Kilka ostatnich lat to przełomowy moment jeśli chodzi o bezpieczeństwo w branży kryptowalut. Tego typu zasoby zdobywają coraz większą popularność (renesans przeżywa na przykład kopanie kryptowalut), ale jednocześnie coraz więcej instytucji doświadczyło naruszenia bezpieczeństwa firmy.
Rozwijająca się branża pełna jest szans i możliwości, ale również czai się w niej mnóstwo zagrożeń. Do głowy od razu przychodzą dwa przypadki, które to ilustrują.
W styczniu 2018 roku, celem przestępców stała się firma Coincheck Japan. Z giełdy zniknęły wówczas tokeny NEM o wartości 530 milionów dolarów. W relatywnie krótkiej historii branży kryptowalutowej, sytuacja ta stanowi jeden z największych ataków na giełdę kryptowalutową. Innym zdarzeniem jest atak na Mt. Gox, który doprowadził do utraty 800 tysięcy BTC - obecnie ich wartość wyniosłaby 6 miliardów dolarów.
Trochę wcześniej, bo w lutym 2016, celem ataku stał się Bank Bangladeszu. Złodzieje próbowali ukraść 850 milionów dolarów poprzez zlecenie Bankowi Rezerwy Federalnej w Nowym Jorku przelewu pieniędzy za pośrednictwem sieci SWIFT. 101 milionów dolarów zostało przelane do beneficjentów na Filipinach oraz w Sri Lance, a całe zdarzenie sprawiło, że udało się skraść ostatecznie 81 milionów dolarów.
Co mają ze sobą wspólnego wspomniane wydarzenia? Złudne poczucie bezpieczeństwa ofiar ataku - banki centralne oraz duże giełdy kryptowalutowe - a także sposób w jaki zarządzają hasłami oraz kluczami prywatnymi, które wykorzystywane są do uzyskiwania dostępu do przelewów waluty fiducjarnej oraz kryptowalut.
Sieć SWIFT wykorzystana przy ataku na Bank Bangladeszu i inne podobne skoki nie została zhackowana. Zhakowani zostali jej użytkownicy. Łańcuchy blokowe wykorzystywane do przelania NEM z Coincheck oraz BTC z Mt Gox nie zostały zhakowane. Zhakowani zostali - po raz kolejny - użytkownicy. Byli oni tak słabo chronieni, że hakerzy zdołali przejąć kontrolę, oraz z łatwością podać się za swoje ofiary.
Reakcją społeczności SWIFT na te wydarzenia było wzmocnienie kontroli cyberbezpieczeństwa poprzez zidentyfikowanie najsłabszych punktów, oraz podzielenie się sposobem działania hakerów z innymi członkami społeczności tak, aby podobne sytuacji już się nie powtórzyły. Czy możemy powiedzieć, że branża krypto czegoś się z tego nauczyła? Pewnie nie tyle, ile powinna, biorąc pod uwagę wagę sprawy. Czy w 2020 roku pojawi się więcej kolaboracji, które pomogą zapobiec podobnym zdarzeniom lub umożliwią odzyskanie utraconych środków w wyniku skutecznych ataków? Póki co, trudno na te pytania odpowiedzieć.
W ostatnich dwóch latach, kwestie bezpieczeństwa w branży kryptowalutowej znaczącą ewoluowały. Rozwiązania technologiczne stosowane przez dostawców portfeli są coraz silniejsze.
Organizacje stosują portfele sprzętowe oraz softwarowe z transakcjami wielopodpisowymi, szyfrują środowiska operacyjne, wzmacniają procedury operacyjne, oraz wiele innych metod, które zwiększają bezpieczeństwo.
W przypadku ataku hakerskiego, branża rozmawia o tym; wpisuje na czarną listę adresy wykorzystane do wyprowadzenia skradzionych środków, redukuje liczbę prób wypłaty środków, jak również stosuje inne metody by zatrzymać hakerów. Jednak fakt, że podobne ataki wciąż pojawiały się w 2019 roku świadczy o tym, że wielu w branży nie jest jeszcze odpowiednio przygotowanych do tego, by zmierzyć się z problemem naruszania cyber bezpieczeństwa.
Postęp powinien dokonać się nie tylko w technologii, ale również jeśli chodzi o zarządzanie ryzykiem operacyjnym.
Chodzi o zabezpieczenie inwestycji klientów, oraz trzymanie się podstawowych biznesowych praktyk dotyczących, między innymi, koniecznego rozdzielenia obowiązków aby uniknąć konfliktu interesów.
Dlaczego branża krypto wciąż jest zdania, że może ignorować zdroworozsądkowe zasady? Dlaczego ludzie wciąż mają nadzieję, że instytucyjne pieniądze popłyną do branży, skoro jasnym jest, że nie wydarzy się to, póki nie pojawią się zasady zapożyczone z tradycyjnej branży finansowej?
W ciągu ostatniego roku, wiele giełd i fundacji zaczęło zdawać sobie sprawę, że branża kryptowalutowa nie jest w stanie rozwijać się bez odpowiednich praktyk biznesowych oraz transparentności, które mogłyby ochronić środki klientów, którzy są przecież w tym wszystkim najważniejsi.
Coraz częściej korzysta się z usług depozytariuszy, którzy zapewniają bezpieczeństwo, neutralność oraz transparentność. Środki klientów są wówczas bezpieczne i podlegają kontroli.
Pojawiające się rozwiązania na poziomie przedsiębiorstwa pomagają zredukować ryzyko ataków hakerskich. Firmy ubezpieczeniowe nie uciekają już od świadczenia usług depozytariuszom korzystającym z odpowiednich technologii. Wciąż robią to przy wysokiej składce, ale można liczyć, że wkrótce pojawi się tendencja zniżkowa.
W 2020 roku potrzebna będzie lepsza edukacja oraz większa świadomość. Giełdy, fundusze, projekty, fundacje oraz inni gracze w branży kryptowalutowej muszą wprowadzić odpowiednio bezpieczne i transparentne procesy związane z bezpiecznym przechowywaniem zasobów swoich klientów. Większość zdecyduje się na outsourcing tego kluczowego zadania podmiotom, które się w tym specjalizują.
Będzie to również - miejmy nadzieję - rok w którym dostawcy usług związanych z cyfrowymi zasobami będą współpracować w zakresie wprowadzenia zasad Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy, oraz będą dzielić się informacjami dotyczącymi sposobu działania hakerów.
Wypłata środków ze zhakowanych funduszy powinna być w tym roku tak trudna - ze względu na bardziej formalną kolaborację między graczami w branży - że złodzieje nie będą już nawet próbować ataków na organizacje kryptowalutowe.
Podsumowując, branża środków cyfrowych wejdzie do mainstreamu tylko wtedy, kiedy zostaną wprowadzone zdroworozsądkowe działania oraz praktyki biznesowe. Mowa tu o rozdziale obowiązków, koncentracji na głównych działaniach oraz zarządzaniu ryzykiem.
Brak komentarza, Twój może być pierwszy.
Dodaj komentarz