8 заповедей пользователя криптовалютной биржи

История знает много случаев, когда даже крупные и, казалось бы, надежные платформы становились жертвами атак или внутренних злоупотреблений. Причина заключается в том, что прогресс в применяемых мерах кибербезопасности коррелирует с прогрессом хакеров. 

Это выглядит логично: любой код можно создать, а значит — его можно и взломать. Кроме прямой и косвенной защиты своего программного обеспечения («железо»), биржам приходится бороться и с более сложным человеческим фактором (утечка информации, хантинг, социальная инженерия).

Вот несколько примеров известных кибератак:

1. В 2014 году произошел взлом биржи Mt. Gox, в результате которого клиентами было утрачено около 850 000 BTC. Этот случай стал одним из самых громких в истории криптовалют и показал, насколько биржи могут быть уязвимы.
2. Канадская криптоплатформа QuadrigaCX в 2019 году потеряла доступ к холодным кошелькам после смерти своего генерального директора Джеральда Коттена, который, по некоторым предположениям, инсценировал свою смерть и присвоил средства клиентов. Ущерб пользователей составил около $200 млн.
3. В 2019 году новозеландская биржа Cryptopia была взломана (предположительно, из-за действий внутренних инсайдеров). Этому событию предшествовали разногласия и громкие скандалы между руководителями платформы. 900 000 пользователей потеряли в сумме около $15,6 млн. 

Не стоит задаваться вопросом «Случится ли это?», лучше спрашивать себя «Когда это произойдет?». Такой подход поможет вам быть готовым к непредвиденным обстоятельствам и не держать на бирже больше средств, чем вы готовы потерять.

Вспомните, как в 2022 году крах крупнейшей криптобиржи FTX вызвал цепную реакцию на рынке криптовалют. Многие пользователи потеряли доступ к своим средствам, которые хранились на этой платформе. Затем последовал настоящий банкопад среди партнеров FTX, когда пострадали такие известные банки, как Silvergate, Silicon Valley Bank и Signature Bank.

Биржа — это не лучший кошелек для долгосрочного хранения. Опытные трейдеры рекомендуют использовать ее исключительно для торговли и обязательно выводить средства после совершения операций. Впрочем, биржи понимают это, поэтому сосредоточены над постоянным расширением выгодных предложений, мотивирующих клиентов не выводить свои активы.

Если вы занимаетесь долгосрочными инвестициями (холдом), храните свои активы на холодных кошельках, которые обеспечивают гораздо более высокий уровень безопасности. 

Всегда выбирайте платформы, которые хранят не менее 75% средств клиентов на своих холодных кошельках. Если вы начнете внимательно вчитываться в условия договоров с биржами, то окажется, что таких «дальновидных» проектов на рынке не так уж и много.

И помните, что пользователи, которые хранили свои монеты на счетах Mt. Gox или FTX, с искренней завистью смотрели на тех, кто хранил свои активы на личных кошельках и смог их сохранить.

Принудительный сброс пароля, задержки с выводом средств, необоснованные проверки, ошибки в балансе — все это может свидетельствовать о проблемах на бирже (случайных технических или злонамеренных — не так уже и важно). В таких случаях лучше не игнорировать эти звоночки и срочно выводить свои средства, пока существует такая возможность. Если окажется, что это ложная тревога — не беда. Гораздо страшнее, если вы потеряете кровно заработанные активы из-за чрезмерной легкомысленности.

Перед крахом QuadrigaCX пользователи тоже жаловались на необычные задержки с выводом средств и плохую работу техподдержки. Впоследствии оказалось, что это были предвестники серьезных проблем.

№5: проверка биржи не гарантирует ее надежности

Регистрация в «благополучных» юрисдикциях, наличие всех лицензий и публичность владельцев не являются гарантией безопасности хранения средств. История знает примеры, когда и такие проекты оказывались ненадежными. 

Впрочем, были и противоположные случаи. 

Например, в 2017 году биржа BTC-E, несмотря на свою непрозрачность и связи основателей с криминалом, вернула большую часть средств клиентам после ареста серверов в США. Однако пользователи, воодушевленные возвратом денег (и, очевидно, не выучившие урок), оперативно перешли на биржу WEX, ведь она позиционировала себя как открытая площадка под надзором регуляторов и правопреемник BTC-E. В итоге учредители WEX пропали вместе с деньгами клиентов. 

Читать также: Арестованный основатель BTC-e получил обвинительное заключение

Двухфакторная аутентификация (2FA) значительно усложняет взлом вашего аккаунта, даже если злоумышленники узнают ваш пароль. Это базовая мера безопасности, которой нельзя пренебрегать. Защитите двухфакторной аутентификацией также и свой почтовый ящик, привязанный к аккаунту на бирже. Он является ключевым звеном вашей безопасности: потеряете доступ к email — потеряете доступ к аккаунту. И будет не так уж и важно, по какой причине это случилось: из-за фишинговых атак или утечек баз данных. 

2FA поможет предотвратить такие случаи.

№7: не надейтесь на полный возврат средств в случае краха биржи

После прекращения биржей своей деятельности в интернете сразу же активизируются мошенники, предлагающие «помощь» в возврате средств. Чаще всего они предлагают «гарантированный» возврат средств за определенную плату. Это явный признак мошенничества. Никто не может гарантировать возврат средств после краха биржи.

Кроме того, иногда под видом помощи в возврате средств собираются личные данные пользователей, которые впоследствии могут быть применены в преступных целях.

Не доверяйте обещаниям гарантированного возврата средств. Не предоставляйте свои личные данные непроверенным лицам и организациям. Будьте реалистами: шансы на полное возмещение потерь невелики. Увы.

№8: учитывайте процедуры AML

Все биржи обязаны соблюдать процедуры AML/CFT (Anti-Money Laundering/Combating the Financing of Terrorism) по борьбе с отмыванием денег и финансированием терроризма. 

В контексте криптовалют это означает, что биржи имеют право отслеживать все транзакции, чтобы предотвратить использование криптовалют для незаконных целей.

Будьте готовы в любой момент подтвердить законность происхождения ваших средств. Представители AML-отделов имеют право потребовать:

• документы, подтверждающие доход (справка о зарплате, налоговая декларация);
• выписки с банковских счетов;
• документы, подтверждающие покупку криптовалюты (чеки, выписки с других бирж);
• доказательства наличия оборудования и потребления электроэнергии (в случае, если вы — майнер).

Многие пользователи, не предоставившие необходимые документы, сталкивались с блокировкой счетов. Конечно, это касается случаев, если вы работаете с крупными суммами или ваши транзакции связаны с сомнительными контрагентами.