Новости безопасности

Торгуете на централизованных биржах? Тогда мы идем к вам

14.11.2023
0 10 Время чтения: 5 мин.

Использование CEX (централизованных криптобирж) — плохая идея в 2023 году. Она несет в себе множество рисков, включая социальные, политические и экономические. Почему? Сейчас объясню.

Итак, представим, что улыбающиеся мужчины в белых костюмах (или женщины, если угодно) решили найти ваши криптосчета и вообще “вычислить по IP” все, что нужно. Возможно ли это в 2023 году? Да вполне. 

Шаг нулевой. «Кто ты, воин?»

Надо найти связку между кошельком и, собственно, вами. Сделать это проще, чем кажется, потому что про цифровые следы большинство из нас просто забывает, или, что еще хуже, делает вид, что они ничего не значат. Значат и много. 

Кроме того, вычислить можно и иным путем.

  • Заказать в даркнете: это, конечно, не сказка, но коснется вас только в случае каких-то внятных, крупных, объемов (от 100-1000 BTC), поэтому пишу тут больше для проформы этот вариант. 
  • Arkham и подобные сервисы, где «ищут пожарные, ищет милиция» всех: от Дж. Сана до FTX-кошельков и прочего. 
  • Банальный и расширенный Google-поиск тоже поможет, а еще не стоит забывать про Shodan, особенно если вы — майнер (см. ниже).
  • Существует немало форумов и чатов (в том же Telegram), где часто бывает больше данных, чем в полностью открытом доступе.
  • Есть и другие способы, куда менее наивные…

    • Но как бы там ни было, в рамках этой статьи презюмирую, что кошельки ваши известны. Что дальше? 

    Шаг первый. Вот ты и попался!

    Итак, берем menaskop.eth, ибо этот адрес публичный и никого, кроме меня, не обидит его разбор. А меня не обидит точно. Идем на metasleuth.io (или аналогичный ресурс). Сети можно выбрать разные. Начнем с Polygon:

    Полноформатное изображение см. по
    ссылке

    Видим примерно вот такой граф. Что же дальше? А дальше все просто: ищем кошельки бирж.

  • Можно визуально (правый верхний угол — увеличиваем масштаб).
  • Можно через поиск (Ctrl+F/Cmd+F/etc).
  • Можно и иначе (хоть скриптом). 

    • И находим:

    • Binance;
    • Huobi;
    • Bybit;
    • Gate.io. 

    А заодно и такие сервисы, как ShapeShift. Поиск в итоге занял в данном случае 15 секунд. Но на деле все может быть сложнее, особенно — если CEX использовались в пуле кошельков и при большом количестве транзакций. 

    Другой вопрос: а есть ли мой аккаунт на этих биржах сейчас? 

    Шаг второй. Перебор — не перебор? 

    Простейшее, что можно сделать, сопровождая свой розыск старым и добрым руководством по взлому для домохозяек от «Xakep», — пойти и проверить публичные email на регистрацию в указанных сервисах. 

    Благо формы для восстановления есть почти всегда. Вот пример с крупной биржи: accounts.binance.com/en/login-password. 

    Где и как искать публичные адреса — вопрос, который выходит за рамки именно этой статьи. Но вот ряд очевидных векторов:

  • Брутфорс: ФИО, год рождения, город и другие очевидные данные (не забываем, что искать будут должностные лица, то есть те, у которых доступ к данным есть, да и email сам первичный — скорее всего тоже).
  • Базы взломанных соц. сетей и прочих сервисов: см. подборку на Forklog, но примеров таких куда больше. 
  • Связка с телефоном: поскольку авторизация по мобильному — все еще часто встречается в качестве двухфакторной авторизации и работает именно вкупе с email. 
  • Взаимодействие с тем или иным мессенджером: работает при неверной настройке конфиденциальных данных или намеренной их дешифровке (см. одну из ссылок выше). 
  • Сайты некогда открытых компаний, проектов, сервисов: недавно удалось разыскать одного белорусского предпринимателя, который довольно тщательно соблюдает цифровую гигиену, но не делал это по молодости, оставляя личные данные на рабочих ресурсах. 
  • Прочее

    • Что касается Shodan, то здесь пробовать можно самые разные подходы, начиная с полушуточных (как показано ниже), заканчивая серьезным и глубинным поиском:

    Полное изображение: см.
    по ссылке. 

    В любом случае после перебора есть куда более важный шаг. 

    Шаг третий. Запрос — ответ

    Ни санкции, ни плохие дипломатические отношения, ни статус государства, где находитесь, ни тем более инвестиции — ничто не поможет скрыться от Интерпола или организаций куда более эффективных (ЦРУ, ФСБ, СБУ, Моссад и тому подобных). 

    В том смысле, что если государства давят друг друга даже жесткими санкциями, как правило, выдача граждан, особенно не своих, — вопрос иного порядка: вспомните историю Джулиана Ассанжа или хотя бы Эдварда Сноудена. 

