Как проверяют безопасность криптобирж. На примере OKX
Как работают аудиты торговых площадок, какие критерии учитывают и почему эта информация крайне важна для пользователей
Летом аудитор и ведущая компания по кибербезопасности Web3 CertiK назвал OKX Wallet самым безопасным криптокошельком из 43 самых популярных. Также сервис занял вторую строчку в рейтинге Skynet, который измеряет относительную безопасность кошелька, рыночные показатели и сантимент.
Подробный аудит OKX Wallet включал проверку безопасности различных компонентов кода (в том числе мобильного приложения), интерфейсный модуль и SDK. Также OKX Wallet проводит аудиты безопасности и от других компаний, таких как Cer.live и SlowMist.
Безопасность на криптобирже
rbc.group
Один из важнейших факторов — это использование торговой площадкой двух типов кошельков. В случае с OKX, например, на горячих кошельках биржа хранит лишь 5% от общего числа активов. Это позволяет снизить риски потери средств в результате хакерской атаки или при любых других непредвиденных обстоятельствах.
При этом средства даже на горячих кошельках надежно защищены. Закрытые ключи горячих кошельков OKX генерируются и шифруются на полуавтономных устройствах для подписи, которые принадлежат трем сотрудникам компании из разных стран.
Безопасность площадки должна регулярно подтверждаться прохождением независимых аудитов для подтверждения резервов (Proof of Reserve). Таким образом пользователи понимают, что биржа платежеспособна и проблем с выводом средств не возникнет даже в случае небывалого ажиотажа и нестандартно высокого количества запросов на вывод.
Подтверждение резервов
В конце июня OKX выпустила уже 20-й отчет о подтверждении резервов. Это похоже на публикацию финансовой отчетности публичных компаний. По результатам отчета сумма обеспечения пользовательских активов составила $22,4 млрд в основных активах. На сегодняшний день более 1,65 млн клиентов проверили и подтвердили, что их активы обеспечены в соотношении 1 к 1. Биржа поддерживает покрытие свыше 100% для 22 наиболее популярных активов платформы, в том числе биткоина, эфира, USDT, USDC и других.
Для того, чтобы подтверждать наличие резервов, не раскрывая конфиденциальные данные пользователей, криптобиржа использует технологию zk-STARK. Это масштабируемый прозрачный аргумент знаний с нулевым разглашением. Эта технология основана на идее создателя Ethereum Виталика Бутерина об обеспечении целостности и конфиденциальности вычислений в различных блокчейнах.
Еще один ключевой нюанс — наличие у криптобиржи резервного или страхового фонда на случай возникновения критической ситуации, в результате которой средства пользователей будут утрачены. Например, это может произойти по вине наличия уязвимости в системах криптобиржи, а также в результате хакерской атаки. Такой резервный фонд существует у OKX и у некоторых других крупнейших площадок. Это показатель безопасности, поскольку он является страховкой.
Персональные данные пользователей
Торговой площадке важно не только хранить средства пользователей в полной безопасности, но и их персональные данные. Нередки случаи, когда крупные компании допускают колоссальные утечки данных миллионов клиентов. Для того, чтобы этого избежать, биржи совершенствуют свои системы хранения данных, это подтверждается сторонними проверками.
Например, наличие сертификата SOC 2 практически исключает вероятность утечки. На это стоит обратить внимание при выборе криптобиржи, поскольку в том случае, если персональные данные пользователя попадут в руки злоумышленников, они могут не только похитить криптовалюту, но и получить доступ к банковским счетам жертвы.
Дополнительная защита
Наличие лицензии у криптобиржи подтверждает ее безопасность. Для того, чтобы получить разрешение регуляторов на работу, торговая площадка должна соответствовать высоким стандартам предоставления услуг. Например, OKX получила лицензии на Сейшельских, Бермудских островах, а также лицензию поставщика услуг виртуальных финансовых активов на Мальте для предоставления услуг централизованной биржи в Европе и работает над получением разрешений в Дубае.
Обезопасить средства пользователей криптобирже помогают такие системы, как двухфакторная аутентификация, антифишинговый код и система, которая позволяет контролировать и отслеживать — когда и с каких устройств производился вход в аккаунт. Это сильно усложняет жизнь хакерам.
При этом даже в случае, если злоумышленники получат доступ к аккаунту пользователя, служба безопасности биржи может зафиксировать подозрительную активность и заморозить аккаунт. В определенных ситуациях возможен вариант удаления аккаунта для того, чтобы не допустить потери средств.
Общие советы
Для работы с криптовалютой лучше завести отдельные электронную почту и номер телефона, отличные от остальных. В таком случае учетные записи будут обезопасены от мошенников. При этом ни в коем случае не стоит разглашать личные данные в открытом доступе.
Не стоит скупиться на функции безопасности. Лучше включить и SMS-подтверждение, и антифишинговый код, а также двухфакторную аутентификацию и проверочный код на электронную почту.
Хранение криптовалюты лучше диверсифицировать, чтобы в случае атаки на один из адресов мошенники не имели возможности похитить все средства. На биржах лучше держать активы, которые нужны в конкретный момент, а в остальных случаях пользоваться аппаратными устройствами. Также важно использовать сложные пароли и не хранить seed-фразу в одном месте.