Запуск и фишинговая атака: как DEX Waves начала работу

По данным блокчейн-проекта Waves, новая децентрализованная биржа компании (DEX) на момент окончания бета-тестирования в прошлом месяце способствовала осуществлению криптовалютных транзакций объемом $6 млн долларов в день. Это в шесть раз больше ежедневного объема, которым AirSwap — конкурент биржи — хвастался во время своего апрельского дебюта.

Waves также сообщила, что биржа насчитывает 90 000 трейдеров, использовавших 330 000 кошельков в преддверии окончательного запуска на этой неделе. Эти цифры значительно превышают сопоставимые показатели для других DEX.

Есть несколько причин такой впечатляющей работы. Одна из них – скорость и внимательность централизованной службы координации платформы. Еще одна причина заключается в том, что почти любой трейдер может выпустить токен на уникальном блокчейне Waves и мгновенно начать торговать им за биткоин на бирже. Ну и самое главное – проверки KYC для трейдеров необязательны, за исключением некоторых случаев.

Однако для биржи все складывается не так радужно, как может показаться на первый взгляд.

Во вторник, когда Waves официально закончила полуторагодовой период бета-тестирования и запустила полную версию DEX, хакеры проникли на сайт биржи, а также на сайт основной компании с целью фишинга информации личных кошельков пользователей. Waves потребовалось несколько часов, чтобы возобновить работу сайта после восстановления доступа к DNS-серверу.

«Кто-то просто предоставил поддельную копию моего паспорта персоналу доменной компании, и по его просьбе они поменяли пароль, после чего злоумышленники смогли получить доступ к основному сайту», — сказал генеральный директор Waves Александр Иванов.

Несмотря на это, уверенность Иванова в светлом будущем биржи не была подорвана критикой в отношении инцидента и безопасности площадки. Он надеется, что даже банки начнут запускать валюты на его DEX:

«Мы пытаемся заключить партнерские соглашения с крупными банками потому что надеемся, что они захотят выпускать собственные фиатные токены на нашей платформе».

Как это работает

Чтобы совершать транзакции на DEX, пользователям нужны токены Waves. Проект привлек $22 миллиона через продажу своих токенов в 2016 году. Эти же токены используются для запуска смарт-контрактов и поощрения операторов узлов на блокчейне Waves. Похожая модель используется в Эфириуме.

Сеть собрала более 200 уникальных узлов, среди которых и управляемые канадской мобильной игровой компанией RewardMob.

«Теперь нам не нужно беспокоиться о контроле валют из разных стран и о том, что игроки желают вывести деньги в разных валютах. Это позволяет игрокам торговать своими токенами с другими игроками. Работа децентрализованной биржи стала ключевым фактором, повлиявшим на наше решение работать с Waves», — сказал генеральный директор RewardMob Тодд Кох (Todd Koch).

Его компания запустила свой токен на базе Waves и готовится к ICO. RewardMob управляет токенизированными наградами для нескольких видеоигр и поддерживает работу кошельков более чем 100 000 пользователей.

«Мы хотим интегрировать DEX прямо в наше приложение. Тогда, зарабатывая нашу валюту, игрок сможет легко обменять ее на Waves или биткоин или любую другую криптовалюту», — сказал Кох.

Так как программное обеспечение Waves DEX для координации пользователей является приложением с открытым исходным кодом, многочисленные узлы могут запускать свои  координационные сервисы и зарабатывать комиссии (в токенах Waves) за обработку сделок.

Однако большинство сделок проходит через собственный сервис координации Waves. Дин Эйгенман (Dean Eigenmann), сооснователь блокчейн-стартапа Harbour и DEX-проекта Dexy, счел этот подход сомнительным, заявив, что он подрывают основную цель концепции DEX, так как работа сервиса может быть остановлена по инициативе центрального органа.

Иванов признал, что нынешнее положение дел не соответствует децентрализованному духу биржи и должно измениться.

Соблюдение законов

DEX Waves обычно требует верификации личности в двух случаях: когда пользователи хотят вывести наличные деньги через чешского оператора платежей Coinomat – компанию, также принадлежащую Иванову; или когда они выпускают свой токен на платформе Waves, а затем добавляют его в открытый листинг на DEX.

