Кивино гнездо: Обратная сторона битмонеты Киви Берд

Кивино гнездо: Обратная сторона битмонеты

Киви Берд

Опубликовано 20 июня 2011 года

Что происходит?

Платежная система BitCoin называет себя «пиринговой валютой» и на основе программ с открытым исходным кодом реализует полностью децентрализованную криптографическую схему цифровых наличных. Новые виртуальные деньги так и называются — биткойны, то есть «битовые монеты».

В последние месяцы система BitCoin быстро стала набирать популярность, а обменный курс биткойна начал стремительно расти. Предсказуемой стороной этой популярности стало то, что Биткойном сильно заинтересовались мошенники.

Первый зарегистрированный случай крупного хищения был отмечен на официальном форуме пользователей Bitcoin 13 июня 2011 года. Один из давнишних участников этого сообщества, известный под экзистенциальным псевдонимом Allinvain (Всенапрасно), в состоянии глубочайшего эмоционального отчаяния известил сограждан, что обнаружил ужасную вещь: какие-то гады одним махом похитили у него все нажитые в системе деньги — порядка 25 тысяч биткойнов. По текущему курсу обмена эта сумма была эквивалентна пятистам тысячам американских долларов, так что крайняя степень отчаяния жертвы была вполне объяснима.

Поскольку произошло подобное впервые, то поначалу многие восприняли известие как розыгрыш или очередной пиар-трюк энтузиастов для подогревания интереса к проекту. Однако открыто доступная для всех информация о трансферах в сети Bitcoin (сервис Blockexplorer.com) документально подтверждает, что 25000 битмонет действительно были перекачаны за один раз с одного анонимного адреса (жертвы) на другой адрес (неизвестно кого). Кроме того, в ходе обсуждения на форуме быстро выяснилось, что аналогичные кражи биткойнов, только в значительно меньших масштабах, происходили и у других пользователей.

Когда преступление такого типа совершается с обычными деньгами, то банки, если повезёт, могут заморозить счёт похитителей и установить их личности. И даже в тех случаях, когда умелому вору удаётся скрыться, у банков нередко имеется возможность обратить транзакцию и вернуть деньги, украденные у жертвы.

Виртуальная валюта Bitcoin изначально была разработана так, чтобы транзакции были необратимыми, чтобы не было никаких посредников и никакого центрального органа управления и чтобы адреса пользователей (которые фактически работают как их номера финансовых счетов) оставались анонимными. Для пострадавших от краж все эти особенности системы означают, что дело не просто плохо, а почти безнадёжно.

На практике анонимность биткойнов не может обеспечиваться всегда и всюду. Хотя пользователи системы имеют возможность генерировать любое количество адресов Bitcoin, скрывая за ними свою личность при транзакциях в рамках сети, по крайней один из адресов всё равно придётся привязать к реальной личности — как только возникает необходимость во взаимодействии с оффлайном. Типичный пример такой ситуации — когда надо ввести адрес доставки для онлайновой покупки.

Другой распространённый пример: пользователи должны раскрывать свою личность в тех случаях, когда надо обменять биткойны на другие валюты. Это требование относится как к крупным обменным пунктам, вроде MtGox, так и к мелким частным менялам.

Ещё одна бесспорно помогающая в расследованиях особенность системы — это публичная доступность всей истории транзакций биткойнов через уже упоминавшийся сервис blockexplorer.com. То есть при определённых затратах усилий маршрут движения украденных биткойнов в принципе может быть отслежен. Однако зашитая в систему анонимность и здесь проявляет свою обоюдоострую природу. Хотя жертвы могут, к примеру, доказать, что объявленные похищенными биткойны в какой-то момент времени принадлежали именно им, они не смогут доказать, что адрес, на который эти биткойны были переведены, в действительности не является также их собственным адресом.

Пока среди пользователей Bitcoin и просто интересующихся разворачивались подобные обсуждения, попутно стал известен и общий механизм, с помощью которого битмонеты похищаются жуликами. Ничем принципиальным, надо сказать, этот механизм не отличается от давно известных атак и представляет собой сочетание социального инжиниринга с подсаживанием в компьютер троянского коня, отыскивающего в машине файл-кошелёк. Единственная особенность: и фишинг-атака, и выявленные троянцы на этот раз были специально ориентированы на пользователей Bitcoin.

Как известно, разные антивирусные фирмы по давней традиции присваивают новым вредоносным программам свои собственные названия, так что один и тот же вредитель быстро начинает фигурировать в новостях под множеством разных имён. Поэтому и в данном случае создалось впечатление, что одновременно было выявлено сразу несколько троянцев, ворующих деньги из кошельков Bitcoin. Много в текущий момент программ такого типа или нет, уже не важно. Вполне очевидно, что число и умение вредителей будет лишь нарастать вместе с ростом популярности Bitcoin.

Кто виноват?

Когда Allinvain издавал свой вопль отчаяния в связи с утратой нажитого состояния, он не смог, ясное дело, удержаться и от упрёка в сторону так сильно огорчившей его системы: «Понятно, что доверие мое к Bitcoin сильно пошатнулось»...

Однако, рассуждая спокойно и без эмоций, винить саму систему здесь в общем-то не за что. Потому что главная задача платёжной системы в целом — это надёжная защита от подделок и защита транзакций от мошенничества. Эти вещи в Bitcoin продуманы действительно хорошо, и претензий к ним пока ещё никто не выдвигал.

