Проблема Coinbase: удобство или безопасность?

wormПрограммист из Канады сообщил о выявлении существенной уязвимости в приложении Coinbasе, используя которую, злоумышленники могут получить полный доступ к аккаунту пользователя. Это далеко не первая проблема безопасности, выявленная для данной платформы. В широком смысле, возникает вопрос: какую цену приходится платить пользователям за кажущееся удобство сервиса Coinbase?

Открывший уязвимость программист Брайан Стерн рекомендует все членам биткойн-сообщества, кто использует данное приложение, приостановить работу с ним. Возобновить работу можно будет после устранения уязвимости.

Стерн сообщил, что, когда в начале марта текущего года он проинформировал Coinbase о выявленной уязвимости, официальные представители биткойн-фирмы не стали принимать серьезно его заявления о выявленной уязвимости. Разработчики Coinbase приняли во внимание заявление канадского программиста, проанализировали выявленную уязвимость и сообщили, что не считают ее особенно опасной.

27 июня вышла обновлённая версия Coinbase. Она была проверена Стерном, и в ней вновь обнаружилась та же самая уязвимость. После этого программист решил публично заявить об обнаруженной проблеме и предостеречь пользователей от возможных потерь. По заявлению программиста, его сильно раздражает тот факт, что после сообщения о проблеме прошло уже 3 месяца, однако компания так и не занялась ее решением.

Суть выявленной уязвимости

Проблема Coinbase состоит в низком уровне защиты протокола SSL. При такой защите может иметь место атака посредника («MITM-атака»), в результате которой злоумышленники могут получить полный доступ к аккаунту пользователя на Coinbase. По словам Стерна, представители Coinbase решили предложить своим пользователям обходной путь решения проблемы. Они рекомендуют активировать на устройствах, на которых установлена программа, встроенный SSL протокол. Однако на практике на устройствах этот протокол мало кто активирует. В итоге хакеры имеют возможность изменить версию протокола и осуществить перехват данных при помощи подделки SSL-сертификата.

Еще один пробел в системе безопасности Coinbase состоит в том, что в их исходном коде, который лежит в открытом доступе на Github, содержится в том числе информация, которой там не стоило бы находиться. В принципе, в открытом коде нет ничего плохого, если бы этот код по неосторожности разработчиков Coinbase не включал также конфиденциальную информацию, такую как поля данных client_id и client_secret. Эти данные могут быть использованы хакерами для перехвата сессии аутентификации пользователя. В итоге, грамотный хакер, имея все эти данные и решив совершить MITM-атаку, имеет много шансов для захвата биткойн-аккаунта любого клиента Coinbase.

Канадский специалист по программированию рекомендует Coinbase внести изменения в отдельные участки исходного кода программы. Также для повышения защищенности продукта необходимо было бы сменить используемые компанией client_id и client_secret, а также закрыть доступ к аутентификационной части исходного кода. Представители Coinbase признали наличие уязвимости, однако сочли, что вероятность совершения атак типа MITM довольно низкая. Размещение исходного кода в открытом доступе так же входит в политику Coinbase, и они не собираются ничего менять. От дальнейших комментариев по данному вопросу представители компании отказались.

Уже не первая проблема

Сервис Coinbase является довольно широко используемым в биткойн-сообществе — у него более миллиона пользователей. Тем не менее, сообщения о серьезных проблемах с данным сервисом и его системой безопасности появлялись ранее неоднократно.

Не далее как в апреле, компания оправдывалась по поводу того, что функция «Запросить Деньги» на их сайте позволяет выявить емейл адреса других зарегистрированных пользователей, что может привести к утечке базы адресов и дальнейшим попыткам их взлома и фишинга. Как и в случае со Стерном, компания признала наличие уязвимости, но отказалась что-либо менять. Неудивительно, что с тех пор пользователей Coinbase уже не раз накрывала волна фишинговых рассылок, пытающихся вытянуть из них пароли для доступа к системе.

Помимо проблем безопасности, хорошо известны проблемы с задержками транзакций при использовании данного сервиса. Так, при покупке биткойнов через Coinbase средства списываются с банковского счета пользователя сразу же, но биткойны поступают на счет пользователя Coinbase лишь через несколько дней, а могут и вообще не поступить, поскольку многие транзакции отменяются задним числом. Также, по сообщениям многих пользователей, при выводе биткойнов с Coinbase-аккаунта очень часты задержки с появлением этой транзакции на блокчайне — на несколько часов, а порой и на несколько суток. При выводе биткойнов на счет другого пользователя Coinbase таких задержек не происходит.

При этом от техподдержки Coinbase очень трудно добиться внятного объяснения причины задержки, да и просто какого-либо ответа — на ваш саппорт-тикет запросто могут ответить лишь через несколько дней, или не ответить вообще. И это при том, если вы в совершенстве владеете английским — запросы на всех остальных языках мира или на «плохом английском» Coinbase просто игнорирует.

