logo
23.04.2018 |

Как украсть криптомиллион

ICO-инвестиции стали новым инструментом обогащения, который принес и новую головную боль для его владельцев

Криптовалюты и ICO существуют только в виртуальной реальности. Любой слышал о блокчейне, майнинге и биткойнах, но мало кто может объяснить, как это работает Фото: Fabrice Coffrini⁄AFP⁄East News

Бермуды и Мальта заявили о намерении стать новыми мировыми центрами, дружественными к криптовалютам. Такими уже стали Гибралтар и швейцарский Цуг, который фактически переименовали в Криптодолину. Эти своеобразные офшоры будущего предлагают льготный режим компаниям, реализующим стартапы в рамках ICO (Initial Coin Offering) – процедуры привлечения инвестиций, основанной на выпуске токенов, криптовалют.

Спрос на такие юрисдикции уже есть, так как некоторые страны ввели законодательные ограничения на ICO, Китай и вовсе запретил эту процедуру. Тут и еще новость подоспела: комиссия по ценным бумагам и фьючерсам Гонконга предупредила инвесторов: за многими ICO скрываются мошенники.

Однако именно запреты, говорят эксперты в области кибербезопасности, стали одной из главных причин того, что ICO проваливаются. Нет легализации – нет и достаточных возможностей довести до ума этот инвестиционный инструмент. А для хакеров, между тем, ICO стали «новым откровением», богатым источником наживы. Скандал с блокировкой Telegram, развернувшаяся между мессенджером и Роскомнадзором позиционная война, жертвой которой уже стали многие законопослушные сервисы, в очередной раз подтвердила: жесткому контролю виртуальное пространство не поддается. Так же происходит и с ICO. Даже полный запрет криптовалютных инвестиций в отдельно взятой стране приведет лишь к оттоку капиталов из этой самой страны – стартапы найдут лояльные к ICO юрисдикции.

Рождение новой реальности

Новыми финансовыми пирамидами, мошенничеством, суррогатным инструментом – как только не называли криптовалюты и ICO. И в это легко верится, потому что существуют эти материи только в виртуальной реальности. Любой слышал о блокчейне, майнинге и биткойнах, но мало кто понимает и может объяснить содержание этих терминов. Если вкратце, то сначала был блокчейн.

Технология возникла еще три десятка лет назад. На множестве разных, независимых друг от друга компьютеров хранятся цепочки блоков (отсюда и название blockchain), копии информации, собираемой в одну гигантскую базу данных. Таким образом любая достоверность любой информации (транзакции) подтверждается этим множеством источников. Bitcoin, другие криптовалюты – это приложения к блокчейну, те же транзакции, которые, будучи подтвержденными, становятся средством обмена и хранятся в электронном виде в блокчейне. У биткойна есть своя легенда, имеющая все шансы превратиться в «священное писание», но доподлинно известно, что появился этот протокол криптовалюты в 2009 году, и именно он и прославил блокчейн.

Проверка подлинности транзакций – это сложное математическое действие, которое выполняется с помощью компьютеров. Это и называется майнингом. Децентрализация – это принцип блокчейна, в нем нет никакого регулятора, никакого ЦБ и Минфина. Многопользовательское подтверждение транзакций, создание новых блоков виртуальной цепи оказались в состоянии справиться с этой задачей. У криптовалют появились биржи, их вполне можно перевести в реальные деньги, ими можно расплачиваться в ресторанах, покупать недвижимость и даже гражданство. Реальность привычных денег ведь тоже очень условная. А что такое деньги, вообще толком никто объяснить не может. И когда мы переводим деньги, например, с карты на карту, мы просто вбиваем определенный набор цифр и подтверждаем транзакцию таким же набором. Наличные идут в ход все реже и реже. А что до обеспечения национальной валюты золотом, то это давно уже отошло в прошлое. Очевидно, что золота на планете просто физически нет в таком количестве, в каком существуют разнообразные валюты.

Деньги из воздуха

Скорость, открытость, прозрачность, выгодность – вот преимущества технологии блокчейна, которые стало интересно использовать на стартапах для привлечения инвестиций. Для честного проекта важно именно это, а не отсутствие государственного и банковского участия. Смысл ICO прост. Компания создает в блокчейне собственные токены, криптовалюты, которые могут приобрести желающие. Эти токены впоследствии можно продать, обменять на биткойны или реальные деньги. А можно оставить себе и таким образом участвовать в прибыли проекта. То есть ICO – это то же IPO, только покупка виртуальных акций (токенов) не означает физическое участие в управлении компанией–автором проекта. Именно поэтому в США, в частности, ICO законодательно подчинили правилам IPO.