По словам Иванова, выпуск токенов, которые будут торговаться в рамках опции закрытого листинга, не требует проверки личности. Обмен биткоинов на другие токены также не требует верификации.

«В данный момент вы можете осуществлять торговлю криптовалютами без прохождения проверок KYC», — сказал Иванов.

Однако Дрю Хинкс (Drew Hinkes), главный юрисконсульт и основатель криптовалютной консультационной фирмы Athena Blockchain, сказал, что эта возможность, вероятно, не распространяется на пользователей в США.

«Из руководства 2013 года, изданного FinCEN [Управлением Министерства финансов США по борьбе с финансовыми преступлениями], мы знаем, что многие участники криптовалютных сообществ должны соблюдать Закон о банковской тайне и правила AML, которые призваны бороться с отмыванием денег», — сказал Хинкс. «Эти программы должны включать системы идентификации клиентов».

Согласно этому руководству, если биржа принимает или осуществляет переводы виртуальных валют, или по какой-либо причине покупает или продает виртуальную валюту, то она является компанией, предоставляющей услуги денежных переводов и подпадает под полномочия FinCEN. Следовательно, такая биржа должна верифицировать личность своих клиентов.

«В руководстве говорится, что если компания предоставляет услуги денежных переводов, то FinCen не важно, использует ли она настоящие или конвертируемые виртуальные валюты», — сказал Хинкс, являющийся также внештатным преподавателем в Школе юридических наук Нью-Йоркского университета и Школе бизнеса Леонарда Н. Штерна.

Между тем RewardMob требует, чтобы пользователи предоставляли свою личную информацию, такую как полные имена и адреса, так как, по словам Коха, это требования канадского закона о тотализаторах.

Безопасность

Фишинговая атака на этой неделе не только затмила официальный запуск DEX, но также вызвала критику в отношении того, что для использования программного кошелька сайта пользователи Waves вводили на сайт свои фразы для восстановления доступа, действующие как пароли для криптокошельков.

Однако Иванов вынес из атаки другой урок. Он сказал: 

«Мы и вся индустрия должны работать над децентрализованной системой доменных имен».

Пресс-секретарь Waves добавила, что «DNS-серверы сайта Waves поддерживаются сервером-регистратором, и в этом случае их безопасность находится вне нашего контроля. Тем не менее, уровень безопасности сервера-регистратора действительно находится под вопросом, и поэтому в настоящее время мы оцениваем дальнейшие шаги, чтобы убедиться, что это одноразовое нарушение системы безопасности, которое никогда не повторится».

Однако инцидент не был первой проблемой в истории компании, которая связана с безопасностью.

В 2017 году аудит фирмы Kudelski Security, специализирующейся на кибербезопасности, показал, что, несмотря на общую «хорошую технику обеспечения безопасности», уникальный блокчейн Waves был восприимчив к нескольким типам атак. Также пароли пользователей были сохранены в базе данных незашифрованного текста, которая «может быть прочитана любым, кто получил доступ к файловой системе».

В ответ на это Иванов сказал:

«Большинство рекомендаций были выполнены. Что касается паролей, все критические моменты были исправлены, они все еще хранятся в открытом файле конфигурации».

Эйгенман сказал, что он не впечатлен инфраструктурой Waves или ICO проекта.

«Меня смущает уровень навыков разработки программного обеспечения, который встречается в некоторых подобных проектах», — сказал он. «Я не вижу никакой реальной ценности в токенах для бирж».

Согласно внутренним данным Waves, 23 июня трейдеры DEX обменяли токены Waves на биткоины на сумму $1.59 млн и на Monero на сумму $251 697. Иванов сказал, что он благодарен сообществу за поддержку ICO и стремится предоставить по-настоящему ценный сервис для глобального бизнеса.

«Наш блокчейн довольно быстрый», — сказал он, заявив, что Waves может обрабатывать 500 транзакций в секунду. «У нас очень активное бразильское и турецкое сообщество, вы даже можете обменять токен Lira на нашей бирже».

Источник: bits.media

No votes yet.
Please wait...

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *