КриптодетективЪ – Цепная Безопасность

децентрализованные финансы DeFi

Децентрализованные финансы (DeFi) – это набор специализированных приложений и финансовых сервисов на основе блокчейна, выстроенный по определенным правилам непрерывной последовательной цепочки блоков, содержащих информацию. Основная идея DeFi – создание независимой и прозрачной финансовой экосистемы, которая не подвержена влиянию регуляторов и человеческого фактора41.

DeFi и NFT – две самые быстрорастущие области оборота криптовалют, причем почти половина криптотранзакций включает DeFi, NFT или связанные с ними типы смарт-контрактов. C помощью DeFi финансы становятся доступными кому угодно: пользователи проводят транзакции и решают финансовые вопросы напрямую друг с другом, а не через посредников в лице банков.

Программное обеспечение для децентрализованной экосистемы позволяет взаимодействовать покупателям, продавцам, кредиторам и заемщикам. У разработчиков наиболее популярна сеть Etherium, но сервисы DeFi существуют и на других блокчейн-платформах: EOS, Waves, Tron, NEO, Polkadot, Binance Smart Chain.

Разница между централизованной (CeFi) и децентрализованной финансовыми системами заключается в том, как их пользователи достигают своих целей. В CeFi пользователи доверяют людям, стоящим за бизнесом, и регулирующим нормам законодательства. В случае с DeFi пользователи полагаются исключительно на технологии, программный код и алгоритмы шифрования.

В отличие от традиционных централизованных финансовых систем в DeFi майнеры генерируют новые монеты (токены), которые затем попадают в оборот и используются всем сообществом, а деньгами считаются криптовалюты и токены. Инвестиции также осуществляются через токены. Децентрализованные платформы, контролируемые сообществом, отвечают за кредитование.

Функционал обмена активов выполняют децентрализованные биржи, которые не требуют от пользователей предоставления официальных документов и не хранят их данные. Биржа не получает доступ к средствам своих клиентов, то есть реальный обмен происходит без посредника. Токены перемещаются между платформами DeFi с помощью обычных транзакций в блокчейне. Пользователь может забрать токены с одной платформы и инвестировать их в другую.

Важный компонент DeFi – cтейблкоины, это криптовалюты, стоимость которых привязана к тому или иному базовому активу. Например, Tether USDT привязан к курсу доллара США. Но не все так безоблачно. Риски, заложенные в архитектуру DeFi, достаточно серьезны.

ответственность пользователей

У независимости есть и обратная сторона: сам владелец токенов и отвечает за их безопасность. Если ключ от кошелька окажется забыт или украден, доступ к активам будет безвозвратно утерян. Поэтому использование DeFi требует от пользователя довольно высокого уровня компетенции не только в части понимания механизмов работы смарт-контрактов, но и в основах информационной безопасности.

Кроме того, никакая организация не несет ответственности за действия участников внутри системы, что в том числе означает и невозможность обслуживания в привычном банковском смысле. Со всеми проблемами пользователь разбирается сам.

инфраструктурные сбои и взломы

Доля средств, украденных с криптовалютных платформ по протоколам DeFi, неуклонно растет с начала 2020 г. По состоянию на середину 2022 г. на протоколы DeFi приходится 97% украденной криптовалюты, что составляет примерно $1,68 млрд. Эксперты считают, что большая часть этих средств досталась хакерским группам, связанным с правительствами.

Дело в том, что при возникновении критической ошибки в любом из протоколов появляется риск уязвимости всей системы, через которую можно проникнуть в любую точку цепи. Так, 10 августа 2021 г. в результате крупной хакерской атаки был взломан межсетевой протокол Poly Network, и злоумышленникам удалось украсть $611 млн. Это на сегодняшний день считается крупнейшей кражей в истории децентрализованных финансов.

Кроме того, рост транзакций DeFi создает новые технические проблемы для исследователей криптовалют и комплаенс-групп, поскольку децентрализованные протоколы и приложения, которые они используют, создают трудно отслеживаемые транзакции, более сложные, чем традиционные централизованные сервисы.

неопределенность с регулированием

Изначально децентрализованная архитектура DeFi делает практически невозможным их регулирование со стороны государства. По крайней мере, это невозможно в том виде, в котором происходит регулирование традиционных CeFi. Тем не менее DeFi – это состоявшийся феномен, а государство априори берет на себя задачи предотвращения отмывания денег и финансирования терроризма через любой новый инструмент.

Например, в Минфине России с опасением следят за тем, как развиваются DeFi, в том числе и потому, что в децентрализованных финансах высока вероятность появления финансовых пузырей, которые могут причинить вред национальной экономике.

