Индустрия криптовалют стремительно развивается и разработчики стараются минимизировать риски для пользователей. Но многие места еще остаются уязвимыми для злоумышленников, пишет РБК Крипто.
Рост крипторынка, инвестиционные вливания и некоторая анонимность сделали эту отрасль привлекательной для огромного количества разного рода аферистов. Мошенники не перестают изобретать новые способы обмана.
Только за последнее время взлом аккаунта Beeple принес злоумышленникам $438 тыс. в NFT, актер Сет Грин потерял NFT на сумму $300 тыс. при переходе по фишинговой ссылке, а за весь 2021 год было украдено криптовалюты на рекордные $14 млрд.
Уязвимые места криптовалютой инфраструктуры
Опыт в сфере правовой защиты криптовалютных активов показывает, что активы, хранящиеся на бирже, с большой долей вероятности могут привлечь внимание злоумышленников, рассказал юрист Criminal Defense Firm Даниил Горьков.
По его словам, в случае взлома и кражи криптовалюты со счета, возможность успешного и полного возврата криптоактивов невысока, а граждане фактически никак не защищены от потери собственных вложений.
«Сейчас наиболее распространены такие способы хищения криптовалюты, как фишинг или ложные обещания быстрого и гарантированного увеличения капитала, которые с точки зрения уголовного законодательства подлежат квалификации по ст.159 УК РФ «Мошенничество», — объяснил эксперт.
Мошенники чаще всего используют неосведомленность граждан в технологии блокчейн, добавил основатель компании LFCS Legal Support Юрий Брисов. Он полагает, что самые примитивные способы мошенничества сводятся к продаже пластиковых монеток «биткоинов» на бензоколонках, а чуть более сложная вариация — это листинг токенов с идентичным или похожим названием на бирже. Например, мошенники могут выпустить токен BTC+ и обмануть пользователей, которые не ориентируются в криптомире.
«Есть и недавние примеры, когда мошенники, использовав технологию deep fake, под видом знаменитостей в телеграм-каналах и роликах на YouTube выманивали из людей секретные фразы, которые позволяют зайти в кошелек с любого устройства», — рассказал Брисов.
Популярными схемами кражи криптовалюты остаются методы социальной инженерии, фишинговые сайты и вирусы, меняющие адрес получателя при отправке транзакции, по мнению сооснователя ENCRY Foundation Романа Некрасова.
«Социальная инженерия — это когда пользователь получает сообщение якобы от кошелька или биржи, которыми он пользуется, с призывом выполнить какую-то транзакцию, зайти в свой аккаунт или установить какую-то новую программу «для сохранения средств ввиду угрозы безопасности», — уточнил Некрасов.
Он предупредил, что ссылка, которая указана в письме, ведет на фишинговый сайт, выглядящий точь-в-точь как оригинал. Но как только пользователь вводит свой логин и пароль, то их тут же получают мошенники, которые используют эту информацию для входа в аккаунт пользователя на реальном сайте биржи или кошелька.
«Malware (вредоносное ПО), которые меняют адрес получателя, работают следующим образом: при отправке транзакции пользователь вводит адрес получателя, но на следующем шаге вирус меняет этот адрес на адрес кошелька мошенника. Если не проверять адрес получателя непосредственно перед отправкой, то монеты уйдут в руки мошенникам», — объяснил специалист.
Есть и другие, более технически сложные решения для кражи монет, но самым простым остается метод взлома человека, а не кода, уверен Некрасов.
Разработчики против мошенников
Разработчики могут решить проблему безопасности, если она на их стороне — продумать схему противодействия манипуляциям с пулами ликвидности, усилить защиту криптомостов, не допускать утечек данных пользователей, считает сооснователь ENCRY Foundation Некрасов.
«Но если речь идет о фишинге, то все, что они могут, это бесконечно напоминать пользователю о необходимости проверять, на тот ли сайт он перешел, не является ли сайт фишинговым, не хранить сид-фразы в облачных хранилищах, откуда их могут выкрасть и так далее», — заключил эксперт.
На данный момент разработчики больше сражаются с хакерами, а не с мошенниками, говорит основатель компании LFCS Legal Support Брисов. Он указал, что случаи мошенничества в большинстве своем связаны скорее с человеческой природой (жадностью и глупостью), а не с уязвимостями системы.
Брисов рассказал, как недавний дроп проекта PYRAMIDxNFTMASTERS скопировали злоумышленники и выставили на том же маркетплейсе в 10 раз дешевле. Но служба поддержки быстро удалила поддельные предметы после сообщения о мошенничестве.
«Хакеры же, напротив, ударяют скорее по самой системе, чем по отдельным пользователям. Например, они могут «взломать» смарт-контракт и вывести оттуда токены или атаковать биржу», — пояснил собеседник.
Что делать тому, кто стал жертвой мошенников
Несмотря на то, что инициируемое в нужный момент производство по уголовному делу и увеличивает шансы на возврат активов, оно отнюдь не гарантирует его, уверен юрист Criminal Defense Firm Горьков.
Эксперт сформулировал общие правила по возврату похищенной криптовалюты и перечислил необходимые шаги:
- Определить точный размер причиненного вам материального ущерба;
- Обратиться к профессионалам в области уголовного права и права высоких технологий — адвокатам и юристам;
- Привлечь специалиста для отслеживания транзакций (переводов) криптовалюты с использованием высокотехнологичных программ;
- Составить и подать мотивированное заявление о возбуждении уголовного дела в компетентный правоохранительный орган.
Эффективное сочетание технологической составляющей и понимания работы правоохранительной и судебной систем значительно повысит шансы на возвращение активов, признался юрист.
«Прежде всего нужно связаться с биржей или маркетплейсом, описать кейс. Важно действовать молниеносно», — не согласился с ним Брисов.
Он порекомендовал дальше обратиться к уголовному адвокату, специализирующемуся на цифровых преступлениях и расследованиях. По его словам специалиста, обращаться в полицию самостоятельно как правило не эффективно, так как сотрудники МВД, причем не только российские, пока что не обладают всеми необходимыми навыками, чтобы расследовать факты цифрового мошенничества.
«Полиция может помочь, если кейс будет сопровождать юридическая фирма, имеющая надлежащую техническую базу и опыт. В противном случае будет проблема со сбором доказательств и с надлежащей криминалистической квалификацией деяний», — заметил Брисов.
Он добавил, что на стадии судебного разбирательства проблем уже не возникает и суды вполне адаптировались к виртуальным активам и цифровым преступлениям.
Некрасов добавил, что есть много случаев успешного расследования краж монет за рубежом, но в России пока практика показывает, что правоохранительные органы с трудом расследуют такие дела. Проблемы начинаются уже на этапе возбуждения уголовного дела.
«Теоретически помочь могут, практически — дела висят годами и не расследуются. Можно посмотреть на дело криптобиржи WEX, где несмотря на десятки, возможно сотни обращений до сих пор нет какого-то существенного продвижения», — заметил Некрасов.
Но он все же считает, что писать обращение в полицию необходимо. Со временем такие дела будут расследоваться быстрее, если количество таких обращений достигнет какой-то критически важной отметки.