Первые ICO проводились в 2013–2014 годах, для того чтобы запустить свою собственную криптовалюту, рассказывает основатель проекта Serenity Станислав Ванеев. «В прошлом году на первый план вышла «токенизация» любых традиционных бизнес-проектов (в первую очередь, конечно, связанных с информационными технологиями) – выпуск и продажа со значительной скидкой токенов, которые затем можно будет использовать для получения услуг компании», – говорит эксперт.

«Если говорить об ICO как об инструменте привлечения инвестиций, то он уже доказал свое право на существование, – говорит эксперт по защите ICO специализирующейся на борьбе с киберугрозами компании Group-IB Илья Обушенко. – Многие проекты успешно привлекли инвестиции на решение различных проблем, причем не только финансовых, но и социальных, медицинских, образовательных». Проекты действительно бывают разными. Вот, например, телеведущая Ольга Бузова выпустила Buzcoin, призывает инвестировать в ее проект масштабного блокчейна и напоминает, что «мы живем в эпоху Ольги Бузовой». Впрочем, критики весьма скептичны относительно успеха данного предприятия. Да и не все граждане РФ в курсе, что они живут в «эпоху Ольги Бузовой».

Зато летом завершится ICO-проект группы Block.One, которая уже собрала более полумиллиарда долларов для создания самой мощной в мире инфраструктуры для децентрализованных приложений, аналога Ethereum. Более $100 млн собрал ICO-проект Status – сингапурский аналог Telegram с децентрализованной биржей криптовалют, приложением для автоматического заключения смарт-контрактов (специальная программа-контракт с открытым кодом для инвесторов). Российская Group-IB в настоящее время обеспечивает безопасность нескольких проектов ICO, среди которых, например, стартапы специализирующейся на криптовалютном рынке компании Blackmoon Financial Group и разработчика видеоигр Destiny.Games. По данным исследования Positive Technologies, среди самых прибыльных проектов EOS, который принес авторам $883,4 млн, Filecoin с $257 млн дохода и Tezos, заработавший $232 млн.

Вложения в ICO растут невероятно. По данным исследования по ICO компании EY, проведенного в этом году при участии Group-IB, совокупное финансирование ICO во всем мире составляло $0,22 млрд, а в октябре–ноябре 2017‑го эта цифра приблизилась уже к $4 млрд. По данным Positive Technologies, объем привлеченных инвестиций превысил $5 млрд. И хотя, согласно исследованию EY, лидируют с большим отрывом ($1 млрд вложений) США, Россия оказалась на втором месте с $310 млн привлеченных инвестиций. И это при том, что пока ICO в нашей стране вне закона и принять его собираются только к концу года. Правда, чему тут удивляться, если Сбербанк, например, в конце прошлого года скупил чуть ли не все видеокарты на рынке, чем вызвал подозрения специалистов в активном майнинге. А корпорацию «Ростех» обнаружили среди заказчиков на покупку крупной партии видеокарт на сайте госзакупок. На четвертом месте, по данным того же исследования, внезапно Китай c $256 млн инвестиций. А ведь ICO там и вовсе запрещены.

«Анализируя текущую ситуацию вокруг проектов, уже собравших деньги, можно отметить лишь небольшое количество проектов, которые идут согласно своей «дорожной карте», – констатирует Илья Обушенко.  – Дело не только в честности и сознательности криптопредпринимателей, которые подрывают ICO как инструмент, но и в проблемах с регуляторами и регулированием, которые не позволяют легализовать этот инструмент».

John Macdougall⁄AFP⁄East News
Криптовалюты, ICO могут стать основой экономики будущего, которое вот-вот наступит. Но эти же технологии породили новую индустрию взломов. Самый распространенный вид кибермошенничества – фишинг, создание копий легальных сайтовJohn Macdougall⁄AFP⁄East News

Реальный улов виртуальных грабителей

По данным EY и Group-IB, проекты в среднем теряют около 10% от средств, привлеченных на ICO.

