in mid-October in 30 headquarters of the headquarters of the Anti-Corruption Fund, the Investigative Committee of the Russian Federation conducted searches. They took place in the framework of the criminal case of money laundering by FSC employees, as well as their receipt of money from abroad. FSC accounts were arrested.
On November 5, the Levada Center released data according to which a third of Russia's residents call criminal cases against the Navalny Fund protection of the country from foreign influence and the fight against money laundering.
Source: Red Spring.
CLOUDTOKEN - 150X PROFIT OR PYRAMID SCHEME?
Written by Dobryshkin Sergey
Since the spring of this year, a project called CloudToken is actively developing and promoting the network, positioning itself as "the first wallet in the world that integrates all crypto assets of the blockchain on one platform." Their goal is to provide project participants with a special ecosystem of public savings.
The project supports 7 major cryptocurrencies and stablecoins, 21 referral levels, has a mobile application (wallets in leading marketplaces) and offers its participants a yield of 6 to 12% per month, as well as 150-fold profit (!) For 2019. At the same time, the first participants (top of the pyramid?) Are promised support for the issuance of payment cards.
The project attracts its participants (the number of which, according to some estimates, has already exceeded 800,000 people) with the help of the so-called "network leaders" from around the world. For example, in Russia and neighboring countries, Pavel Chernyshev is engaged in resource promotion.
Information on the project website is presented in English and Chinese, the legal entity Cloud Technology and Investment Pty., LTD is registered in Australia, and the United States is indicated as the geolocation of the site. Currently, 145 countries are involved in the scheme.
The process of making a profit is described on the resource as follows:
1. Participants send funds to ETH / BTC in the Jarvis bot asset management pool.
2. A tool called Varoom collects data from over 38 cryptocurrency exchanges.
3. Varoom transfers assets to the Jarvis AI BOT.
4. Varoom instructs Jarvis.
5. Jarvis trades on exchanges.
6. Information is collected on the latest prices at CoinMarketCap.com.
7. Members receive rewards in CTO tokens.
8. The rest of the earned funds are transferred to the Jarvis Asset Reserve.
9. Jarvis Asset Reserve supports the rate in the conversion wallet.
10. Participants can convert CTO to ETH, BCH or other cryptocurrency at any time.
The mobile application offered for download is positioned as a cryptocurrency multi-wallet with passive income (while funds can be sent in only one direction), as well as a trading bot (without confirming trading volumes). Nevertheless, judging by the volumes, the funds received from participants (victims?) Are immediately transferred to controlled sites and cold wallets.
According to an investigation conducted by the experts of the cybersecurity resource SICP (sicp.ueba.su), the total amount of funds that have passed through only one wallet currently exceeds 6 billion rubles, and this figure is constantly growing.
In particular, as a result of the investigation, it was found that all the main assets of the CloudToken project are transferred to the South Korean crypto exchange Upbit, and also are withdrawn through wallets in Thailand (in some cases they are frozen).
Below is some more evidence that the CloudToken project is just another pyramid scheme.
1. Despite the fact that the organizers of the project position it as a “completely decentralized cryptocurrency wallet”, in fact it’s hard to even call it a wallet. In fact, users only get access to the server, where they see their tokens. Judging by the CloudToken tracker on Etherscan, all it can boast of is 4 addresses and 5 transactions, with 99.9999% of the funds held at one address. Thus, buyers give their money, but do not become owners of the coveted tokens.
2. In the promotion of the service involved people who have repeatedly advertised fraudulent schemes.
3. Lack of evidence of trading using the Jarvis bot. Although representatives of the project claim that they generate profit using the Jarvis AI Bot bot, which is used for arbitrage trading on exchanges, there is no evidence of such trading on the resource.
4. Cryptocurrency pyramid based on the Ponzi scheme. Project participants on the referral side need to replenish their account by at least $ 500, after which they will be able to receive commissions for attracted people. In this case, commissions are paid up to level 21. It is unlikely that such a scheme can last long.
5. Lack of use cases. CloudToken does not have application scenarios in the real world, it can only be purchased from developers, and no token exchanges accept. The price of the token is not supported by anything, the demand for it is artificial. The company can change the value of the token at any time.
6. Lack of access to CTO wallet private keys. Users do not receive secret keys from the "wallet", instead they are given a password or PIN code.
7. The promise of high return on investment. Most projects that promise high investment returns actually turn out to be scams, unless the program has official registration and regulation.
8. Invalid information. The White Paper of the project mentions the names of people who have nothing to do with the project.
From the foregoing, we can conclude that CloudToken does not have a secure cryptocurrency wallet, its founders do not trade on the exchange and deceive investors. In addition, the project is advertised by well-known network scammers, and the CloudToken address is involved in the services of doubling bitcoins and the distribution of paid prohibited content.
Source: CryptoRussia.ru
О КОСАтка
Корпоративная система аналитики Транзакция Криптовалюта Актив - кибербезопасность инфраструктуры блокчейнов и антифрод в криптовалютной сфере (антискам, прозрачность, комплаенс).
Связаться
Российская Федерация, Москва
Тел.:
Факс:
Почта: cosatca@ueba.su
Сайт: www.ueba.su