В России действует закон № 259 от 31.07.2020 г. "О цифровых активах" (ЦФА) , согласно которому с 1 января 2021 г. к выпуску и обороту разрешены только токены, эмитент которых зарегистрируется в ЦБ РФ. Аналогичное разрешение ЦБ должны иметь и торговые платформы. Существуют и другие ограничения вроде максимальной суммы для покупки токенов неквалифицированными инвесторами.

Впрочем, токены DeFi, обращающиеся на публичных блокчейнах, не попадают в предусмотренную законом категорию ЦФА, так как их разработчики вряд ли будут регистрироваться в ЦБ РФ – они останутся в "серой зоне".

18 февраля 2022 г. Минфином направлен в Правительство России проект закона о регулировании криптовалют "О цифровой валюте". В нем указано, что использование цифровых валют в качестве средства платежа на территории РФ будет запрещено. В рамках предлагаемого регулирования цифровые валюты рассматриваются исключительно в качестве инструмента для инвестиций.

Впрочем, специального регулирования для сферы DeFi пока не существует и в других странах, так как даже статус криптовалют еще мало где определен. В странах, где есть регулирование и налогообложение криптоактивов, например в Японии, Австралии, США и некоторых странах ЕС, доходы от DeFi рассматриваются в рамках соответствующего законодательства.

противодействие мошенничеству

К примеру, за 2021 злоумышленники похитили более $10 млрд на инвестициях с применением технологии децентрализованных финансов. Мошенники выпускают токены-пустышки и завлекают инвесторов обещаниями чрезвычайно высоких доходов (так называемый Rug Pull). Стандартная схема Rug Pull: дождаться, пока торговля в пуле "разогреется" и цена токена подскочит, а потом вывести всю ликвидность и исчезнуть с деньгами.

В июне 2021 г. был опубликован стандарт ISO 23195:2021 Security Objectives of Information Systems of Third-Party Payment (TPP) Services – "Цели обеспечения безопасности информационных систем сторонних платежных сервисов". Согласно стандарту, провайдер TPP – это услуга, которая дает продавцам возможность принимать онлайн-платежи без необходимости иметь торговый счет. Но когда речь идет о безопасности, факт наличия посредника повышает риск мошенничества при обработке платежа.

ISO 23195 содержит согласованный на международном уровне перечень терминов и определений, две логические структурные модели и перечень целей безопасности. Для обеспечения максимальной актуальности логические структурные модели, активы, угрозы и цели безопасности в этом документе основаны на реальных практиках.

Учитывая, что поставщики услуг TPP постоянно стремятся снизить риски мошенничества при проведении платежей, данный стандарт служит хорошим дополнением к уже существующим мерам по обеспечению безопасности платежей. Низкая производительность DeFi Блокчейны по своей природе работают медленнее, чем их централизованные аналоги. Поэтому при накоплении большого количества транзакций производительность протоколов DeFi начинает заметно снижаться.

проблемы и успехи экосистемы

Как любая растущая сфера, экосистема DeFi еще не успела полностью сформироваться. Поэтому поиск наиболее подходящего, надежного и защищенного приложения может оказаться довольно сложной задачей. Однако сервисы в области DeFi активно развиваются, их цель – облегчить использование этой технологии и компенсировать ее недостатки, в том числе и в части безопасности.

Секрет успеха DeFi в их доступности и автономности: участвовать в создании продуктов DeFi и пользоваться ими может каждый, независимо от гражданства и места жительства, ведь протоколы и экономические модели сервисов открыты для проверки и аудита.

Однако, увеличивающиеся инвестиции в DeFi привлекают внимание все большего количества хакерских групп, что усугубляется технической сложностью этой сферы, не всегда достаточной квалификацией пользователей и отсутствием эффективного регулирования со стороны законодательства.

невзаимозаменяемые токены NFT

О цифровом рубле.., ЦБ России выпустит NFT фиатного рубля…

Технология “блокчейн” известна в основном как основа для криптовалют, но сейчас она приобретает популярность благодаря своей роли в торговле невзаимозаменяемыми токенами, NFT.

В то время как криптовалюты, как и физические деньги, являются взаимозаменяемыми, то есть они равны по стоимости и могут быть проданы или обменены друг на друга, каждый NFT имеет свою собственную цифровую подпись, которая делает невозможным обмен NFT.

NFT – это цифровые активы с запрограммированной редкостью, и поэтому они идеально подходят для представления прав собственности на уникальные виртуальные активы и цифровые удостоверения42.