Кроме капитала ICO-стартапы привлекли также и внимание злоумышленников, отмечают эксперты Positive Technologies. «При проведении ICO в 2017 году киберпреступники похитили около $300 млн, что составило порядка 7% всех заработанных на ICO средств за этот год», – констатировали исследователи. «Наша система сбора данных об угрозах Threat Intelligence отслеживает активность более десятка преступных группировок, атакующих как ICO, так и действующие кошельки, биржи, обменники, – отмечает, в свою очередь, эксперт Group-IB. – В среднем в месяц мы находим и блокируем более чем 200 000 фишинговых ссылок». Фишинг, напомним, – это один из самых распространенных способов мошенничества – жертву ловят на «крючок» с помощью «наживки» в виде копии оригинального сайта и крадут персональные данные, стоит лишь ввести свои пароли.

В Group-IB проанализировали 450 атак на ICO-проекты по всему миру и пришли к выводу: их количество выросло почти в 10 раз. Каждое ICO атакуют в среднем около 100 раз в течение месяца, констатирует эксперт компании. «Наиболее частые угрозы – фишинг, дефейс (deface – подмена сайта во время ICO), DDoS, а также целенаправленные атаки с целью компрометации секретных ключей и получения контроля над счетами», – отметил он. По статистике Chainalisys, более 50% потерянных средств на ICO приходится на фишинг. В среднем крупная фишинговая группировка похищает криптовалюту на сумму от $30 тыс. до $1,5 млн в месяц.

Из множества проанализированных специалистами Positive Technologies проектов ICO только один не содержал существенных недостатков. «Общедоступный отчет экспертов стал для 15 тысяч участников гарантией безопасности при принятии решения, стоит ли вкладывать в этот проект деньги, – говорится в исследовании. – Компания успешно завершила процесс ICO, собрав $31 млн». Всего 7% выявленных уязвимостей в ICO эксперты отнесли к разряду высокой степени риска. Средний уровень имели 40% уязвимостей, низкий – 53%. Но даже самая незначительная уязвимость может стать роковой, если речь пойдет о реализации ICO, предупреждают специалисты. Это могут быть уязвимости, позволяющие атаковать организаторов ICO, а также уязвимости в смарт-контрактах. Кроме того, стоит обратить внимание на уязвимости в веб- и мобильных приложениях или на такие, которые позволят атаковать инвесторов.

«Информации из социальных сетей зачастую достаточно, чтобы определить логин электронной почты, а затем восстановить от нее пароль, угадав ответы на контрольные вопросы, – приводится пример атаки в том же исследовании. – Даже если для восстановления пароля требуется СМС-подтверждение, это тоже не является достаточной защитой». В России, как утверждают авторы этого исследования, киберпреступники могут купить на «черном рынке» детализацию входящих СМС-сообщений для любого номера телефона. И цены-то смешные: «Билайн» – за 3 тыс. рублей в месяц, МТС – за 8 тыс., «Теле2» – за 6 тыс.

Киберкриминальная сводка

«Криптовалюты, как и так называемый «интернет вещей», – настолько горячая тема, что взрыв грязной бомбы в каждой из этих областей становится неизбежным, – говорит гендиректор Qrator Labs Александр Лямин. – Новый и большой рынок ICO стал настоящим откровением для хакеров».

В июне 2016 года произошла атака на первый децентрализованный венчурный фонд The DAO, в результате которой было украдено порядка $50 млн. «Токены DAO моментально потеряли 60% в цене, а курс криптовалюты Ethereum, которая использовалась для покупки DAO-токенов, значительно снизился», – рассказали в Positive Technologies.

Через год, летом 2017‑го, атаковали пользователей сервиса по управлению Ethereum-кошельками Parity, и было похищено более $30 млн. «Уже на следующий день разработчики устранили использованную киберпреступниками уязвимость, но при этом допустили другую серьезную ошибку, из-за которой в ноябре 2017 года оказались заблокированы сотни миллионов долларов в кошельках пользователей», – констатировали эксперты. А в декабре 2017‑го произошла DDoS-атака на ведущую криптовалютную биржу Bitfinex. Она была недоступна всего час, но за это время в результате цена биткойна существенно просела.

Хакеры нападают в наиболее стрессовый для организации момент, говорит Александр Лямин. Это стадии сбора средств и рекламные кампании. А так как число криптовалютных проектов растет, то взломы часто комбинируются с DDoS-атаками. «Если рынок эмитирования криптовалютных токенов продолжит свой рост, данная тенденция лишь усилится», – считает эксперт. Облачные криптовалютные кошельки постоянно под атакой, отмечает он: «В течение 2017 года мы видели крупные взломы таких сервисов с потерей всех криптовалют их создателями».

