Пока смерть не разлучит нас — что означает коллапс QuadrigaCX для криптобезопасности. После шокирующих выводов о том, что к северу от $1,7 млрд криптовалют был украден в 2018 году, криптобезопасность продолжает ухудшаться.
Ответ, который большинство экспертов дают для предотвращения взлома, заключается в использовании холодного хранения. Но что произойдет, если холодное хранилище потеряет или повредит? Потеря вашего личного аппаратного кошелька может быть разрушительной, но как насчет потери $190млн в средствах пользователей, таких как QuadrigaCX, крупнейшая криптобиржа Канады?
Извините, сэр, я потерял свои кошельки холодного хранения
QuadrigaCX шокировал криптомир в прошлом месяце, объявив, что он потерял более $190млн в криптовалютных фондах, хранящихся в холодных кошельках. Эти кошельки находились под единственным контролем генерального директора Джеральда Коттена.
Так что он сказал по этому поводу? Ну, на самом деле не так уж много. К сожалению, он внезапно скончался в Индии, как было объявлено на странице QuadrigaCX Twitter 14 января:
Конечно, его вклад в биткоин в Канаде будет сильно упущен. Но, к сожалению, еще больше будет пропущено 116 000 средств пользователей, местонахождение которых он якобы увез в могилу.
Твит QuadrigaCX о смерти их генерального директора вызвал шквал соболезнований наряду с шквал гнева и насилия, а некоторые теоретики заговора даже предполагают, что он мог подделать свою собственную смерть:
То, что один человек должен иметь единственный доступ к холодным кошелькам для всего обмена, кажется несколько маловероятным - в лучшем случае безответственным. И если верить компании, то она оставляет криптоиндустрию выглядящей довольно смешной.
QuadrigaCX сказал в заявлении:
“В течение последних недель мы активно работали над решением наших проблем с ликвидностью, которые включают в себя обнаружение наших очень значительных резервов криптовалют, хранящихся в холодных кошельках, необходимых для удовлетворения клиентских балансов криптовалют на депозите, и поиск финансового учреждения для принятия банковских проектов, передаваемых к нам. К сожалению, эти усилия не увенчались успехом”.
У QuadrigaCX действительно было холодное хранилище в первую очередь?
Начались слухи о том, было ли на бирже вообще холодное хранение. По данным Wall Street Journal, аналитики безопасности не были так уверены.
В прошлый четверг они сообщили об удивительной возможности того, что недостающие криптовалюты из QuadrigaCX могут не быть заблокированы в холодных кошельках в конце концов. Они могут просто отсутствовать... что приводит к целому ряду возможностей.
Согласно докладу Chain Analysis, опубликованному Zeroncense:
“Похоже, что для QuadrigaCX нет идентифицируемых запасов холодного кошелька.”
Выводы основывались на нескольких факторах, но эта теория обусловлена главным образом тем, что основные кошельки идентифицировали до сих пор регистрировали сделки, как правило, не урегулированные через холодные кошельки.
Холодные кошельки, как правило, для больших транзакций
Для обмена, чтобы использовать холодные кошельки, они должны пойти на чрезвычайные длины, чтобы обеспечить безопасность средств своих клиентов. Это означает, что размеры транзакций, как правило, очень большие. Когда инициируется транзакция холодного кошелька, она, как правило, включает миллионы долларов, достойных необходимости дополнительной защиты.
Тем не менее, типы транзакций на кошельках QuadrigaCX были небольшими, что затруднило обосновать, что они были проведены в холодных кошельках в первую очередь.
WSJ проанализировал 50 счетов клиентов QuadrigaCX и не смог найти никакой связи с холодильным хранилищем, о котором говорит компания.
Началось много разговоров о том, вытягивает ли обмен огромную аферу на выходе. И больше грузчиков и шейкеров присоединились к разговору, с генеральным директором MyCrypto Тейлором Монаханом, предполагающим, что для их транзакций Ethereum не было также холодных кошельков.
“Я не вижу никаких признаков того, что Quadriga когда-либо имел холодное/резервные кошельки для ETH”, - сказала она.
Она даже пошла дальше, чтобы отметить, что владельцы QuadrigaCX имели все необходимые данные KYC о своих клиентах, чтобы переместить деньги и открыть обменный счет.
Что это значит для криптобезопасности?
Очевидно, что фиаско биржи QuadrigaCX имеет много способов для криптоиндустрии. Первая (которая относится к любому инциденту с безопасностью) заключается в том, чтобы не держать ваши средства на бирже. Пользователи всегда должны отвечать за собственные средства.
Но биржи могут также извлечь уроки из QuadrigaCX, практикуя благое управление и обеспечивая процесс множественной подписи для защиты средств.
Ledger — самый безопасный поставщик аппаратных кошельков в мире. Однако генеральный директор Эрик Ларшевек понимает, что аппаратные кошельки не являются практичным решением для предприятий. В конце концов, кому ты отдаешь бумажник? Это похоже на передачу ключей сейфа только одному человеку. Он сказал:
“Набор правил должен выполняться сертифицированным защищенным оборудованием. Например, просьбы об оплате должны быть санкционированы несколькими утвержденными сотрудниками. Крайне важно построить управление таким образом, чтобы средства не были поставлены под угрозу, если сотрудник будет скомпрометирован”.
Для этого у компании есть решение для предприятий, работающих с большими объемами криптовалюты под названием “Хранилище книги”. Это решение для управления самохранением криптовалюты с несколькими авторизациями, которое требует от нескольких лиц, чтобы подтвердить транзакцию.
Крипто может учиться у банков
Panxora — еще одна фирма, ответственная за хранение средств своих клиентов в холодных кошельках. Генеральный директор Гэвин Смит считает, что криптобиржи наивны, и он также повторяет чувства Ларшевека:
“Подобные события показывают, что многие в криптоиндустрии по-прежнему наивны, когда дело доходит до создания своих систем безопасности. Все сводится к здравому смыслу. Хотя холодные кошельки, безусловно, являются лучшим вариантом для защиты активов клиентов, процесс вывода средств также должен быть принят во внимание.
“Здесь есть чему поучиться на традиционном банковском деле. Криптовалютные биржи также способны настроить процесс, при котором вывод средств требует от нескольких сторон подписать транзакцию, а пароли хранятся в безопасных оффлайн местах”.
А что касается QuadrigaCX и их истории?
Кажется, что есть один способ, которым команда QuadrigaCX может доказать свою историю и очистить свои имена с течением времени. Как отметил Deadal Nix в Twitter, если то, что они говорят правду, они должны опубликовать адреса, чтобы доказать, что средства в якобы холодных кошельках остаются там.
Если они не могут этого сделать, то это, вероятно, один из самых сложных выходов мошенников, которые крипто видел до сих пор.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.