ICO под ударом

Число краж в криптоиндустрии в 2017 году выросло в 10 раз

Рядовые пользователи и успешные компании в равной мере рискуют потерять деньги из криптокошельков за считанные минуты. Но угрозы не пугают инвесторов, и рынок ICO показывает невероятную динамику роста, аккумулируя все больше денег.


Внимание к токенам

ICO (Initial Coin Offering) как способ привлечения инвестиций посредством выпуска аналогов ценных бумаг (токенов) стал серьезным трендом. За последние 4 года рынок вырос в 440 раз, констатируют эксперты.

По данным исследования Ernst & Young (2018 год), за 372 случая финансирования через первичное размещение токенов компании получили 3,7 млрд долларов.

Криптостартап Filecoin, который представляет собой децентрализованное хранилище данных, позволяющее арендовать пространство жестких дисков Filecoin, смог привлечь в 2017 году рекордные 257 млн долларов.

Tezos через токены Tezzies предложил оригинальный сетевой протокол, обеспечивающий безопасные смарт-контракты, и за считанные дни заработал 232 млн долларов.
Kik Messenger из Канады придумал криптовалюту Kin и получил от инвесторов 97 млн долларов.

Рейтинг прошедших и текущих проектов можно увидеть на специализированных ресурсах.

Среди ICO много необычных проектов. К примеру, VOISE — это децентрализованная музыкальная платформа для независимых артистов, а bitJob — студенческий рынок рабочих мест.


Фишинг — главная угроза

Согласно исследованию Ernst & Young, из привлеченных в 2017-м посредством ICO средств, 10% были украдены. Число кибератак в этом сегменте в прошлом году увеличилось в 10 раз, посчитали в Group-IB.

Хакеры все чаще производят подмену адресов криптокошельков на тех ресурсах, где проводится финансирование через краудфандинг. Это приводит к тому, что участники ICO, находясь в неведении, переводят средства на счета злоумышленников.

Мошенники «заботятся» о пользователях, поэтому фальшивые сайты визуально сделаны лучше, чем настоящие, и часто находятся на первых позициях в поисковиках, отметил на Cyber Security Forum 2018 (CSF) эксперт по информационной безопасности Group-IB Илья Обушенко.

56% потерянных денег на ICO приходится на фишинг. Группировки, специализирующиеся на создании сайтов-клонов, зарабатывают около миллиона долларов в месяц.

Фишинговые проекты часто сопровождаются DDos-атаками, рассказал И. Обушенко. При нападении на серверы происходит отказ в обслуживании, и настоящий сайт становится недоступен. В это время у хакеров есть возможность привлечь пользователей к поддельному ресурсу.


Уязвимые инвесторы

Злоумышленники также «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher для сбора логинов и паролей пользователей криптовалют, констатировал на CSF руководитель Group-IB Илья Сачков.

Это «перепрофилирование» говорит о том, что преступники нашли для себя новую прибыльную нишу и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.

Взломы криптовалютных бирж мошенники проводят по схожим схемам, что и атаки на банки

К примеру, злоумышленники по поддельным документам получают SIM-карты для восстановления паролей и получения контроля над счетами.
Нападение на криптокомпании не сложнее атак на финансовые учреждения, зато уровень безопасности здесь ниже, говорится в отчете Group-IB.


Человек — слабое звено

Летом 2016 года крупнейший краудфандинговый проект The DAO из-за уязвимостей в смарт-контракте потерял более 60 млн долларов. Etherium-кошелек Parity по причине несовершенного кода лишился 30 млн долларов (150 тыс. ETH). С биржи Bitgrail в августе 2016-го пропали 120 тыс. биткоинов (72 млн долларов) — 0,75% от всего объема этой криптовалюты.

В процессе ICO израильского стартапа CoinDash в июле прошлого года через пять минут после размещения токенов произошел взлом и подмена официального адреса. Злоумышленники похитили 7,5 млн долларов.

По словам И. Обушенко, атак хакеров можно ждать на всех этапах создания блокчейн-проекта. Но самым слабым звеном в цепочке безопасности остается человек. И зачастую от надежности личного кошелька зависит безопасность всей компании.

Из-за взлома почтового ящика одного из основателей блокчейн-стартапа Enigma в августе 2017-го злоумышленники получили доступ ко всей инфраструктуре проекта еще на этапе pre-ICO (предварительной продажи токенов). В результате им удалось похитить 500 тыс долларов.

Чтобы предотвратить доступ мошенников к персональной информации, И. Обушенко посоветовал применять сложные пароли, например, четверостишия в раскладке на английском.

