Як хакери зламують криптоботов на біржах і крадуть наші гроші. Найпопулярніші способи

Криптоиндустрия приваблює мільйони клієнтів і тисячі шахраїв. Нерегульований «Дикий Захід» цієї сучасної фінансової сфери включає божевільну волатильність, цілодобову торгівлю і анонімні транзакції, приховані від урядів і регуляторів. Хакери завжди готові вкрасти мільйони доларів у крипті у недосвідчених власників токенів. Шахраї застосовують різні схеми – від традиційного фішингу до злому буфера обміну, щоб підмінити адреси гаманців.

Один сучасний підхід пов'язаний з маніпуляціями з криптоботами і API. Шахраї можуть скомпрометувати автоматизоване торгове на біржах і розміщувати будь-які заявки або отримати доступ до конфіденційних даних користувачів. Якщо ви роздумуєте про використання ботів, не забудьте детальніше почитати про їх характеристики, уразливість і заходи безпеки.

Основи криптоботов

Криптовалютные торгові боти – це програми, які аналізують ринки і автоматично розміщують ордера. Враховуючи високу волатильність і постійні зміни криптомира, боти зручні, так як можуть моніторити ринок в режимі 24/7/365. Вони також вміють регулярно розміщувати ордери на покупку/продаж і приносять більше прибутку.

Звучить чудово, чи не правда? Тим не менш торгові боти не бездоганні. Це відносно складні системи, строго з заданими користувачем параметрами, і тому вимагають уважної налаштування. Крім того, просунуті програми можуть мати щомісячну комісію. Це означає, що можна легко втратити гроші, якщо не знати, як правильно користуватися цим інструментом. Перш ніж замовляти або створювати бота, найкраще згадати загальні характеристики ЗА преміум-класу:

• надійність;
• прозорість;
• прибутковість;
• простота користування;
• безпека.

Мабуть, останній пункт найбільш важливий, оскільки він тісно пов'язаний з захищеність ваших грошей. Будь бот – золота жила для хакерів або фішерів, так що особливу увагу приділіть захисту використовуваного торгового або платформи. Перш ніж починати будь-яку діяльність, перевірте заходи безпеки всіх бірж, перерахованих на .

Недоліки автоматизованої торгівлі

Джерело: Unsplash

Криптоботы виконують доручення, взаємодіючи з прикладними програмними інтерфейсами (API) бірж. Як наслідок, ми маємо сценарій, де дві машини взаємодіють без ручного контролю.

Проблема в централізованому характер торгових ботів і платформ. Оскільки хакери не можуть отримати доступ до блокчейн-систем через їх майже ідеальною безпеки, вони фокусуються на традиційних системах з центральним сервером, які покладаються на особисті дані на зразок паролів адрес електронних гаманців або ключів. А зламати машини, що працюють незалежно, ще простіше. Таким чином, боти і API володіють трьома основними недоліками. Їх наслідками можуть бути наступне.

• Невигідні угоди. Якщо хакери отримають доступ до першого рівня торговельного інтерфейсу, то зможуть лише розміщувати заявки. Зрозуміло, вони будуть укладати угоди, вигідні їм, а не вам.
• Розкрадання грошей. Другий рівень дає можливість вивести гроші. Очевидно, що хакери зроблять це після розміщення декількох заявок і отримання достатнього прибутку.
• Отримання доступу до конфіденційних даних. Крім угод купівлі/продажу, шахраї можуть отримати доступ до особистої інформації за типом ключів від криптокошельков, прив'язаних до боту.

Хакери і їх інструменти

Хакери можуть зламати систему і змінити код, щоб задати ботам нові алгоритми. Власники можуть навіть не помітити цих змін і далі використовувати своє торговельне. Існують і інші способи злому ботів, торгових програм або API.

Нижче наведені приклади різних технічних підходів до злому криптоботов.

API

Як уже згадувалося, боти взаємодіють з API бірж – специфічними інтерфейсами, що дозволяють автоматично розміщувати заявки. Як правило, ці системи мають кілька рівнів дозволів, захищених унікальними ключами. Використовуючи схеми , хакери можуть отримати доступ до цих ключів та зламати систему.

У числі найбільш яскравих прикладів шахрайського використання API – випадок Binance. API цієї біржі має три типи дозволів: на читання, торгівлю і висновок. У липні 2018 року хакери доступ до перших двох рівнів, штучно роздули ціну монети і перевели величезні суми на рахунку і на висновок, які вони контролювали ще до цього. В результаті Binance тимчасово закрилася, виконала скидання всіх ключів і провела повне тестування системи безпеки.

У чому ж проблема? Binance – платформа з високим рівнем , але централізована. Професійні хакери можуть легко викрасти ключі і отримати контроль над торговими ботами або API.

Програми

Цей приклад простий і частково відсилає до попереднього. Всім відомі торгові додатки для ПК або смартфонів, які дозволяють легко і зручно розміщувати заявки. Дані програми не є ботами, так як вимагають ручного контролю, але вони теж засновані на API, що робить їх уразливими.

Можна згадати для прикладу , створені шахраями для Android. Їх можна безкоштовно скачати в Google Play, тому користувачі просто надавали хакерам свою особисту інформацію та дані своїх акаунтів. Підроблені біржові програми – це різновид фішингу, що використовується злочинцями для отримання доступу до користувальницьким гаманців або акаунтів. Томубудьте обережні і завжди використовуйте двофакторну аутентифікацію.

Розширення

Деякі торгові боти можуть представляти собою розширення для браузерів. Вони здаються дуже зручними, оскільки дозволяють торгувати швидше і завжди контролювати процес. Однак ми радимо під що б то ні стало уникати подібних розширень, так як вони зазвичай шкідливі. Плагіни і розширення для браузерів можуть ваше апаратне забезпечення або просто копіювати все, що ви вводите, включаючи ключі і паролі.

Боти в Slack

Криптомошенники також використовують різні програми і канали Slack. У 2017 році повідомлялося про кіберзлочинців на розробників блокчейн-проектів за допомогою ботів в Slack. Хакери використовують схеми фішингу, повідомляючи користувачів про потенційно вигідних угодах і надаючи посилання на шахрайський сайт, який просить ввести особисті дані або увійти в гаманець.

Як захиститися від зломів

На закінчення трохи інформації про заходи безпеки, які слід вжити при взаємодії з криптовалютными торговими програмами, програмами або інтерфейсами. Ось найбільш цінні підказки.

• Зберігайте ключі від API в безпечному місці. Ні з ким не діліться вашими особистими даними за типом ключів від ботів, приватних адрес криптовалютных гаманців і паролів.
• Вимкніть автоматичний вивід коштів. Краще витратити час, щоб робити це вручну. В такому випадку хакери потенційно зможуть укладати невигідні угоди, але не зможуть вкрасти ваші гроші.
• Вивчіть якомога більше інформації. Боти – досить складні інструменти, тому не полінуйтеся і прочитайте про торгівельних стратегіях, параметри та заходи захисту.

У цілому, покладайтеся тільки на перевірене і не забувайте про «гігієну в інтернеті». Боти, можливо, корисні і вигідні, але це машини, які можна зламати, як і будь-яке інше обчислювальне пристрій. Більше інформації шукайте в .