Pomimo ryzyka związanego ze zmiennością kursową czy też konieczności samodzielnego dbania o bezpieczeństwo środków popularność kryptowalut ciągle rośnie.
Ponieważ na rynku kryptowalut nie ma jednostki centralnej, do której można się zwrócić w przypadku kradzieży cyfrowego portfela, użytkownik może stracić dostęp do swoich środków na kryptowalutowym koncie. Dlatego tak ważne jest zapoznanie się z metodami zabezpieczenia konta i swoich kryptoaktywów, np. z wieloskładnikową autoryzacją, a także korzystanie z renomowanych giełd i bezpiecznych portfeli kryptowalutowych.
Faktem zwiększającym bezpieczeństwo np. sieci bitcoina jest to, że transakcje na blockchainie są w pełni transparentne. Każdy może sprawdzić dowolną transakcję w sieci.
Bitcoin jest często nazywany cyfrowym złotem. Dzieje się tak dlatego, że z uwagi na swoje właściwości, np. antyinflacyjny charakter, umożliwia użytkownikom przechowywanie wartości w czasie.
Nie można jednak pomijać kwestii związanych z regulacją i bezpieczeństwem inwestowania w kryptowaluty. W miarę jak ich rynek rośnie i ewoluuje, pojawia się coraz więcej przepisów i norm regulacyjnych, które mają na celu ochronę inwestorów i zapobieganie nadużyciom.
Rynkowi kryptowalut zarzuca się też brak bezpieczeństwa. Ataki hakerskie na giełdy kryptowalut czy portfele cyfrowe nie są rzadkie, co naraża inwestorów na ryzyko utraty zgromadzonych środków.
Ataki hakerskie na giełdy kryptowalut to jedne z najbardziej spektakularnych incydentów w świecie finansów cyfrowych. Przyciągają uwagę zarówno inwestorów, jak i mediów, a ich skutki często wpływają na cały rynek kryptowalut. Oto niektóre z nich.
Mt. Gox – 2014 r.
Mt. Gox była jedną z pierwszych i największych giełd bitcoin na świecie, obsługującą w swoim szczytowym momencie ponad 70 proc. globalnych transakcji bitcoin. W 2014 roku giełda ogłosiła bankructwo po tym, jak odkryto, że z jej portfeli zniknęło ok. 850 000 BTC, co wówczas stanowiło ok. 7 proc. wszystkich istniejących bitcoinów.
Hakerzy wykorzystali luki w oprogramowaniu giełdy, co pozwoliło im na stopniowe wyprowadzanie bitcoinów przez kilka lat, zanim problem został zauważony.
Upadek Mt. Gox doprowadził do znacznego spadku zaufania do kryptowalut i wywołał „kryptozimę” – okres długotrwałej stagnacji na rynku. Użytkownicy giełdy stracili ogromne sumy, a cała sprawa zakończyła się wieloletnimi bataliami prawnymi.
Bitfinex – 2016 r.
Bitfinex, jedna z największych giełd kryptowalut, padła ofiarą ataku hakerskiego, podczas którego skradziono ok. 120 000 BTC, co w tamtym czasie miało wartość ok. 72 mln USD.
Podobnie jak w 2014 r. hakerzy wykorzystali słabe punkty w systemie zabezpieczeń giełdy, w szczególności w mechanizmie wielopodpisowym (multi-signature), który miał zapewniać wyższy poziom bezpieczeństwa.
Bitfinex podzieliła straty na wszystkich swoich użytkowników, obniżając wartość ich kont o 36 proc. Giełda wyemitowała tokeny BFX, które później można było odkupić lub zamienić na udziały w firmie.
Coincheck – 2018 r.
Japońska giełda Coincheck straciła 523 mln NEM (XEM) o ówczesnej wartości ok. 530 mln USD, w wyniku ataku hakerskiego, co czyni go jednym z największych ataków na giełdy kryptowalut w historii. NEM było przechowywane w tzw. gorącym portfelu (hot wallet), który jest podłączony do internetu, co czyniło go bardziej podatnym na ataki. Giełda nie stosowała również standardowych procedur bezpieczeństwa, takich jak cold storage, co mogło zapobiec kradzieży.
Coincheck obiecała zwrócić użytkownikom utracone środki, co ostatecznie zrealizowała. Atak skłonił japońskie władze do wprowadzenia surowszych regulacji dotyczących giełd kryptowalutowych.
Binance – 2019 r.
W maju 2019 r. Binance, największa na świecie giełda kryptowalut, została zaatakowana, a hakerzy ukradli ok. 7000 BTC (wartość wówczas ok. 40 mln USD. Użyli kombinacji różnych metod, w tym phishingu, wirusów i innych technik ataku, aby uzyskać dostęp do dużej ilości danych użytkowników, w tym kluczy API i kodów 2FA.
