2 августа 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Дрейнеры и инсайдеские атаки.
В мире криптовалют мошенничество становится все более изощренным, а злоумышленники находят новые способы кражи цифровых активов. Одним из таких методов являются дрейнеры – вредоносные смарт-контракты, которые незаметно опустошают криптовалютные кошельки пользователей.
Понимание того, как работают дрейнеры, и знание мер предосторожности, которые можно предпринять для защиты своих активов, становится критически важным для всех участников криптовалютного сообщества. Рассмотрим механизмы работы дрейнеров, методы их использования мошенниками и способы защиты от подобных угроз.
Как работают дрейнеры
Мошенничество, особенно фишинг, представляет серьезную угрозу для криптовалют. Злоумышленники часто используют так называемые эйрдропы – бесплатные раздачи монет или NFT, создавая поддельные сайты, которые копируют известные ресурсы и привлекают пользователей ложными обещаниями.
Переходя по такой ссылке, жертва попадает на сайт, требующий авторизации через криптокошелек, например, MetaMask, CoinBase или WalletConnect. После подключения запускается вредоносный смарт-контракт – дрейнер, который переводит все активы с кошелька жертвы на счета злоумышленников.
Так как деталей смарт-контракта не видно, то подтверждать транзакцию приходится на основе доверия, что называется "слепая подпись". Одобряя транзакцию, пользователь добровольно передает доступ к своим активам мошенникам.
Злоумышленники в основном используют фишинговые почтовые сообщения, спам-токены (по названию сайта, в виде NFT), транзакции (пылевые атаки), для заманивания своих жертв. При этом используются дрейнеры кошельков и взломы смарт-контрактов, в том числе для манипулирования ценой активов.
Одним из наиболее распространенных дрейнеров среди злоумышленников, по оценкам экспертов, стал Pink Drainer. Администраторы подобного ПО обычно получают порядка 20–30% украденных активов, а остальная часть достается партнерам, которые приводят жертв на сайты, под разными предлогами предлагающие им подключить криптокошелек. Операторы Pink Drainer объявили, что сворачивают деятельность после того, как с его помощью украли $85 млн у более чем 21 тыс. жертв.
Инсайдерские атаки
Инсайдерские атаки, с другой стороны, осуществляются лицами, имеющими внутренний доступ к системам. В контексте криптовалют инсайдеры могут использовать свои полномочия для установки или активации дрейнеров, доступа к ключевой информации или вывода средств напрямую.
Комбинация дрейнеров и инсайдерских атак усиливает угрозу. Инсайдер может внедрить дрейнер в смарт-контракт или платформу, используя свои привилегии, что делает обнаружение и предотвращение таких атак гораздо более сложным. Внутренний доступ позволяет инсайдерам манипулировать системой изнутри, обходя многие внешние меры защиты.
Инсайдерские атаки особо опасны, поскольку они могут оставаться незамеченными длительное время.
AML-дрейнеры
Новинкой этого года и проблемой для всей отрасли, особенно в работе подразделений криптокомплаенса и инвесторов, стали AML-дрейнеры.
AML-дрейнеры (Anti-Money Laundering, противодействие отмыванию денег) представляют собой специализированные программы или скрипты, которые используются для обхода механизмов противодействия отмыванию денег. Они могут использоваться злоумышленниками для хищения средств и нанесения репутационного ущерба организациям из сферы AML.
Теперь дрейнеры добрались и до сферы ПОД/ФТ: мошенники создают фишинговые сайты новых AML-провайдеров. Принцип действия стандартный: они просят прикрепить кошелек и крадут все токены и криптовалюты.
Конечно, ни один настоящий AML-провайдер не потребует присоединения кошелька к своему сервису. Для физических лиц требуется только адрес кошелька или хэш транзакции, интеграция для бизнеса происходит через API. Но проблема как раз и заключается в том, что такое предостережение известно далеко не всем.
Что же делать?
Разработчики и специалисты по безопасности не сидят сложа руки, придумывая новые решения для обеспечения сохранности пользовательских средств. Так, в октябре команда MetaMask в партнерстве с фирмой Blockaid внедрила уведомления безопасности в браузерное расширение Web3-кошелька. Эта функция призвана обеспечить проактивное предотвращение вредоносных транзакций, обеспечив защиту пользователей от скамов, фишинговых и хакерских атак.
Для защиты от дрейнеров и инсайдерских атак необходим комплексный подход. Во-первых, регулярные аудиты смарт-контрактов и систем безопасности помогают выявить и устранить уязвимости до того, как они будут использованы злоумышленниками. Во-вторых, программы баг-баунти могут мотивировать внешних экспертов на поиск и доклад об уязвимостях. В-третьих, использование кошельков с мультиподписью добавляет дополнительный уровень безопасности, так как для проведения транзакции требуется одобрение нескольких сторон.
