Как хакеры взламывают криптоботов на биржах и крадут наши деньги. Самые популярные способы

Криптоиндустрия привлекает миллионы клиентов и тысячи мошенников. Нерегулируемый «Дикий Запад» этой современной финансовой сферы включает сумасшедшую волатильность, круглосуточную торговлю и анонимные транзакции, скрытые от правительств и регуляторов. Хакеры всегда готовы украсть миллионы долларов в крипте у неопытных держателей токенов. Мошенники применяют различные схемы – от традиционного фишинга до взлома буфера обмена, – чтобы подменить адреса кошельков.

Один современный подход связан с манипуляциями с криптоботами и API. Мошенники могут скомпрометировать автоматизированное торговое ПО на биржах и размещать любые заявки или получить доступ к конфиденциальным данным пользователей. Если вы подумываете об использовании ботов, не забудьте подробнее почитать об их характеристиках, уязвимостях и мерах безопасности.

Содержание

1 Основы криптоботов
2 Недостатки автоматизированной торговли
3 Хакеры и их инструменты
4 Как защититься от взломов

Основы криптоботов

Криптовалютные торговые боты – это программы, которые анализируют рынки и автоматически размещают ордера. Учитывая высокую волатильность и постоянные изменения криптомира, боты удобны, так как могут мониторить рынок в режиме 24/7/365. Они также умеют регулярно размещать ордеры на покупку/продажу и приносят больше прибыли.

Звучит чудесно, не правда ли? Тем не менее торговые боты не безупречны. Это относительно сложные системы, строго следующие заданным пользователем параметрам, и поэтому требуют внимательной настройки. Кроме того, продвинутые программы могут иметь ежемесячную комиссию. Это значит, что можно легко потерять деньги, если не знать, как правильно пользоваться этим инструментом. Прежде чем заказывать или создавать бота, лучше всего вспомнить общие характеристики ПО премиум-класса:

надёжность;
прозрачность;
прибыльность;
простота пользования;
безопасность.

Пожалуй, последний пункт наиболее важен, так как он тесно связан с защищённостью ваших денег. Любой бот – золотая жила для хакеров или фишеров, так что уделите особое внимание защите используемого торгового ПО или платформы. Прежде чем начинать любую деятельность, проверьте меры безопасности всех бирж, перечисленных на TheProblem.wtf.

Недостатки автоматизированной торговли

Источник: Unsplash

Криптоботы исполняют поручения, взаимодействуя с прикладными программными интерфейсами (API) бирж. Как следствие, мы имеем сценарий, где две машины взаимодействуют без ручного контроля.

Проблема в централизованном характере торговых ботов и платформ. Поскольку хакеры не могут получить доступ к блокчейн-системам из-за их почти идеальной безопасности, они фокусируются на традиционных системах с центральным сервером, которые полагаются на личные данные наподобие паролей, адресов электронных кошельков или ключей. А взломать машины, работающие независимо, ещё проще. Таким образом, боты и API обладают тремя основными недостатками. Их следствиями могут быть следующее.

Невыгодные сделки. Если хакеры получат доступ к первому уровню торгового интерфейса, то смогут лишь размещать заявки. Разумеется, они будут заключать сделки, выгодные им, а не вам.
Хищение денег. Второй уровень даёт возможность вывести деньги. Очевидно, что хакеры сделают это после размещения нескольких заявок и получения достаточной прибыли.
Получение доступа к конфиденциальным данным. Помимо сделок покупки/продажи, мошенники могут получить доступ к личной информации по типу ключей от криптокошельков, привязанных к боту.

Хакеры и их инструменты

Хакеры могут взломать систему и изменить код, чтобы задать ботам новые алгоритмы. Владельцы могут даже не заметить этих изменений и продолжать использовать своё торговое ПО. Существуют и другие способы взлома ботов, торговых программ или API.

Ниже приведены примеры разных технических подходов к взлому криптоботов.

API

Как уже упоминалось, боты взаимодействуют с API бирж – специфическими интерфейсами, позволяющими автоматически размещать заявки. Как правило, эти системы имеют несколько уровней разрешений, защищённых уникальными ключами. Используя схемы фишинга, хакеры могут получить доступ к этим ключам и взломать систему.

В числе самых ярких примеров мошеннического использования API – случай Binance. API этой биржи имеет три типа разрешений: на чтение, торговлю и вывод. В июле 2018 гогда хакеры получили доступ к первым двум уровням, искусственно раздули цену монеты SYS и перевели огромные суммы на счета и на вывод, которые они контролировали ещё до этого. В результате Binance временно закрылась, выполнила сброс всех ключей и провела полное тестирование системы безопасности.

В чём же проблема? Binance – платформа с высоким уровнем безопасности, но централизованная. Профессиональные хакеры могут легко похитить ключи и получить контроль над торговыми ботами или API.

Приложения

Этот пример простой и отчасти отсылает к предыдущему. Всем известны торговые приложения для ПК или смартфонов, которые позволяют легко и удобно размещать заявки. Данные программы не являются ботами, так как требуют ручного контроля, но они тоже основаны на API, что делает их уязвимыми.

Можно вспомнить для примера фейковые приложения Poloniex, созданные мошенниками для Android. Их можно было бесплатно скачать в Google Play, поэтому пользователи просто предоставляли хакерам свою личную информацию и данные своих аккаунтов. Поддельные биржевые программы – это разновидность фишинга, используемая преступниками для получения доступа к пользовательским кошелькам или аккаунтам. Поэтому будьте осторожны и всегда используйте двухфакторную аутентификацию.

Расширения

Некоторые торговые боты могут представлять собой расширения для браузеров. Они кажутся очень удобными, поскольку позволяют торговать быстрее и всегда контролировать процесс. Однако мы советуем во что бы то ни стало избегать подобных расширений, так как они обычно вредоносны. Плагины и расширения для браузеров могут компрометировать ваше аппаратное обеспечение или просто копировать всё, что вы вводите, включая ключи и пароли.

Боты в Slack

Криптомошенники также используют различные программы и каналы Slack. В 2017 году сообщалось об атаках киберпреступников на разработчиков блокчейн-проектов посредством ботов в Slack. Хакеры используют схемы фишинга, уведомляя пользователей о потенциально выгодных сделках и предоставляя ссылку на мошеннический сайт, который просит ввести личные данные или войти в кошелёк.

Как защититься от взломов

В заключение немного информации о мерах безопасности, которые следует предпринять при взаимодействии с криптовалютными торговыми программами, приложениями или интерфейсами. Вот самые ценные подсказки.

Храните ключи от API в безопасном месте. Ни с кем не делитесь вашими личными данными по типу ключей от ботов, приватных адресов криптовалютных кошельков и паролей.
Отключите автоматический вывод средств. Лучше потратить время, чтобы делать это вручную. В таком случае хакеры потенциально смогут заключать невыгодные сделки, но не смогут украсть ваши деньги.
Изучите как можно больше информации. Боты – достаточно сложные инструменты, поэтому не поленитесь и почитайте о торговых стратегиях, параметрах и мерах защиты.

В целом, полагайтесь только на проверенное ПО и не забывайте о «гигиене в интернете». Боты, возможно, полезны и выгодны, но это машины, которые можно взломать, как и любое другое вычислительное устройство. Больше данных ищите в крипточате.

Подписывайтесь на наш канал в Телеграме. И не храните криптовалюты на биржах!