таксономия NFT

Невзаимозаменяемый токен NFT – это уникальный цифровой идентификатор, который нельзя копировать, заменить или разделить. NFT записывается в блокчейне и используется для подтверждения подлинности конкретного цифрового актива и права собственности на него, например на исходную версию онлайн-фото или видео.

Ранними предшественниками невзаимозаменяемых токенов были подкрашенные монеты. Это были очень маленькие единицы биткойна, которые "окрашенные" определенными атрибутами, закодированными в метаданных с использованием встроенного языка сценариев.

Таким образом, единица размером всего один сатоши (0,00000001 BTC) могла представлять собой любой актив. Цветные монеты позволяли создавать не только NFT, но и другие активы. И хотя концепция цветных монет представлялась весьма мощной и перспективной, у нее были и серьезные недостатки, препятствовавшие ее развитию.

Сеть биткойна официально не поддержала подсвеченные монеты, поэтому признать их существование могли только поставщики кошельков. Минимальный размер для биткойн транзакций тогда же был увеличен до 5430 сатоши (0,000543 BTC), что оказалось слишком большой суммой для реализации концепции подкрашенных монет.

Окончательный закат идеи ознаменовало принятие стандартов NFT в 2015 г. Первым общепризнанным стандартом NFT стал Ethereum (сеть "Эфириум") ERC 721. "Эфириум" был пионером в этой сфере и до сих пор является наиболее популярной блокчейн платформой для создания NFT. Со временем появились и другие протоколы, такие как Solana и Tezos.

Общепринятыми сейчас являются стандарты ERC 721 и ERC 1155. ERC 721 – это наследуемый стандарт смарт-контрактов надежности, то есть разработчики могут легко создавать новые контракты, совместимые с ERC 721, импортируя их из библиотеки OpenZeppelin.

В сети "Эфириум" метаданные постоянно хранятся в NFT, они могут изменяться в соответствии с логикой цепочки, а логика сети может взаимодействовать с метаданными. Но большинство проектов хранят свои метаданные вне сети "Эфириум" из-за текущего ограничения по хранению на блокчейне – либо по общедоступному URL-адресу, либо на централизованных серверах, таких как InterPlanetary File System (IPFS).

В рамках технического комитета ISO/TC 307 "Блокчейн и технологии распределенного реестра" (Blockchain and distributed ledger technologies) создано 14 рабочих групп, в том числе по цифровым валютам, смарт-контрактам, аудиту распределенных реестров и по представлению физических активов в виде невзаимозаменяемых токенов (NFT).

Связанные с NFT стандарты находятся в разработке и у технического комитета ISO/TC 68/SC 2 "Финансовые услуги, безопасность": аспекты безопасности для цифровых валют – ISO/DTS 23526 Security aspects for digital currencies; информационные технологии – методы безопасности – DLT и блокчейн для финансовых услуг – ISO/DTR 24374 Information technology – Security techniques – DLT and Blockchain for Financial Services3.

Существуют также взаимосвязи с множеством других рабочих групп, в том числе по вопросам постквантовой криптографии, которая воспринимается как перспективная угроза и для технологии NFT.

вопросы законодательства

На сегодняшний день многие существующие регуляторные и правовые среды по всему миру не применимы к цифровым активам, включая NFT. Но правительства и регулирующие органы ряда стран, в том числе и России, работают над тем, чтобы обеспечить регулирование этой быстро развивающейся сферы.

Например, Сингапур, Бермудские острова, ЕС и Великобритания внедряют специальные правила для размещения цифровых активов, в то время как США работают над применением уже существующей нормативной базы для этих новых классов активов.

Хотя большинство существующих в настоящее время NFT не похожи на ценные бумаги, вскоре ситуация может измениться: в некоторых случаях NFT классифицируются как ценные бумаги и таким образом подпадают под соответствующие законодательные ограничения на перепродажу.

Кроме того, NFT, весьма вероятно, станет подпадать под действие законов и нормативных актов о противодействии отмыванию доходов и финансированию терроризма. Это потребует от торговых площадок NFT сообщать о подозрительной активности и транзакциях.

Африка и Индия предприняли шаги, чтобы вовсе ограничить или запретить гражданам использование NFT и криптовалют. Отдельно стоит упомянуть, что законы об авторском праве, интеллектуальной собственности, товарных знаках и логотипах, правах личности и неимущественных правах хотя и сильно отстают от развития индустрии NFT, но в ближайшем будущем ситуация, скорее всего, изменится.

антиотмывочные меры

Комментарий судебного эксперта, специалиста по ПОД/ФТ и цифровым активам, Натальи Мануйловой:

«В настоящий момент в рамках мероприятий по ПОД/ФТ/ФРОМУ с NFT, как и с другими цифровыми активами, необходимо использовать риск-ориентированный подход. Особое внимание требуется уделять не только самой ценности NFT как актива и инвестиционного инструмента, но и стандартным для антиотмывочных мер процедурам – идентификации (KYC) и анализу транзакций клиента (KYT).

