(©Envato)
W sobotę 19 lutego Internet obiegła informacja o zaatakowaniu słynnej platformy OpenSea. Słynnej dlatego, że jest centrum handlu tokenami NFT, potwierdzającymi prawo własności do cyfrowych dóbr jak dzieła sztuki. Tu ofiarami w formie ataku phishingowego stało się kilkunastu użytkowników, którzy stracili równowartość 1,7 mln dolarów. Skala nie jest może wielka, ale wśród utraconych aktywów były podobno NFT z serii „Bored Ape Yacht Club”, swoistej przepustki do świata bogatych celebrytów, dlatego o ataku zrobiło się głośno.
To tylko najświeższy przykład, który uzmysławia, że rosnąca wartość operacji finansowych, wykorzystujących instrumenty kryptowalutowe i kryptoaktywa przyciąga oszustów i przestępców. Jak wynika z raportu firmy Chainanalysis wartość oszustw i wyłudzeń na krypto rynku w 2021 roku zamknęła się sumą 14 mld dolarów tj. prawie dwukrotnie wyższą (7,8 mld) niż rok wcześniej. Relatywnie wyższy poziom oszustw dotyczył rynku DeFi, czyli zdecentralizowanych cyfrowych finansów, opartych na blockchainie etherum, funkcjonujących poza oficjalnym systemem pieniężnym, a więc nie podlegających regulacjom.
Całkowita wartość aktywów ulokowana w DeFi przekroczyła na początku 2022 roku równowartość 200 mld dolarów, a oszustw go dotyczących osiągnęła 1,4 mld dolarów, czyli była w ujęciu realnym prawie dwukrotnie wyższa od poziomu wyłudzeń na szerokim rynku zastosowań kryptowalut – wskazuje Chainanalysis.
Fałszywe projekty
Najpoważniejszą formą oszustw w 2021 roku były wyłudzenia polegające na tworzeniu przez hakerów fałszywych krypto projektów (tzw. rug pull) i przyciąganiu do nich niedoświadczonych inwestorów, których apetyt potęgują wysokie zwroty na legalnych przedsięwzięciach, do których należał token Shiba inu. Pochłonęły one ponad połowę środków (7,8 mld dolarów) przejętych przez oszustów w kryptowalutach. Największa wartość wyłudzenia dotyczyła fałszywej giełdy Thodex, która uniemożliwiła klientom wycofanie kapitału, a organizatorzy ulotnili się.
Często oszuści sami inwestują własne środki w cyfrowe tokeny, generując dodatkowy popyt ze strony naiwnych inwestorów, później stopniowo wycofując kapitał własny i od nich pozyskany, a wartość projektu zostaje wyzerowana. Przedsięwzięcia, których większość dotyczy obszaru DeFi, są promowane w mediach społecznościowych, a nawet tradycyjnych, czasem za pośrednictwem nieświadomych dziennikarzy.
Z technicznego punktu widzenia dobrym deweloperom nie sprawia trudności umieszczenie fałszywych tokenów na kryptogiełdach. Problem polega na tym, że kod ich inteligentnych kontraktów (smart contracts) nie został zaudytowany przez strony trzecie jak na przykład znana krypto giełda, a może on zawierać mechanizm odcinający inwestorów od zainwestowanych środków i możliwość ich wyprowadzenia.
Problem następuje gdy kod inteligentnych kontraktów (smart contracts) nie został zaudytowany przez strony trzecie jak na przykład znana krypto giełda.
Dynamika wzrostu tego typu przestępstw jest wręcz astronomiczna – w roku 2020 ich wartość była ponad trzy razy wyższa niż rok wcześniej, a w 2021 wzrosła już ponad trzynastokrotnie! Protokoły DeFi są też coraz częściej wykorzystywane do prania nielegalnie pozyskanych pieniędzy.
