Втрата FTX у $400 мільйонів показує, як шахрайства з SIM-картами обходять безпеку Крипто

Коли FTX зазнав краху в листопаді 2022 року, регулятори та криптоспільнота поспішили зрозуміти, як хакери вивели $400 мільйон з гаманців біржі. Останні федеральні обвинувачення нарешті надають відповіді – але вони також піднімають незручні питання про те, що насправді сталося і хто несе відповідальність.

Схема SIM Swap, яка зламала безпеку FTX

У січні 2024 року Офіс прокурора США для округу Колумбія оголосив про звинувачення проти Роберта Пауела, Картера Рона та Емілі Ернандес – трьох осіб, яких звинувачують в організації складної, але на диво простої атаки: SIM-обмін.

Ось як це працювало: Відповідачі нібито отримали особисту інформацію більше ніж 50 жертв, а потім використали підроблені документи, щоб обманути телекомунікаційні компанії, примусивши їх перенести номери телефонів цих жертв на нові пристрої під їх контролем. Перенаправивши номер телефону на свою SIM-карту, шахраї перехоплюють коди двофакторної аутентифікації – цифрові охоронці, які захищають фінансові рахунки.

Після того, як вони отримали ці коди, доступ до рахунків FTX став простим. Коли законні власники рахунків намагалися автентифікувати входи, текстові повідомлення для автентифікації надсилалися на телефони злочинців. Шахраї просто використовували коди, щоб видавати себе за власників рахунків і виводити їхні залишки.

Акт об обвинуваченні описує найбільшу атаку, що відповідає цьому патерну, з датами та сумами, які точно збігаються з публічним оголошенням про банкрутство FTX. Федеральні джерела підтвердили, що FTX є неназваною “Компанією-Жертвою-1”, на яку посилаються в обвинуваченнях.

Критична прогалина: Хто насправді вкрадав гроші?

Ось що робить цю справу заплутаною: хоча Пауелл, Рон і Ернандес звинувачуються у крадіжці особистої інформації та продажу кодів автентифікації, в обвинуваченні помітно їх виключено, коли йдеться про фактичну крадіжку коштів FTX.

Натомість, звинувачення стосуються неназваних “співучасників”, які “отримали несанкціонований доступ до рахунків FTX” та “перевели понад $400 мільйон у віртуальній валюті” на гаманці, які вони контролювали. У стандартній юридичній практиці прокурори називають відповідачів, коли деталізують дії, які вони вчинили. Відсутність цих трьох підозрюваних у фінальному пограбуванні свідчить про те, що хтось інший здійснив саму крадіжку.

Ця мовна деталь має значення. Хоча заголовки проголошували “таємниця розгадана”, обвинувачення тихо залишає основних винуватців у тіні. Справжні архітектори зламу FTX можуть залишитися безіменними – принаймні поки що.

Чому працюють SIM-заміни і чому регулятори стурбовані

Сукцес SIM-заміни відбувається через використання фундаментальної слабкості в сучасній інфраструктурі безпеки. Телекомунікаційні компанії покладаються на відносно просту перевірку особи – питання, на які шахраї можуть відповісти, використовуючи вкрадену особисту інформацію. Тим часом, криптовалютні біржі, банки та технологічні платформи вважають аутентифікацію на основі SMS достатнім захистом.

Для злочинців, SIM-обмін пропонує ідеальне поєднання: низька вартість, мінімальна технічна складність і підтверджений успіх. Це елементарне шахрайство, яке здійснюється в масштабах.

Федеральні регулятори звертають на це увагу. У грудні 2023 року Федеральна комісія зв'язку видала нові правила, які вимагають від постачальників бездротових послуг посилити автентифікацію клієнтів перед обробкою передач SIM-карт. Тим часом SEC нещодавно зазнала власної атаки SIM-обміну – незручне нагадування про те, що навіть регуляторні установи залишаються вразливими.

Нові вимоги SEC щодо розкриття інформації про кібербезпеку посилюють цей тиск. Біржі, що регулюються в США, тепер повинні документувати свої протоколи безпеки, продемонструвати процедури управління ризиками та проходити зовнішні аудити. Ці вимоги забезпечують розуміння клієнтів щодо захисту, який впровадили компанії.

Що це означає для крипто компаній та користувачів

Обвинувачення Пауела виявляє незручну правду: криптоіндустрія покладається на стандарти безпеки, які є десятилітніми і все більше недостатніми. Крах FTX стався частково через примітивні вектори атак, які повинні були бути нейтралізовані давно.

Для бірж, що працюють у США, шлях вперед зрозумілий: впроваджувати заходи безпеки, які перевищують регуляторні мінімальні вимоги. Це включає перехід від SMS-авторизації на двох етапах до більш безпечних альтернатив, таких як апарати безпеки або програми аутентифікації. Це вимагає суворих протоколів перевірки особи, які протистоять соціальному інженерінгу. Найголовніше, це вимагає прозорості – клієнти заслуговують знати, які заходи безпеки впровадила їхня біржа.

Офшорні платформи стикаються з іншими викликами. Без нагляду SEC вони не можуть приховуватися за дотриманням нормативних вимог як перевагою у продажах. Натомість ринкова конкуренція все більше винагороджуватиме тих, хто добровільно впроваджує прозорі практики кібербезпеки. Компанії, які протистоять такому розкриттю, зіткнуться з недовірливими клієнтами – цілком виправдано, враховуючи непрозорий підхід FTX до управління безпекою.

Хак FTX та обвинувачення Пауела ілюструють невідворотну реальність: інфраструктура криптовалюти є такою ж безпечною, як її найслабше місце. Це місце часто не є самою технологією блокчейн, а людськими системами автентифікації, які охороняють доступ до гаманців та акаунтів. Поки галузь не систематизує захист від SIM-замін та подібних атак, ні регулятори, ні користувачі не можуть довіряти, що ще один $400 мільйон крадіжки не станеться знову.