Наконец, многие пользователи ранее открыто обвиняли саму компанию в нечистоплотности. Дело в том, что если пользователи покупают на сервисе биткойны по «слишком хорошей цене» — допустим, угадав момент дна при резком падении, за которым следует хороший подъем, компания часто «отменяет» такие сделки задним числом. При этом возмущенным таким неприятным оборотом пользователям либо дается невразумительное объяснение причин отмены, либо вообще ничего не отвечают. Один из пользователей так описывает эту хитрую схему обогащения Coinbase за счет своих клиентов:

Вы совершаете покупку BTC через Coinbase по текущей цене $500. Coinbase в этот момент ничего на самом деле для вас не покупает, а ждет, куда пойдет цена. Далее возможны 2 варианта:

  • Сценарий А: BTC растет до $600. Coinbase просто-напросто отменяет вашу покупку.
  • Сценарий Б: BTC падает до $400. Coinbase покупает биткойны по более низкой цене, помещает их на ваш аккаунт, а разницу в $100 за монету кладет себе в карман.

Если регулярно повторять такую схему (о чем говорят постоянные сообщения возмущенных пользователей), неудивительно, что компания оказывается очень прибыльной и так нравится венчурным капиталистам, что они прямо-таки борются за право инвестировать в нее.

Противоречит духу Биткойна

Наконец, самое серьезное обвинение против Coinbase и подобных им сервисов состоит в том, что их модель ведения бизнеса противоречит самому духу Биткойна. Из открытой для всех и не зависящей от посредников платежной системы Coinbase и их единомышленники пытаются сделать закрытый, централизованный и жестко регулируемый сервис, все пользователи которого находятся в полной зависимости от сервис-провайдера.

Чтобы пояснить концептуальную разницу между подходом Coinbase и другого известного сервиса, Blockchain.info, достаточно посмотреть на то, как по-разному эти два сервиса обходятся с секретными ключами пользователей. В кошельке Blockchain.info секретные ключи хранятся на серверах в зашифрованном виде и расшифровываются только на компьютерах пользователей. Сервис не имеет доступа к биткойнам пользователей, соответственно и не может их «заморозить» или «потерять», как это случилось на Mt.Gox. Пользователь может в любой момент сделать бэкап своих секретных ключей, которые позволят получить доступ к своим биткойнам в другой программе, даже если сам сервис Blockchain.info внезапно исчезнет.

Совсем другая картина на Coinbase. Этот сервис полностью копирует модель работы традиционных банков, которые «позаботятся о ваших деньгах вместо вас» (правда, в отличие от банков, Coinbase при этом не входит в систему гарантирования вкладов, да и процентов на ваши депозиты не начисляет). Сервис Coinbase вообще не дает пользователям доступа к их секретным ключам, обещая вместо этого «уверенность и безопасность ваших средств». С безопасностью, правда, не особенно хорошо, как мы рассказали в начале этой статьи. С уверенностью тоже не очень, поскольку, не имея возможность сделать бэкап ключей, вы всегда и на 100% оказываетесь заложниками Coinbase и берете на себя все их риски. Как метко сказал об этом недавно в своем Твиттере Пьер Рошар:

Если у вас нет доступа к секретным ключам, то у вас нет и биткойнов. Вместо них, у вас есть номинированные в биткойнах «обязательства посредника», то есть гокскойны. Без вариантов.

Наконец, тот факт, что Coinbase самостоятельно управляет биткойнами пользователей, делает их подверженными самой большой опасности, от которой ранее страдали все системы централизованных электронных денег — атаке со стороны регуляторов. Как и в случае с банками, на самом деле работающими на правительство, а не на своих клиентов, деньги которых они якобы взяли на хранение, когда власти прикажут скакать, единственный вопрос, который им задаст Coinbase, это «Как высоко?» И на самом деле, начиная с недавнего времени, наиболее активные пользователи Coinbase начали получать от компании письма следующего содержания:

Уважаемый пользователь,
Coinbase является регулируемым FinCEN США сервисом денежных переводов, и соответственно мы обязаны проводить инспекцию аккаунтов наших пользователей на предмет соответствия требованиям регуляторов. Пожалуйста, сообщите нам источник средств для покупок биткойнов, сделанных на нашем сайте, а также цель и получателя средств исходящих биткойн-транзакций с вашего аккаунта за предыдущий период. В случае если ваши ответы на наш запрос будут признаны неудовлетворительными, мы оставляем за собой право прекратить обслуживание вашего аккаунта. Надеемся на ваше понимание важности соответствия всем требованиям регулятора.

Возможно, использование Coinbase-aккаунта и удобно для повседневных биткойн-расходов (хотя не очень понятно, что в нем есть такого, чего бы не было в сервисе Blockchain.info). Однако держать на этом счете остаток в биткойнах, который превышает сумму, которую вы в любой момент готовы потерять, однозначно не стоит. Как показывает нам история, все централизованные сервисы подобного рода рушатся, неизбежно погребая под своими обломками средства излишне доверчивых пользователей.

По материалам: Coindesk, Coinspot, Bitcointalk



Categories: Безопасность, Сервисы

Leave a Reply

27 Комментарий на "Проблема Coinbase: удобство или безопасность?"