    Поэтому надеяться на подобное прикрытие — все равно что прикрываться мультифорой и считать: это достаточная замена стандартной одежде.

    К чему подобные рассуждения? К тому что все биржи, абсолютно все — американские, украинские, китайские, российские, корейские, японские и прочие — выдают данные о пользователях правоохранительным органам самых разных стран (юрисдикций). 

    Поэтому, чиновник нижнего ранга, собрав дотошно информацию о вас и о ваших кошельках, передаст ее в CEX, которые выявит, в виде стандартных, то есть самых простых, запросов. А если внимательно почитать соглашения этих самых бирж, то примеры себя не заставят ждать:

  • Coinbase.
  • Binance.
  • Huobi.
  • Gate.

    • Все данные непременно попадут на стол в органы. В том числе о том, сколько, чего и когда вы продали/купили. А поскольку методик уплаты налогов в большинстве юрисдикций нет или они размыты до неприличия, то это уже само по себе — проблема. 

    Обратной ситуации не ждите. Если что-то пропало на зарубежной бирже — средства ваши искать навряд ли кто-то будет. И уж точно — никто не найдет. Такова (не)справедливость жизни. И практика последних десяти лет. Даже если случится чудо, то — как с выплатами FTX или даже Mt.Gox, — ждать придется долго. Часто — несколько лет. В случае с Mt.Gox — уже почти десять, с FTX — уже пошёл второй год. 

    При этом с помощью Shard, например, можно вычислить объем входящих и исходящих транзакций по разным валютам: ETH, USDt, USDc, DAI, etc: 

    Полноформатное изображение: см.
    по ссылке

    Если вдруг станет интересен этот ресурс для исследовательских работ, то рекомендую изучить подборку: 

    • первая часть;
    • вторая часть;
    • третья часть. 

    Но все это — еще только начало ваших возможных бед. 

    Шаг четвертый. Что еще о вас смогут узнать? 

    Если изучить Metamask (кто не знает, с чего начать, можете почитать первую и вторую части исследования), то выяснится: он использует API OpenSea, и довольно давно. А значит?.. Значит, даже разные аккаунты, импортированные и/или созданные в одном Метамаске из-под одной учетной записи (в ОС или браузере — не важно), можно физически связать. 

    Мой эксперимент с OpenSea после блокировки это доказал. Если коротко, суть сводится к тому, что MetaMask берет данные у OpenSea, а OpenSea — у MetaMask.

    Поэтому использовать VPN — не просто необходимость. Это как воздух: нет воздуха — нечем дышать, нечем дышать — нет человека, то есть вас. 

    И уж тем более не стоит думать, что куда более централизованные структуры хранят меньше данных. Поэтому к VPN следует добавить периодическую чистку: почты, ОС, аккаунтов и других хранилищ. А все, что вынесено в оффлайн, должно умело шифроваться. 

    Шаг пятый. Заплати налоги и спи спокойно? 

    Многие считают именно так — их право. Тем более что я не призываю не платить налоги, сборы, штрафы и так далее. Но даже самая белая уплата налогов не станет для вас панацеей на 100%. И вот почему:

  • Да, все та же методология расчета и начисления тех самых налогов: она в лучшем случае сырая, и не факт, что через год-другой к вам не явится некто и не попросить доначислить N-ую сумму. 
  • Иметь средства на кошельке (аккаунте) — не значит ими распоряжаться: тезис «не твои ключи — не твои деньги» работает и в обратном направлении, то есть доступа у вас уже к деньгам может и не быть (банально — забыли пароль). А налоги начисляют, так как ранее доступ был. 
  • И никто, наконец, не застрахует вас от сговора, особенно — от коррумпированных государств и ведомств разного рода: и это, раскрытие данных, занятие весьма опасное.

    • Вот и получается, что оплата налогов — начало, а не конец головной боли. Поэтому мой совет прост: оптимизируйте все так, чтобы завтра не жалеть о сделанном сегодня. И да, учите законы: незнание таковых — не освобождает от ответственности, а вот знание… 

    Выводы

    Web 3.0 и блокчейн соответственно — конфайнмент принципов Д.А.О.: открытости, анонимности и децентрализации. Поэтому здесь так мало преступных средств: нужно лавировать между постоянной публичностью и вынужденной безопасностью. 

    Конечно, можно зарыть голову в песок и подобно страусу, предавшемуся эскапизму в жаркой саванне, не видеть, что происходит вокруг. Но лучше разобраться в ситуации и понимать реальные риски.

    Зачем? Чтобы развивать индустрию и дальше. А у меня на этом всё и

    До!

    Источник

    Нажмите, чтобы оценить статью!
    [Итого: 0 Среднее значение: 0]
    14.11.2023
    0 10 Время чтения: 5 мин.
    Добавить комментарий

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Кнопка «Наверх»