Setki milionów strat
Jak kosztowne mogą być krypto przestępstwa pokazuje przypadek Poly Network, z której hakerzy przejęli środki o równowartości 600 mln dolarów, podjęli jednak dialog z organizatorami platformy i zwrócili większość funduszy denominowanych w kryptowalucie tether. Dlatego za największe do tej pory kradzieże aktywów uznaje się przypadki japońskich giełd kryptowalutowych Coincheck i MtGox, z których wyprowadzono odpowiednio w 2018 r. równowartość 535 mln dolarów i cztery lata wcześniej 400 mln dolarów.
Do tego w grudniu 2021 roku cyberprzestępcy wyprowadzili z dwóch portfeli inwestycyjnych giełdy BitMart 150 mln dolarów wskutek przejęcia kluczy kryptograficznych. Warto też odnotować wyczyn kanadyjskiego nastolatka, który przejął wart 46 mln dolarów kanadyjskich portfel inwestycyjny należący do pojedynczego inwestora z USA.
Natura technologii blockchain, gdzie transakcje odbywają się bez zaangażowania pośredników, a więc nie mają do nich zastosowania bankowe procedury KYC (Poznaj Swojego Klienta) powoduje, że przestępcy w większości mogą być anonimowi a przez to pozostać bezkarni, tym bardziej że transakcje są nieodwracalne. Wykorzystują to szantażyści domagający się okupu właśnie w kryptowalutach. W maju 2021 r. zablokowali największy amerykański naftociąg Colonial Pipeline, co unieruchomiło na kilka dni pracę wielu przedsiębiorstw i doprowadziło do panicznych zakupów paliwa na stacjach benzynowych w kilku stanach. Operator rurociągu dokonał wpłaty żądanej kwoty w bitcoinach, sięgającej 4,4 mln dolarów a FBI przypisało atak hakerom z Europy Wschodniej z grupy pod nazwą DarkSide, która przejęła hasło umożliwiające kontrolę instalacji. Znaczną część środków udało się jednak odzyskać.
Przedmiotem ataków stają się też w USA bankomaty umożliwiające zakup bitcoinów i przesłanie ich do własnych cyfrowych krypto portfeli z użyciem specjalnego QR kodu. Jest ich, głównie w centrach handlowych i na stacjach benzynowych, ponad 26 tysięcy, jednak praktycznie nie podlegają żadnym regulacjom. Przestępcy podstawiają klientom fałszywy kod, przekierowujący zakupione środki do ich portfeli.
Musk do ciebie nie pisze
Sposobów i obszarów, których dotyczą oszustwa jest znacznie więcej. Możliwości ich realizacji dostarczają popularne produkcje Netflixa jak Squid Games. Na ich bazie hakerzy wprowadzają do obiegu cyfrowe żetony, które przez widzów mogą być traktowane jako doskonała okazja inwestycyjna. W przedstawianym przypadku w ciągu zaledwie 11 dni wartość tokenu wzrosła o 310 tys. procent a organizatorzy procederu zarobili 3 mln dolarów.
Inną metodą jest przejmowanie przez oszustów kont w mediach społecznościowych należących do znanych osobistości lub celebrytów i wyłudzanie płatności w kryptowalutach na różne przedsięwzięcia lub inwestycje. W ten sposób fałszywe konto rzekomo należące do Elona Muska posłużyło do przejęcia kwoty bitcoinów o wartości 2 mln dolarów. Do przejmowania cyfrowych portfeli kryptowalut służy też pozycjonowanie fałszywych reklam Google – ostrzega firma Check Point Research.
Linki imitujące adresy marek znanych portfeli cyfrowych umieszczane są na górze wyników wyszukiwania, co w dalszej kolejności prowadzić może do przekazania przestępcom przez klientów kluczy do ich portfeli cyfrowych i przejęcia ich zawartości. W innych przypadkach fałszywa inwestycja może skończyć się pobraniem monstrualnej prowizji w wysokości 99 proc. opłaconych tokenów.
Przedmiotem przestępstw stały się też nabywane za kryptowakuty tokeny NFT, na platformach takich jak wspomniane na początku OpenSea. Tutaj chodziło o phishing, czyli poszkodowani nie zachowując należytej ostrożności otworzyli fałszywe maile i przesłali swoje tokeny NTF na adresy kryptograficzne wyłudzaczy.