Так, например, для митигирования риска вовлечения в отмывание преступных доходов при проведении процедур идентификации клиента необходимо обращать внимание на то, что клиент выдает себя за другое лицо в социальных сетях, имеет неподтвержденные учетные записи, у которых также нет активной подписки и активности.

Если мы говорим о сообществе, то смотрим, например, насколько сообщество легализовано, работает ли в рамках правового поля какой-то юрисдикции и пр. Основная работа в расследовании, конечно, лежит в плоскости анализа самого NFT и его цифрового следа. Здесь требуется обращать внимание и на динамику цены NFT, на адрес контракта на веб-сайте проекта и в смарт-контракте, и на условия выполнения транзакции».

кроссчейны и сайдчейны

Сайдчейны и кроссчейны – это красивые инженерные решения для масштабирования и расширения функциональности блокчейнов, они открывают новые возможности для взаимодействия между различными сетями. Однако с собой они приносят и новые риски в части безопасности. По мере роста популярности системы сайдчейнов и кроссчейнов становятся объектами повышенного внимания злоумышленников и вопросы, связанные с целостностью, конфиденциальностью и доступностью данных, становятся для них все более актуальными43.

сайдчейны

Сайдчейн (Sidechain) – это технология, которая позволяет создавать дополнительные цепи данных, связанные с основной блокчейн-сетью. Идея заключается в том, чтобы улучшить определенные характеристики или функциональность блокчейна, вынося часть операций за пределы базовой цепи. Пользователи могут перемещать свои активы между основной цепью и сайдчейном. Это позволяет улучшать масштабируемость, ускорять транзакции или добавлять новые функции без необходимости внесения изменений в основной блокчейн.

Например, сайдчейн сети Ethereum под названием Polygon PoS обладает производительностью, почти в 500 раз превосходящую скорость родительской сети.

кроссчейн-мосты

В отличие от сайдчейнов, которые обычно работают как дополнительные цепи данных внутри одной блокчейнсистемы, кроссчейны предполагают взаимодействие между различными блокчейнами, зачастую даже принадлежащими к разным протоколам.

Идея кроссчейна состоит в том, чтобы позволить перемещение активов и данных между разными блокчейнами, обеспечивая интероперабельность между сетями.

В начале блокчейн-эры, когда появился биткоин, первая и самая известная блокчейн-сеть, стали проявляться ограничения по производительности. Блоки в цепи формировались примерно каждые 10 минут, и существовали ограничения на количество транзакций, которые могли быть включены в один блок.

С увеличением популярности криптовалют и блокчейна стало очевидным, что необходимы решения для улучшения производительности и масштабируемости. Задержки в подтверждении транзакций и ограничения по пропускной способности стали проблемами, требующими решения.

Концепция сайдчейнов начала формироваться как способ решения проблем масштабируемости. Идея заключалась в том, чтобы выносить часть транзакций или операций за пределы основной блокчейн-цепи, чтобы улучшить ее производительность, не изменяя саму цепь.

С течением времени и с развитием блокчейн-технологий исследователи и разработчики начали предлагать конкретные решения и протоколы для реализации сайдчейнов. Различные проекты начали проводить эксперименты с сайдчейнами, тестируя их в реальных условиях. Это позволило сообществу лучше понять преимущества и ограничения данного подхода.

Важно понимать, что каждый сайдчейн самостоятельно обеспечивает свою безопасность. В случае компрометации ущерб остается в рамках этой цепи и не затрагивает основной блокчейн. С другой стороны, если будет скомпрометирован основной блокчейн, сайдчейн продолжит работать, но его привязка к родительской цепи обесценится.

сходства и различия

Обе концепции направлены на улучшение масштабируемости блокчейна. Они предоставляют механизмы для обработки большего количества транзакций и увеличения производительности системы.

Сайдчейны и кроссчейны разгружают основную цепь от избыточных операций, обеспечивая более эффективное использование ресурсов. Используя сайдчейны и кроссчейны, разработчики могут расширить функциональность своих приложений, добавляя новые возможности и операции.

Смарт-контракты являются строительными блоками для создания сложных и безопасных операций как внутри одного блокчейна, так и между различными блокчейнами. Их автоматизированные и программируемые характеристики существенно улучшают функциональность и эффективность сайдчейнов и кроссчейнов.

Смарт-контракты облегчают выполнение транзакций между различными блокчейнами. Они принимают условия и проверки с одной цепочки и инициируют запрограммированные действия на другой.

