Централизованные криптовалютные биржи всегда были целью хакеров, и все более изощренные злоумышленники находят все более изобретательные способы украсть их многомиллионные активы.
По данным недавнего исследования, во втором квартале 2024 года в результате взломов и мошенничества было потеряно более полумиллиарда долларов, причем большая часть этой суммы пришлась на централизованные криптофинансовые институты, такие как биржи.
«Некоторые биржи неадекватно используют холодные кошельки для защиты средств пользователей», — сказал Decrypt главный специалист по безопасности Gate.io D. «Они не обновляют и не устраняют уязвимости программного обеспечения своевременно, а также не раскрывают публично результаты аудита безопасности и отчеты об уязвимостях».
Gate.io, входящая в десятку крупнейших по объему криптовалютных бирж, разработала «многоуровневый подход к безопасности» для защиты учетных записей своих 16 миллионов пользователей, а также проактивные стратегии по устранению угрозы, исходящей от хакеров.
Проактивное устранение векторов угроз
Существует четыре основных вектора атак на централизованные биржи: взломы, фишинговые атаки, внутренние угрозы и уязвимости программного обеспечения. Фишинговые атаки — это когда злоумышленник обманывает пользователя, заставляя его предоставить данные его учетной записи, либо напрямую, либо через фишинговые ссылки. Внутренние угрозы связаны с тем, что отдельные лица в организациях становятся мошенниками и становятся злоумышленниками, или их халатность создает возможности для хакеров завладеть средствами пользователей. Когда атака основана на уязвимости программного обеспечения, это означает, что злоумышленник использовал собственный код платформы.
Gate.io сообщил Decrypt, что для борьбы с этими угрозами биржа использует команду преданных своему делу экспертов по безопасности, которые используют стратегию, основанную на оценке рисков, чтобы «поддерживать наивысший уровень защиты пользовательских активов». В то время как некоторые биржи применяют реактивный подход к безопасности, уделяя внимание безопасности только тогда, когда она становится проблемой, Gate.io регулярно и на постоянной основе проводит проактивные проверки и стресс-тесты своей платформы на предмет потенциальных угроз.
Gate.io «активно сотрудничает с регулирующими органами, чтобы гарантировать, что платформа соответствует местным и международным нормам», — сказал главный сотрудник по безопасности биржи, объяснив, что биржа использует меры безопасности, включая многофакторную аутентификацию (MFA), холодное хранение в кошельках и передовые технологии шифрования. Она также проводит регулярные аудиты безопасности и тренинги по повышению осведомленности в области безопасности для предотвращения внутренних угроз, добавили они.
«Уникальные уровни безопасности» Gate.io
«Мы добавляем уникальные уровни безопасности поверх традиционных мер безопасности, а также предоставляем пользователям удобные инструменты безопасности», — рассказал директор по безопасности компании Decrypt.
Эти инструменты включают Bind IP, функцию, которая позволяет пользователям привязывать свою учетную запись к определенным IP-адресам или диапазону IP-адресов. «Это значительно повышает безопасность учетной записи, особенно в предотвращении удаленных атак», — сказал главный офицер безопасности. Даже в «небезопасных условиях, например, во время взлома», если хакер получает учетные данные пользователя, он не может получить доступ к учетной записи с несанкционированного IP-адреса, добавили они.
Изображение: Gate.io
Кроме того, они заявили: «Мы внедрили дизайн фишингового кода, который позволяет пользователям легче распознавать попытки фишинга с помощью настраиваемых приветственных форм Sologo».
И даже если хакеру удастся получить доступ к учетной записи пользователя, пользователи Gate.io имеют возможность «установить дополнительные специальные пароли для разблокировки вывода средств и транзакций», пояснил директор по безопасности биржи, добавив, что эта функция гарантирует, что пользователи, заботящиеся о безопасности, могут ограничить доступ к своим средствам.
Подтверждение наличия резервов
Помимо прямого противодействия угрозе со стороны хакеров, Gate.io взяла на себя обязательство поддерживать прозрачное подтверждение резервов в любое время, чтобы обеспечить спокойствие своих клиентов. Его решение подтверждения резервов сочетает технологию доказательства с нулевым разглашением с Merkle Tree, сообщил представитель Gate.io изданию Decrypt.
Изображение: Gate.io
«Merkle Tree может эффективно проверять целостность больших объемов данных и включает в себя всю информацию об активах пользователей, не включая чистые отрицательные активы», — пояснил директор по безопасности, добавив, что «доказательство с нулевым разглашением используется для подтверждения принадлежности конкретных данных этому Merkle Tree без раскрытия какой-либо другой информации».
Директор по безопасности добавил, что в надежде повысить доверие и прозрачность в отрасли Gate.io также открыла исходный код своего решения по подтверждению резерва.
Ежедневный бюллетень с отчетами
Начинайте каждый день с главных новостей прямо сейчас, а также с оригинальных статей, подкастов, видео и многого другого.