Inwestycje w bezpieczeństwo
Organa egzekwujące prawo stają się jednak coraz skuteczniejsze w wykrywaniu i przejmowaniu nielegalnie przejętych krypto aktywów. Wydział dochodzeniowy amerykańskiego urzędu podatkowego (IRS) poinformował w listopadzie o odzyskaniu kwoty 3,5 mld dolarów nielegalnie uzyskanych kryptowalut. Sukcesy w tym zakresie ma także amerykański Departament Sprawiedliwości i izraelskie Narodowe Biuro Przeciwdziałania Finansowaniu Terroryzmu, kryptowaluty bowiem poprzez swój anonimowy charakter służą do jego wspierania.
Cyberbezpieczeństwo związane z rynkiem kryptoaktywów przyciąga też coraz więcej kapitału joint venture dokonującego inwestycji w dedykowane tym zagrożeniom startupy. W 2021 r. inwestorzy wpompowali w nie 28 mld dolarów, czyli 136 procent więcej niż rok wcześniej przeprowadzając aż 850 transakcji.
Startupami o najwyższych wycenach są m.in.: Lacework i Snyk oferujący technologię bezpieczeństwa w chmurze (ponad 8 mld dolarów każdy), Socure zarządzający cyfrową tożsamością (4,5 mld dolarów), zajmujący się bezhasłową identyfikacją Transit Security (2,5 mld dolarów) a także CryptoPolice z technologią przeciwdziałającą krypto wyłudzeniom i Base Zero oferujący przechowywanie kryptoaktywów.
Większość startupów to głównie firmy amerykańskie i izraelskie. Inwestorami poza podmiotami VC są także największe krypto giełdy, do których należy amerykańska publiczna spółka jaką jest Coinbase. W obszar krypto bezpieczeństwa inwestują też operatorzy płatności jak Mastercard czy PayPal przejmując firmy zajmujące się przeciwdziałaniem wyłudzeniom. Jest więc szansa, że w kolejnych latach skala oszustw na rynku kryptowalutowym będzie się zmniejszać, choć z pewnością przyciągał on będzie nowe rzesze spragnionych wysokich zysków niedoświadczonych inwestorów. A prognozy wskazują, że do końca dekady osiągnie on wartość bliską 5 bilionów dolarów.
Druga strona adopcji
Większa ilość oszustw jest przy tym pochodną większej adopcji samych kryptowalut i technologii blockachain. W listopadzie wartość kryptowalut była najwyższa w historii i wyniosła 2,8 bln dolarów, aby szybko spaść poniżej 2 bln, głównie w konsekwencji wprowadzonego w Chinach zakazu ich kopania i obrotu nimi. Globalna wartość transakcji w kryptowalutach także w 2021 roku była rekordowa przekraczając 15,8 biliona dolarów. To ponad pięć i pół raza więcej niż rok wcześniej. Wynika to z faktu powszechniejszej akceptacji płatności w kryptowalutach przez coraz większą liczbę podmiotów. Jak szacuje CB Insights w 2021 roku było ich na świecie ponad 18 tysięcy, a z ich usług korzystało ponad 300 mln osób.
Globalna wartość transakcji w kryptowalutach w 2021 roku była rekordowa przekraczając 15,8 biliona dolarów.
Kryptowaluty, mimo licznych ograniczeń, stają się popularne także w Polsce. Wyniki Ogólnopolskiego Badania Inwestorów wskazują, że co piąty z 4 tys. ankietowanych zainwestował w nie w minionym roku, to prawie trzy razy wyższy odsetek niż przed trzema laty. Dominują osoby w wieku 18-25 lat, które stanowią 32 proc. inwestorów.
Choć brakuje całościowych badań, warto zwrócić uwagę, że w sam portfel kryptowalut Revoluta w Polsce zainwestowano co najmniej 380 mln złotych. Pokusa dla oszustów jest więc coraz większa i coraz większa powinna być też ostrożność użytkowników.