атаки на кроссчейны

Double-Spending

Атака Double-Spending направленна на многократное использование одних и тех же активов в разных блокчейнах. Double-spending реализуется, когда атакующий отправляет одновременно две или более транзакции, расходуя одни и те же криптовалютные средства.

Типичным примером Double-Spending является сценарий Race Attack, при котором атакующий одновременно отправляет две разные транзакции с одинаковыми средствами. Злоумышленник рассчитывает, что обе транзакции будут включены в блоки, что может сработать в блокчейнах с длительным временем генерации блоков.

В малоиспользуемых или низкоуровневых блокчейнах, которые обычно отличаются недостаточным уровнем безопасности, атака Double-Spending может быть еще более успешной, если атакующие смогут внести изменения в исходный код блокчейна или в майнинг-процесс.

Double-Spending остается одним из ключевых вызовов для блокчейн-систем, и исследователи и разработчики продолжают искать эффективные методы борьбы с этой угрозой. Для предотвращения атак Double-Spending блокчейн-системы используют различные защитные меры и протоколы. Методы подтверждения транзакций, такие как Proofof-Work и Proof-of-Stake, помогают уменьшить вероятность успешной атаки. Многие блокчейны также используют механизмы консенсуса и проверки подлинности для обеспечения безопасности транзакций.

Атаки с повторным входом

Если кроссчейн-мост включает смарт-контракты, злоумышленник может попытаться многократно вызывать функции смарт-контракта перед завершением предыдущего вызова, этот сценарий называют Reentrancy. Обычно он используется для многократного списания средств, изменения состояния контракта или других манипуляций.

Кроме того, кроссчейны подвержены и обычным атакам DoS и DDoS. Для снижения рисков и защиты от этих атак разработчики применяют различные техники: улучшенные смартконтракты, криптографические методы и др. Важным элементом является тщательное тестирование и аудит безопасности при создании кроссчейн-мостов.

В качестве системы защиты используются также многоподписные схемы (Multisignature, Multisig) – это системы криптографических схем, позволяющие нескольким пользователям совместно управлять средствами или совершать транзакции. Чтобы не зависеть от одного ключа или одного пользователя, многоподписные схемы предполагают подписи от нескольких ключей для авторизации и выполнения определенных действий.

Атаки на сайдчейны

Угрозой для сайдчейнов являются атаки 51%, особенно если этому типу атак подвержены используемые в сети консенсусные алгоритмы. Злоумышленник, контролируя большую часть вычислительной мощности сети, может манипулировать транзакциями, отклонять блоки и влиять на общий порядок событий в сайдчейне.

Смарт-контракты в сайдчейнах подвержены рекурсивным атакам, переполнению стека и другим видам эксплойтов. Защита от таких атак требует внимательного аудита смарт-контрактов и использования безопасных программных паттернов.

И, конечно же, наиболее опасны комбинированные атаки, когда используются сразу несколько методов. Например, злоумышленники могут сочетать атаку 51% с эксплойтом уязвимости в смарт-контрактах для достижения максимального воздействия.

Известные успешные атаки

В феврале 2022 г. стало известно об атаке на кроссчейн-мост Wormhole, который осуществлял обмен активами между сетью Solana и другими блокчейнами, в том числе со сверхпопулярным Ethereum. Злоумышленники обнаружили метод эмиссии необеспеченных токенов, которые они обменяли на реальные криптовалюты. В общей сложности экосистема Solana подверглась четырем атакам, а общий ущерб от них составил $397 млн.

В конце марта 2022 г. атака на сайдчейн Ronin, специально созданный для улучшения масштабируемости и снижения комиссий для пользователей игры Axie Infinit. Благодаря вредоносному ПО в PDF-документе с предложением о работе от несуществующей компании, загруженном одним из сотрудников из электронного письма, злоумышленники успешно осуществили атаку и вывели криптовалютные активы на $625 млн.

…

Технологии сайдчейнов и кроссчейнов используются очень активно, они являются шлюзами обмена средствами и ценностями между разными сегментами рынка криптовалют. Становится понятно, почему хакеры всех мастей обратили свой взор на кроссчейн-мосты и сопутствующие протоколы.

С ними были связаны самые крупные кражи за 2022 г., согласно отчету Chainalysis: в общей сложности ущерб составил сумму, эквивалентную $3 млрд. Примечательно, что эксперты прогнозируют по итогам 2023 г. в разы больший ущерб: уже были зафиксированы крупные атаки на популярные площадки и за несколько месяцев текущего года объем похищенных активов уже сравнялся с показателями 2022 г.