Пока новая технология только набирает популярность и двигается вверх по «кривой хайпа», на ее «темные стороны», например возможные проблемы с безопасностью применения, обычно обращают мало внимания. Все стараются преуспеть в пропаганде ее достоинств, и так никем не оспариваемых.
Между тем полная картина крайне важна для тех, кто собирается технологию внедрять. О состоянии дел в области безопасности шла речь на второй практической конференции «Технологии блокчейна 2018», проведенной издательством «Открытые системы». Этим вопросам посвятили свои выступления представители профильных компаний: Руслан Юсуфов, директор по работе с частными клиентами Group-IB; Алексей Перцев, специалист Digital Security, занимающийся тестами на проникновение и анализом защищенности мобильных и веб-приложений; Алексей Раевский, генеральный директор компании Zecurion.
Юсуфов сконцентрировался на угрозах, возникающих на пути проекта, готовящегося к выходу на ICO (Initial Coin Offering, форма привлечения инвестиций посредством продажи инвесторам фиксированного количества новых единиц криптовалют). Изначально команда такого проекта, как всякий стартап, состоит из небольшого числа людей, управляющих относительно простой серверной инфраструктурой. По мере продвижения к ICO разрастается как ее штат, так и «матчасть» — блокчейн-платформа обзаводится сайтом, через который предполагается продавать токены, а также разнообразными дополнительными модулями, плагинами и т. д. Проект вступает во взаимодействие с потенциальными инвесторами через форумы, социальные сети, мессенджеры и чаты.
И здесь для злоумышленников открывается чрезвычайно широкое поле деятельности. Криптовалютные проекты — цель для них более лакомая, чем какое-нибудь хранилище персональных данных: эти данные еще нужно продать (и не попасться), тогда как криптовалюта — уже деньги, перемещение которых после кражи не отследить.
В 2017 году, по мнению Юсуфова, основными направлениями атак были площадки коммуникаций с инвесторами (сайт, через который происходит или планируется продажа валюты) и сама команда проекта.
Атаки на площадки приобрели тотальный характер. По данным экспертов Chainanalysis, из средств, потраченных на ICO во второй половине 2016-го — первой половине 2017 года, 56% ушло мошенникам. Причем без всяких технических ухищрений: создать сайт, похожий на настоящий.
Команду атакуют вполне обычными средствами — через почту, корпоративные мессенджеры, соцсети. Средства защиты тоже обычные — двухфакторная аутентификация, сложные пароли, ответственное отношение к информации, публикуемой в соцсетях.
При всей банальности подобных мер соблюдать их стартаперы от блокчейн-бизнеса не торопятся. Показателен приведенный Перцевым пример с криптовалютой Enigma. Руководитель проекта знал, что его пароль мог быть украден, но не нашел времени его сменить, а также задействовать двухфакторную идентификацию. Завладев его почтой, злоумышленники получили доступ к сообществу Enigma в мессенджере Slack, где открыли продажу валюты до официального ICO. Это обошлось невнимательным членам сообщества в 0,5 млн долл. Невнимательным — потому, что ранее сообщалось, что деньги до начала ICO собирать через мессенджер не будут. Однако жаждущие вложиться в Enigma эту информацию проигнорировали.
Продемонстрировал Перцев и примеры ошибок в кодах, приводящих к краже или «зависанию» в кошельках десятков и сотен миллионов долларов. Разумеется, отметил он, есть множество способов атаковать блокчейн-системы и не имея представления о том, как они работают, например взломать их как обычные ИТ-системы.
А самые действенные способы отъема средств лежат на «пересечении дисциплин»: весьма эффективно по параметру «цена–производительность» сочетание фишинга с социальной инженерией. Рассылки от имени Виталика Бутерина, который обещает первым 50 счастливчикам, пославшим по 0,2 эфириума на указанный им адрес, вернуть деньги в десятикратном размере, или от Павла Дурова, дающего последний шанс купить его токены, не оставили равнодушными очень многих.
Раевский, как и полагается главе компании, постарался дать общую картину самых серьезных рисков применения блокчейна в бизнесе — как при решении собственно бизнес-задач, так и при взаимодействии блокчейн-систем с государственными органами и правовой системой. Среди бизнес-проблем он отметил, что, хотя блокчейн гарантирует неизменность и отслеживаемость транзакций, теоретически возможна «Атака 51%», позволяющая абсолютно легитимно переписать историю в пользу атакующего. К тому же как удостовериться, что в смарт-контракте записаны именно достигнутые договоренности? Всегда возможна случайная или намеренная ошибка в коде, а контракт неотменяемый.
Что касается государства, то пока непонятно, как на блокчейн и смарт-контракты посмотрит регулятор. Как в блокчейне обеспечить право на забвение (или на изменение данных, по суду признанных недостоверными), если все, что в нем находится, принципиально неуничтожимо? Как идти в суд со смарт-контрактом, если он по каким-то причинам не выполнен должным образом?
Но при всей сложности этих вопросов создается впечатление, что самая главная проблема — человеческий фактор. Пожалуй, ни одна из предыдущих «восходящих» технологий последних лет не была так от него зависима, и технических средств решить эту проблему нет, да и быть не может.