Чтобы во время проведения ICO избежать финансовых потерь, необходима тщательная подготовка, особенно с точки зрения кибербезопасности, отмечают специалисты Positive Technologies. Это в большей степени относится к организаторам ICO. Потенциальным инвесторам тоже нужно вооружиться знаниями. По данным Sati Group, ведущей консультативной группы по вопросам ICO, около 81% ICO оказались мошенническими, отмечает старший аналитик ГК Forex Club Ирина Рогова. «Это значит, что, вложившись в такой проект, человек попросту мог потерять свои деньги, – говорит она.  – Именно разгул мошеннических схем привел к тому, что осенью 2017 года в Китае запретили ICO». Буквально на днях, 18 апреля, в городе Сиань на северо-западе республики арестовали несколько человек по подозрению в создании криптофинансовой пирамиды и хищении $13 млн у 13 тыс. человек по всему миру.

В США пошли по другому пути. «В августе 2017 года ICO признали аналогом IPO, то есть размещением ценных бумаг, со всеми вытекающими отсюда юридическими обязательствами, – говорит Станислав Ванеев. – Например, чтобы иметь возможность работать в США, проводящий сейчас ICO Telegram встал на учет как эмитент ценных бумаг».

Крипторай или киберапокалипсис?

«Криптовалюты – это новая реальность», – уверена Ирина Рогова. Но у них нет должной правовой базы, считает эксперт, зато есть достаточно высокий уровень анонимности криптовалют. «А ведь это интерес для «черного рынка», для финансирования незаконных операций и прочего, – говорит она.  – Поэтому криптовалюты, прежде чем займут свое место, думаю, переживут весьма внушительную трансформацию».

Трансформация произойдет, в этом сходятся все эксперты. Но вот какая? По мнению Ильи Обушенко, «эта история может начаться, как и закончиться, с приходом понятного и прозрачного регулирования». «Такой инструмент, как ICO, может позволить проектам гораздо легче находить инвесторов и «взлетать», – говорит эксперт.  – А криптовалюты в нынешнем понимании являются первым подходом к созданию децентрализованной экономики, которая вполне может оправдать себя». Но в ближайшем будущем этого не произойдет, не сомневается эксперт.

В прошлом году, говорит Александр Лямин, биткойн доказал, что является наиболее известным на данный момент продуктом, основанным на цепочке блоков. «Сама же технология все еще ищет свою цель и смысл существования, – считает он. – Каждое ответвление цепи блоков конкретного проекта (то, что случилось в результате Etherium DAO и Bitcoin Cash) является проблемой базы данных с технической точки зрения». Из-за криптовалют и ICO на наших глазах выросла новая индустрия взломов, констатирует эксперт и рисует довольно мрачную картину будущего: взломы плодящихся слабых ICO продолжатся, так как биткойн все дорожает и привлекает злоумышленников. «Станет еще хуже: никто не знает, когда рост криптовалютных проектов остановится, и чем дороже становится каждый из них в отдельности, тем больше попыток взломов будет суммарно, – говорит он. – У каждой сложной технологии есть фундамент. Найдя в нем трещины, можно разрушить дом любого размера».

Как уже не раз отмечали представители спецслужб, главная проблема борьбы с киберпреступностью – недостаточное международное сотрудничество. Ведь у хакеров нет границ. Нет границ и для честных предпринимателей будущего: запрети ICO в одной стране, стартапы просто переедут в другую. Поэтому без международной унификации и здесь не обойтись. А что касается мошенничества, то это самый распространенный вид преступлений в предпринимательской сфере, в самой что ни на есть реальной реальности. И самое главное правило, как не попасться на удочку аферистов, и в виртуальном пространстве остается тем же: доверяй, но проверяй.

КОНТЕКСТ

26.03.2018

Правовые логарифмы

Российских майнеров запишут в предприниматели и заставят платить налоги

22.02.2018

Страсти по блокчейну

Юристы хотят обуздать технологии, пока технологии не лишили их работы

10.02.2018

За чей счет жить лучше

Европейские банки резко ужесточили проверку своих клиентов из России, зато на Кипре богатым снова раздолье