Notify of
avatar
trackback
Конфискация bitcoin теперь в рамках закона | Wexcoin Russian

[…] специфики работы некоторых операторов, таких как Coinbase, который в процессе верификации требует ввода […]

trackback
Раздвоение Биткойна в результате хард форка – реальная угроза – Bit•Новости

[…] кто сам хранит свои ключи (а не доверяет сервисам типа Coinbase) появится 2 версии монет. Скажем, если у вас было 100 BTC до […]

trackback
Децентрализация и “океанизация”, или еще раз о размере блока – Bit•Новости

[…] в гигантских дата-центрах крупнейших компаний типа Coinbase, в системе все же останется некоторый элемент […]

trackback
Отделенный Свидетель: как удачный хак может существенно увеличить потенциал Биткойна | Bit•Новости

[…] одно важное исключение. Coinbase-транзакция (не путать с одноименной компанией провайдером онлайн-кошелька) является транзакцией, […]

trackback
Почему Биткойну необходимо оставаться децентрализованным | Bit•Новости

[…] будем показывать пальцем, но многие крупнейшие компании в Биткойн-мире уже контролируют ваши […]

trackback
19 Проектов Crypto 2.0 за которыми стоит следить в 2015 | Bit•Новости

[…] централизованных биткойн-компаний достиг наивысшей точки, вдохновив “биткойнового миллионера” (как он сам […]

trackback
Конфискация bitcoin теперь в рамках закона - Монетка

[…] специфики работы некоторых операторов, таких как Coinbase, который в процессе верификации требует ввода […]

trackback
Указ Обамы грозит конфискациями криптовалюты | Bit•Новости

[…] специфики работы некоторых операторов, таких, как Coinbase, который в процессе верификации требует ввода […]

trackback
Silk Road закрыт ФБР… еще раз | Bit•Новости

[…] проходили через централизованные биткойн-сервисы, идентифицирующие пользователей и сотрудничающих с органами, они связали эти […]

trackback
Черное и белое: к чему ведет биткойн-регулирование | Bit•Новости

[…] многие централизованные биткойн-платформы, такие как Coinbase и BitPay, уже сейчас соответствуют этим […]

trackback
Чем отличаются биткойн-банки от кошельков | Bit•Новости

[…] подобные Coinbase и Circle, опять вернули в биткойн-сферу централизованный […]

trackback
Blockchain.info получила инвестиции в $30.5 млн | Bit•Новости

[…] происходит в централизованных сервисах типа PayPal или Coinbase. При входе в кошелек, браузер или приложение на […]

trackback
Blockchain.info перешёл рубеж в 2 миллиона биткойн-кошельков | Bit•Новости

[…] В феврале, провайдер централизованных кошельков, компания Coinbase, которая базируется в Сан-Франциско, также начала […]

trackback
Решения для мгновенного подтверждения биткойн-транзакций | Bit•Новости

[…] решение на сегодняшний день, оно также является весьма проблематичным. Предполагается что биткойн — полностью […]

trackback
Keybase сделает криптоключи простыми, как Тwitter | Bit•Новости

[…] на конечного пользователя сервисам, как Coinbase, в Keybase прекрасно понимают, что для того, чтобы идея […]

trackback
СМИ недооценивают Биткойн | Bit•Новости

[…] Существующие онлайн-кошельки часто пытаются достичь удобства в ущерб безопасности, и это не сильно воодушевляет пользователей, более […]

trackback
ОЭСР предстоит работа над ошибками по биткойн-анализу | Bit•Новости

[…] данного предложения, может быть создана лишь централизованная и небезопасная система, в которой биткойны обращаются вне сети. И это будет […]

CryptoBoomer
Гость

Пару слов в защиту Coinbase 🙂
Сервис нужен, как прослойка между «криптоанархистами» и «миром денег». Глупо спорить с тем, что мир денег уже кому-то принадлежит и там уже имеются правила игры. Биткойн пускают по чуть-чуть, шаг за шагом. И Coinbase — это сервис, который как раз движется из «мира денег» навстречу биткойну. Самое главное и самое важное, что нам предлагает Coinbase — возможность максимально просто традиционным бизнесам принимать в качестве оплаты биткойны. Это именно то, что сейчас необходимо.

nego
Гость

Если код этой системы открыт, то не могли бы уважаемые программисты найти в чём причина задержек при покупке биткойнов? Тогда статья получилась бы убедительнее.

Полинезиец
Гость

Здорово как в пух и прах раздолбали дурацкий сервис. Я очень рад:-)

Анонимно
Гость

Вот те раз. Всегда думал что coinbase отличный сервис, хотя сам и не пользовался. А тут вон че оказывается, транзакции отменяют и уязвимости не исправляют. Гоксовским подходом попахивает.

Sandy
Гость

> Еще один пробел в системе безопасности Coinbase состоит в доступности их исходного кода в открытом доступе на Github.

Вот это да… С каких это пор доступность кода является пробелом в безопасности? Наоборот, вполне возможно, что проблему нашли именно потому, что множество специалистов на код посмотрели. Так бы и оставалась не выявленной годами.

wpDiscuz