В борьбе с инсайдерскими угрозами важно внедрять строгие контрольные меры и системы мониторинга. Ограничение прав доступа, регулярные проверки активности сотрудников и обучение персонала правилам безопасности помогают минимизировать риски. Только комплексные и скоординированные усилия могут обеспечить надежную защиту от этих сложных и многоуровневых атак.
Есть и ряд других направлений для противодействия дрейнерам.
Стандартизация смарт-контрактов
Необходимость стандартизации подходов при разработке смарт-контрактов обусловлена стремлением повысить безопасность, эффективность и совместимость этих программных компонентов. Стандартизация позволит разработчикам следовать проверенным методикам и лучшим практикам, что существенно снизит вероятность ошибок и уязвимостей в коде.
Кроме того, стандарты помогут обеспечить согласованность и предсказуемость поведения смарт-контрактов, что критически важно для их интеграции в различные системы и платформы.
Security Awareness
Требуется постоянное повышение осведомленности работников соответствующих сфер и пользователей сервисов, чтобы эффективно противостоять быстро развивающимся киберугрозам в виде дрейнеров и обеспечивать безопасность данных и финансовых средств.
Сотрудники, обладающие актуальными знаниями о возможных рисках, связанных с дрейнерами, и способах их предотвращения, способны быстрее и эффективнее реагировать на инциденты, минимизируя возможные убытки и ущерб. Для пользователей сервисов повышение осведомленности играет не менее важную роль.
В условиях роста числа фишинговых атак, мошеннических схем и вредоносного ПО пользователи, обладающие необходимыми знаниями и навыками, могут лучше защищать свои личные данные и финансовые активы.
Регулярное обучение и информирование пользователей о признаках мошенничества, методах защиты своих аккаунтов и основах кибергигиены способствует снижению количества успешных атак и улучшению общей безопасности цифрового пространства.
Соблюдение KYC/AML
Крайне важна интеграция решений для соблюдения требований KYC (Know Your Customer) и AML, поскольку это обеспечивает соответствие строгим нормативным стандартам и защищает экосистему от незаконной деятельности. Соблюдение этих требований помогает идентифицировать пользователей и отслеживать подозрительные транзакции, что снижает риск отмывания денег и финансирования терроризма.
Внедрение эффективных KYC-/AMLпроцедур требует использования современных технологий и автоматизированных систем, которые могут обрабатывать большие объемы данных и обеспечивать высокую точность идентификации.
Однако, при внедрении KYC/AML решений необходимо найти оптимальный баланс между соблюдением нормативных требований и защитой конфиденциальности пользователей. Платформы должны разработать политики и технологии, которые минимизируют сбор и хранение личных данных, обеспечивая при этом необходимый уровень безопасности и подотчетности.
Использование таких подходов, как конфиденциальные вычисления и шифрование данных, позволяет защитить личную информацию пользователей, не жертвуя эффективностью соблюдения регуляторных норм. Такой сбалансированный подход создаст более безопасную и подотчетную экосистему, где интересы пользователей и требования регуляторов находятся в гармонии.
Прозрачное управление
Открытая и децентрализованная governance-модель расширяет возможности участников сообщества, обеспечивая каждому право голоса. В таких моделях все участники могут вносить свои предложения, голосовать за изменения и участвовать в процессе принятия решений, что способствует созданию более демократичной и инклюзивной системы управления.
Прозрачность управления позволяет каждому участнику видеть, как принимаются решения, что уменьшает риски коррупции и злоупотреблений, повышая доверие к платформе и ее руководству.
Заключение
В условиях быстрого развития и популяризации криптовалютных технологий угрозы безопасности становятся все более изощренными и опасными. Дрейнеры и инсайдерские атаки представляют собой серьезные риски, которые могут привести к значительным финансовым потерям и подорвать доверие пользователей к платформам. Понимание механизмов этих атак и внедрение эффективных мер предосторожности является ключевым шагом к защите активов и информации.
Регулярные аудиты смарт-контрактов, программы баг-баунти и использование кошельков с мультиподписью могут значительно снизить вероятность успешных атак. В то же время, важность повышения осведомленности сотрудников и пользователей о современных угрозах не может быть недооценена. Прозрачное управление и активное участие сообщества также играют критическую роль в создании устойчивой и безопасной экосистемы.
Только объединяя усилия, применяя передовые технологии безопасности и поддерживая высокие стандарты защиты, мы можем создать более безопасное и надежное будущее для всех участников криптовалютного пространства.
Источник: Информационная безопасность
Автор на ЛитРес: Александр Подобных
Тлг канал: КриптодетективЪ