Для уменьшения рисков Group-IB рекомендует анализировать смарт-контракты на наличие уязвимостей, проводить аудит исходного кода, не забывать о новых версиях программного обеспечения, использовать систему раннего обнаружения фрода


Дорожная карта для ценных бумаг

White Paper (WP)– основной документ, который организаторы токенсейла представляют конечным пользователям. В нем описаны протоколы, особенности создаваемой сети, указано детальное обоснование необходимости токена, ожидания от реализации проекта.

Если в WP говорится о прибыли и доходах — того, что относится к классическому финансовому рынку, то заявленный токен может быть приравнен к ценной бумаге (security-токен), отметил адвокат Digital Rights Center Саркис Дарбинян. Такие критерии летом 2017-го (по итогам инцидента на площадке The DAO) принял американский регулятор SEC (Комиссия по биржам и ценным бумагам США).

Кроме определения правовой природы токена (ценная бумага или нет), организатор проекта должен предъявить лицензию на привлечение средств и обозначить ее юрисдикцию.

По мнению С. Дарбиняна, удивительно, что владельцы токенов (токенхолдеры) планируют зарабатывать десятки миллионов долларов, но иногда жалеют средств на лицензию на инвестиционную деятельность. Документ стоит около 250 тыс. швейцарских франков (около 266 тыс. долларов).

Более безопасно, если токены продаются за Etherium. В случае, если цифровые активы предлагаются за доллары, рубли, биткоины, возникает намного больше уязвимостей, объяснил С. Дарбинян.

Чтобы дать уверенность покупателям токенов, эксперты советуют участникам рынка составлять детальную «дорожную карту» ICO с указанием ключевых разработчиков, расходов на каждом этапе и т. д.

Таким планом действий располагает российский стартап DARFChain. Компания предлагает решение по проведению аудита ICO-проектов в режиме реального времени.

«Мы сегодня готовимся к выходу на ICO и применяем комплексные меры безопасности — пользуемся cloudflare от DDos, развертываем смарт-контракты с новых пустых кошельков и так далее», — рассказал RSpectr основатель и управляющий партнер Darfchain Станислав Тактаев.


Ориентир для «младших»

Права криптоинвесторов сегодня не защищены международным правом и в большинстве случаев национальными законами.

Осенью 2017 года токенхолдеры, чьи проекты не находятся в юрисдикции России, обращались в суд по месту жительства, поскольку это разрешает закон о защите прав потребителей (ЗЗПП), рассказал С. Дарбинян. Истцам было отказано с формулировкой «приобретая токены, вы ставили целью получение прибыли», что не регулируется ЗЗПП.

«Заканчиваются времена „Дикого Запада“, когда организатор токенсейла мог заявлять любые идеи, и ему за это ничего не было», — констатировал эксперт. Комиссия по биржам и ценным бумагам США уже заставляет площадки возвращать инвесторам средства.

Судебные иски были поданы на Tezos. В итоге компанию обязали отдать 232 млн долларов, поскольку токены не были зарегистрированы как ценные бумаги.
Стартап Munchee после расследования SEC вернул инвесторам собранную в ходе ICO криптовалюту на сумму 15 млн долларов. Документ размещен на сайте регулятора.

Против ICO-проекта Centra, за которым стоял знаменитый боксер Флойд Мейвезер, в декабре 2017 года подан коллективный иск вкладчиков. SEC ранее предупреждала о рисках участия в первичных предложениях токенов, в продвижении которых участвуют известные люди.

Пока нет правового регулирования, всем нужно смотреть на «самого большого парня в классе», то есть на SEC. Его опыт собираются взять на вооружение регуляторы многих стран, отметил представитель Digital Rights Center.

В сентябре 2017 года комиссия создала киберподразделение, отслеживающее мошенничество в ICO. А в феврале 2018-го СМИ сообщили, что SEC готова обсуждать вопрос о переносе регулирования криптовалютных бирж на федеральный уровень (пока находится в компетенции штатов).

В декабре 2017-го Комиссия по биржам и ценным бумагам США обнародовала документ, описывающий риски при проведении первичного размещения токенов. Эксперты обратили особое внимание на транснациональный характер рынка ICO.

Первый судебный иск в истории ICO SEC подала осенью 2017 года. Дело о мошенничестве возбуждено в отношении россиянина Максима Заславского.

***
Легализация ICO обсуждается и в России. Центральный банк и Минфин подготовили проект федерального закона «О цифровых финансовых активах», который даст гарантии безопасности участникам криптовалютного рынка. Документ может быть принят в марте 2018 года.

Изображение: lori.ru