Binance szybko zareagowała, zawieszając wszystkie wpłaty i wypłaty oraz obiecując pełne pokrycie strat z funduszu rezerwowego (SAFU – Secure Asset Fund for Users). Giełda poprawiła również swoje zabezpieczenia.
KuCoin – 2020 r.
W 2020 r. giełda KuCoin padła ofiarą hakerów, którzy ukradli kryptowaluty o wartości ponad 280 mln USD. Hakerzy uzyskali dostęp do prywatnych kluczy gorących portfeli giełdy, co umożliwiło im wyprowadzenie dużych ilości środków.
KuCoin podjęła natychmiastowe działania, aby odzyskać część skradzionych środków we współpracy z innymi giełdami i projektami blockchainowymi i wkrótce udało się odzyskać znaczną część środków.
Te ataki pokazują, jak ważne jest stosowanie odpowiednich środków bezpieczeństwa na giełdach kryptowalutowych. W odpowiedzi na te incydenty giełdy zaczęły inwestować w lepsze technologie zabezpieczeń, w tym cold storage, systemy wielopodpisowe, regularne audyty bezpieczeństwa i edukację użytkowników w zakresie ochrony przed phishingiem i innymi formami oszustw.
Aby bezpiecznie obracać kryptowalutami, należy trzymać się siedmiu prostych zasad.
- Silne hasło zmieniane regularnie to pierwsze podstawowe zabezpieczenie konta. Z badań zespołów bezpieczeństwa w Europie wynika, że użytkownicy często zabezpieczają swoje konta prostym hasłem „12345”. I to wszystkie – począwszy od tych w grach i mediach społecznościowych, po rachunki bankowe oraz inwestycyjne. To nie wystarczy. Hasło powinno być odpowiednio długie, zawierać nielogiczne ciągi znaków („mamamniekocha” jest łatwe do złamania metodą słownikową). Najlepiej skorzystać z zaufanego oprogramowania menedżerów haseł. Takie są m.in. wbudowane w przeglądarki oparte na Google Chrome czy Safari.
Hasło powinno być też regularnie zmieniane. Regularnie – nie oznacza każdego pierwszego dnia miesiąca, ale, żeby uniknąć łatwej do wykrycia regularności, np. w dniu o 2 mniejszym niż liczba miesiąca – z jednodniową różnicą (czyli w lipcu zmieniamy hasło między 4. a 6. dniem miesiąca). - Wdrożenie klucza RSA (Rivest-Shamir-Adleman) składającego się z pary kluczy – publicznego i prywatnego – służących do silnego szyfrowania. Klucz publiczny rejestruje się na giełdzie, a poufny klucz prywatny służy do odszyfrowywania przekazywanych danych.
Innym rozwiązaniem jest zastosowanie uwierzytelniania dwuskładnikowego 2FA np. za pomocą SMS-a i Google Authenticator. Spośród tych dwóch specjaliści zalecają Google Authenticator. Ważne, żeby zapisać klucz resetowania na wypadek, gdyby trzeba było przenieść kody 2FA na nowy telefon komórkowy.
Uwierzytelnianie SMS-em może być łatwiejsze w użyciu, jest jednak uważane za mniej bezpieczne niż Google Authenticator. - Trzeci krok to konfiguracja ograniczeń dostępu według adresu IP. Zabezpieczenie działa podobnie jak lista zaufanych urządzeń, które mogą połączyć się z domową lub biurową siecią WiFi.
- Czwarte zabezpieczenie wymaga sporządzenia whitelisty portfeli kryptowalutowych. Taka lista zawiera adresy portfeli ze zgodą na przyjmowanie przelewów środków kryptowalutowych. Wszelkie próby wysłania środków na adres spoza whitelisty są automatycznie blokowane.
- Kolejne to konfiguracja uwierzytelniania dwuskładnikowego kluczem sprzętowym. Klucz to urządzenie uwierzytelniające, które stanowi dodatkowe zabezpieczenie kont internetowych, oprócz nazwy użytkownika i hasła. Użytkownik, logując się na giełdę, podaje swoją nazwę i hasło, ale drugi składnik logowania jest zapisany na fizycznym kluczu, który musi zostać podłączony do komputera.
- Szósty poziom bezpieczeństwa to wiedza. Każdy kryptoinwestor powinien dowiedzieć się jak najwięcej o metodach cyberprzestępców, którzy będą chcieli wyłudzić od niego dane jego konta (phishing).
- Siódme zabezpieczenie to minimalizacja limitów wypłat. To taka sama zasada jak w przypadku ustalenia limitów jednorazowej wypłaty kartą bankomatową. Nawet jeżeli potencjalny złodziej pokona wszystkie inne zabezpieczenia i zdobędzie fizyczny klucz, nie będzie w stanie jednorazowo wyczyścić całego konta.