В 2016 году криптовалютная биржа Bitfinex стала жертвой одной из самых громких кибератак в истории — хакеры украли свыше 119 тысяч биткоинов, оценённых на тот момент приблизительно в 72 миллиона долларов. К 2023 году стоимость украденных средств выросла почти до 4 миллиардов долларов. Несмотря на масштабные усилия американских властей по поимке преступников, основной злоумышленник до сих пор не пойман. Некоторое время спустя был арестован дуэт, обвиняемый в отмывании украденных средств, однако вопрос о первоначальном взломе биржи остаётся открытым. Внутреннее расследование, проведённое канадской компанией Ledger Labs по заказу iFinex — одного из владельцев Bitfinex, проливает свет на причины, приводящие к столь масштабным последствиям.
Анализ конфиденциального отчёта, который был получен и опубликован международным объединением журналистов OCCRP, выявил множественные промахи в организации информационной безопасности биржи. Отчёт подчёркивает, что Bitfinex систематически игнорировал рекомендации своего партнёра по цифровой безопасности Bitgo, оставляя критичные уязвимости в системе контроля доступа и управления операциями. Ключевой ошибкой стала неразделённость двух из трёх основных защитных ключей доступа, которые были сохранены на одном устройстве. В криптовалютной индустрии широко применяются схемы, требующие двух из трёх ключей для совершения важных операций, таких как перевод средств. Но когда две таких секретные части хранятся на едином носителе, это автоматически создаёт серьёзную лазейку.
Достаточно было взломать один девайс — и злоумышленник получил полный контроль над внутренними системами Bitfinex, включая так называемые «токены безопасности», позволяющие управлять операционной системой биржи. Лишить Bitfinex такого уровня защиты оказалось настолько просто, что злоумышленникам потребовалось меньше минуты, чтобы повысить дневной предел транзакций и быстро вывести значительную часть биткоинов с биржи. Утечка данных и отсутствие надёжного журнала активности серверов, наряду с отсутствием механизма «белого списка» для адресов вывода, создали идеальные условия для атаки и затруднили расследование. Интересно, что два токена безопасности были связаны с общим административным e-mail и с адресом, принадлежащим финансовому директору и акционеру Bitfinex Джанкарло Девазини. Отчёт при этом не возлагает на него прямую ответственность.
Тем не менее, история деятельности Девазини вызывает вопросы, поскольку ранее он имел неоднозначную репутацию в бизнес-среде. Bitfinex публично отверг результаты расследования, указав, что анализ неполный и неправильный, а основная халатность лежит на стороне сторонних контрагентов. Bitgo отказался комментировать доклад, а Ledger Labs не дал ответов на запросы о предоставлении комментариев. Сам взлом сопровождался использованием специальных инструментов для уничтожения данных, что позволило злоумышленникам скрыть способ проникновения в системы биржи. В результате первичный канал доступа так и не был определён однозначно.
Кража произошла стремительно — перенос биткоинов занял чуть более трёх часов. Украденная криптовалюта длительное время хранилась на контролируемых кошельках, а с начала 2017 года начались сложные попытки перемешивания средств через множество транзакций с целью скрыть их следы. Именно непростые методы отмывания помогли американским следователям выйти на пару, которую в конце концов арестовали. В квартире пары в Нью-Йорке были найдены всевозможные средства конспирации, включая поддельные паспорта, «горячие» телефоны и USB-накопители с электронными ключами от активов на сумму около 3,9 миллиарда долларов. Несмотря на доказательства, обвиняемые продолжают отрицать свою вину, и судебный процесс ещё не начался.
Эксперты указывают, что ошибки Bitfinex скорее связаны с желанием биржи увеличить количество транзакций и получать большую прибыль за счёт скорости работы, чем с сознательной халатностью. Отсутствие открытого отчёта и признания ответственности лишь усиливают сомнения в том, что компания сделала необходимые выводы и исправила возникшие уязвимости. Сегодня сегмент криптовалют значительно вырос и стал гораздо сложнее, а методы атак и схемы мошенничества — более изощренными. Однако фундаментальные проблемы в области безопасности остаются актуальными. Проект Web3, который строится на базе блокчейна, создаёт большую поверхность атаки, которую необходимо интенсивно защищать.
К примеру, нередко под видом взлома смарт-контрактов на самом деле проводятся атаки на вспомогательные компоненты, удалённые сервисы или ключевые инфраструктурные элементы. В результате разрывы в защите приводят к серьёзным потерям для пользователей и инвесторов. Многие криптокомпании концентрируются на быстром внедрении инноваций и запуске новых приложений, не уделяя должного внимания вопросам безопасности. Такие пренебрежения продолжают подпитывать риски взломов и краж. По мнению экспертов, теперь инвестирование в безопасность и аудит — жизненно важная задача для всех участников рынка.
В случае с криптовалютой ставки особенно высоки, ведь речь идёт не просто о конфиденциальных данных, а о реальных финансах пользователей, часто представляющих их сбережения на долгие годы. Потеря контроля над ключами безопасности может обернуться катастрофическими последствиями. В итоге ситуация с Bitfinex служит важным сигналом для всего криптосообщества. Необходима систематическая работа по укреплению защитных мер, строгая организация процедуры доступа, установление контрольных точек аудита и прозрачность в вопросах реагирования на инциденты. Только так можно повернуть кибербезопасность из слабого места в один из основных факторов доверия к инновационным технологиям блокчейна и криптовалют.
Ещё одна важная проблема — отсутствие общепринятых стандартов безопасности и их обязательное внедрение во всех компаниях отрасли. Индустрия должна учиться на ошибках прошлого и создавать механизмы, которые позволят не допускать подобных событий в будущем. Наконец, роль правоохранительных органов и международного сотрудничества при раскрытии подобных преступлений становится всё более значимой. Несмотря на то что виновники кражи 2016 года ещё не все пойманы, успешные операции по обнаружению и аресту преступников демонстрируют важность комплексного подхода. Взлом Bitfinex и судебные процессы вокруг украденных биткоинов напоминают всем участникам рынка — безопасность не может быть чем-то дополнительным.
Это основа доверия, без которого невозможно развитие и массовое принятие криптовалют. Уроки, извлечённые из этого инцидента, должны стать отправной точкой для всех, кто строит будущее цифровых финансов и хочет защитить себя и своих клиентов от рисков.