Действительно слабое место в безопасности системы — это, конечно, компьютер пользователя, где обычно хранится или подключается файл кошелька wallet.dat. В этом файле, помимо собственно имеющихся денег, хранятся криптографические ключи, которые открывают доступ к BitCoin и обеспечивают возможность пересылать монеты. Но, как и в случае с обычными наличными в кошельке, всем должно быть совершенно ясно, что защиту пользователю придётся обеспечить самому.

И если пользователь хранит все свои деньги в одном файле-кошельке, который постоянно лежит в стандартной папке компьютера, работающего под ОС Windows (а в упомянутом случае так и было), то одно можно сказать определённо. Раньше или позже деньги из такого кошелька непременно свистнут, и винить за это (помимо воров, конечно) остаётся лишь самого беспечного владельца.

Что на данный счёт думают сами разработчики платёжной системы? Журналистам из Ars Technica удалось побеседовать о произошедшем хищении с Гэвином Андресеном, техническим лидером проекта Bitcoin.

В первую очередь Андресен подчеркнул, что в любой подобной ситуации технически весьма сложно подтвердить правдивость заявления о хищении: «Все транзакции Биткойна широко распространяются в сети. Так что если кому-то захотелось бы объявить, что они потеряли кучу биткойнов (дабы вернуть их обратно), то с аналогичным успехом они могли бы объявить и то, что любая другая транзакция в этой сети также принадлежит им».

К сожалению, раз подобные атаки возможны, то они наверняка будут случаться и дальше. В связи с этим Андресен повторил то, что подчёркивает во всех своих выступлениях: Bitcoin — это прежде всего эксперимент. Что поделать: для парня, который потерял кучу биткойнов, это, к сожалению, оказался очень дорогой эксперимент.

По словам Андресена, сейчас в системе не существует эффективной инфраструктуры для отслеживания украденных биткойнов. Мало того, хороший механизм для обращения неавторизованных транзакций, может, так никогда и не появится. Транзакции биткойнов по своей природе сконструированы так, чтобы быть необратимыми. И даже если бы это было технически достижимо, добавление механизма для оспаривания транзакций породило бы новые сложности — подобный механизм тоже можно использовать для мошенничества.

Что делать?

Сейчас Bitcoin проходит тестирование. Станет ли он когда-нибудь готовой системой для широких масс? Андресен считает, что в конечном итоге именно так и будет. По его мнению, протокол Bitcoin обладает достаточной гибкостью, чтобы поддерживать работу таких клиентских программ, которые способны обеспечивать безопасность и в более продвинутой форме — помимо доступных сейчас средств типа шифрования кошелька и его хранения на съёмном носителе. Например, будущий клиент мог бы разделять секретный ключ пользователя между его ПК и сотовым телефоном. Тогда биткойны этого пользователя будут оставаться в сохранности до тех пор, пока злоумышленникам не удастся скомпрометировать оба устройства.

Другое достаточно очевидное направление для укрепления безопасности — использование посредников. В мире обычных финансов, как известно, традиционная банковская система предлагает потребителям такую защиту против мошенничества, которую довольно сложно воспроизвести в любой системе без посредников. Например, в США при использовании платёжных карт федеральные правила ограничивают ответственность клиента за мошеннические транзакции суммой в размере пятидесяти долларов. А некоторые банки вообще предлагают такие карты, которые ограничивают ответственность клиента до нуля.

Аналоги сервисов-посредников, защищающих от мошенников, в принципе можно создавать поверх имеющейся инфраструктуры «Биткойн». Более того, подобные сервисы уже работают. Например, сервис ClearCoin удерживает предназначенные для продавцов платежи на депозите до тех пор, пока покупатели не получат свои заказы. Это делает покупки за биткойны менее рискованным делом.

Другие сервисы, вроде MyBitcoin, хранят у себя биткойны по поручению своих клиентов. Предполагается, что подобные сервисы «онлайновых кошельков» будут более целенаправленно и эффективно заботиться о безопасности своих хранилищ, нежели индивидуальные пользователи.

Но проблемы с безопасностью, к сожалению, никогда не решаются просто. Сеть Bitcoin изначально задумывалась как платёжная система без всяких посредников. Наивно было бы считать, что недостатки банковской системы без посредника можно нейтрализовать путем введения в неё посредников.

Как только значительное число пользователей станет взаимодействовать с «Биткойном» через сервисы вроде MyBitcoin, то сразу же начнут исчезать громко провозглашавшиеся преимущества всей этой системы. Если ваши биткойны хранит некая третья сторона, вроде MyBitcoin, то государственные власти всегда смогут, к примеру, заставить сервис MyBitcoin заморозить ваш счёт — точно так же, как они могут заставить это сделать всякий традиционный банк.

В общем, идеальных решений на все случаи жизни ждать не приходится. Но одно можно сказать совершенно определённо. С течением времени обезличенная цифровая валюта Bitcoin всё больше становится похожей на настоящие деньги. Поэтому явно имеет смысл обращаться с ней как минимум не менее аккуратно и внимательно, нежели с настоящими наличными.

Или даже более тщательно, потому что ваш реальный кошелёк с деньгами в любой момент не может украсть нехороший человек, находящийся где-нибудь в Нигерии или в Аргентине. В отличие от файла-кошелька с биткойнами.

К оглавлению