Опережая взломы криптовалют и юридические риски

Убытки от взлома криптовалют и NFT в прошлом году превысили 14 миллиардов долларов и продолжаются с ошеломляющей скоростью. Алекс Ифтими, партнер и сопредседатель международной практики управления рисками и кризисными ситуациями Morrison Foerster, и Майкл Бурштейн, специалист по криптографии и безопасности данных в фирме, подробно рассказывают о юридических рисках, связанных с последними угрозами, и о том, как компании могут их уменьшить.

В 2021 году в результате киберпреступлений было потеряно более 14 миллиардов долларов в криптовалюте, а в этом году — еще миллиарды. Эти ошеломляющие потери подчеркивают необходимость понимать и опережать угрозы безопасности и юридические риски, с которыми сталкивается криптоиндустрия.

Типы угроз

Поскольку технологии блокчейна уменьшают трения для децентрализации финансовой инфраструктуры и других новых вариантов использования, они также представляют собой привлекательную цель для злоумышленников, которые используют зарождающиеся средства безопасности в развивающейся отрасли.

Кража закрытого ключа. Многие держатели криптовалюты хранят свои собственные ключи в горячих (программных) кошельках или холодных (физических аппаратных) кошельках. Тот, кто владеет закрытыми ключами, контролирует криптоактив. Безопасность ключей зависит от безопасности лица или организации, которые их держат.

Неизменяемость блокчейна делает транзакции в сети необратимыми, в отличие от транзакций в традиционной финансовой системе, которые полагаются на посредников финансовых учреждений, которые могут замораживать средства и отменять транзакции.

Даже если сторонняя биржа хранит ключи от имени пользователей, хакеры проникают в системы, чтобы украсть средства. Например, в марте этого года хакеры скомпрометировали закрытые ключи, связанные с криптоигрой Axie Infinity, и украли криптовалюту на сумму более 600 миллионов долларов. Министерство финансов США связало атаку с группой Lazarus, спонсируемой государством Северной Кореи, и внесло адрес кошелька, использованного для кражи средств, в свой список особо обозначенных граждан.

Эксплуатация программного обеспечения. Традиционным банкам не чужды программные эксплойты. Теперь хакеры обращаются к криптовалюте. Многие криптохакеры в прошлом году использовали уязвимости в коде, используемом для обработки смарт-контрактов или базового криптографического программного обеспечения.

Например, в атаке Poly Network хакер воспользовался уязвимостью смарт-контракта, которая позволила им изменить административные разрешения для выполнения транзакций в блокчейне, что позволило украсть сотни миллионов криптоактивов.

Мошенничество и мошенничество. По данным Федеральной торговой комиссии , с 2021 года мошенники обманули десятки тысяч потребителей на сумму более 1 миллиарда долларов в криптовалюте . Такие мошенники предлагают поддельные инвестиционные возможности, охотятся на тех, кто ищет романтики, или вовлекают выдачу себя за законный бизнес. Вытягивание коврика — еще одна афера, когда создатель продает токены, собирает средства, обещает запуск в будущем, но затем скрывается со средствами.

Юридические риски и практические советы

Регуляторный контроль. Регуляторные действия в связи с уязвимостями программного обеспечения с некоторой частотой выносятся за пределы криптоиндустрии.

Equifax, например, урегулировала с FTC, Бюро финансовой защиты потребителей и 50 генеральными прокурорами штатов более 500 миллионов долларов за неспособность решить проблемы с уязвимостями программного обеспечения.

В настоящее время регулирующие органы обращают внимание на средства контроля кибербезопасности в криптоиндустрии. Распоряжение президента Джо Байдена о криптовалюте от марта 2022 года предписывает правительству «уделить приоритетное внимание [e] … безопасности [и] борьбе [] с незаконным использованием» цифровых активов .

FTC отслеживает крипто-мошенничество, предвещая потенциально предстоящие принудительные действия. Департамент финансовых услуг Нью-Йорка недавно подчеркнул, что средства контроля кибербезопасности, ожидаемые от традиционных финансовых учреждений, применяются к криптобизнесу , находящемуся под юрисдикцией DFS .

В августе Управление по контролю за иностранными активами наложило санкции на микшер Tornado Cash, который предположительно использовался для отмывания 7 миллиардов долларов в результате взлома криптовалюты, после того как ранее в этом году были наложены санкции на Blender.io. Эти действия OFAC создают проблемы с соблюдением требований для организаций, которые могли взаимодействовать с санкционированными адресами или платформами блокчейна.

Приоритет правоохранительных органов. Усилия Министерства юстиции в области криптографии в этом году уже привели к крупнейшей в истории финансовой конфискации — 3,6 миллиарда долларов в криптовалюте, связанной со взломом биржи виртуальных валют Bitfinex в 2016 году.

30 июня Министерство юстиции также объявило об обвинениях против шести ответчиков , предположительно причастных к мошенничеству с NFT и мошенническому первоначальному предложению монет. В тот же день ФБР добавило «Криптокоролеву» в свой список «Десять самых разыскиваемых беглецов» на основании предполагаемой схемы мошенничества на 4 миллиарда долларов с участием «OneCoin».

В свете нормативных и правоохранительных органов организациям следует разработать политики и процедуры для расследования инцидентов, исправления и реагирования.

Оценка рисков и документирование плана реагирования могут подготовить организацию к быстрым и эффективным действиям в случае возникновения инцидента. Взлом Axie Infinity стоимостью 600 миллионов долларов иллюстрирует преимущества оптимизации обнаружения и реагирования, поскольку шесть дней, прошедшие до того, как атака была раскрыта, привели к дополнительным потерям.

Из-за проблем с отслеживанием транзакций сотрудничество правоохранительных органов также может принести дивиденды. После сотрудничества потерпевших Министерство юстиции и ФБР вернули средства, переведенные через блокчейны в контексте программ-вымогателей.

Сотрудничество с частным сектором также может помочь. Существует несколько инструментов, созданных поставщиками и управляемых сообществом, для сообщения о взломах и злонамеренных криптоатаках, а усилия частного сектора привели к успешным действиям правоохранительных органов против преступных хакеров.

Иски по гражданским делам. Инциденты безопасности также подвергают криптоплатформы риску судебных разбирательств. Тяжущиеся стороны утверждали, что криптовалютные биржи проявили халатность, не предотвратив несанкционированные операции с учетными записями или не выявив преступные доходы, которые злоумышленники якобы перемещали через биржу.

Даже традиционные компании сталкиваются с судебными рисками после взломов криптовалюты.

Например, два крупных оператора сотовой связи столкнулись с делами, в которых утверждалось, что их предполагаемая халатность привела к атакам с подменой SIM-карты, в результате которых были украдены миллионы в криптовалюте.

Выводы для криптобизнеса

Хакеры получают миллиарды долларов прибыли, атакуя крипто-организации. Регуляторные органы уже давно сосредоточены на применении мер против компаний с неадекватной защитой кибербезопасности и готовы предпринять такие действия в контексте криптовалюты.

Учитывая широкомасштабные угрозы, криптоорганизации должны сосредоточиться на создании основы для надежных процессов и инноваций в области кибербезопасности.

Этот материал предназначен только для информационных целей и не предназначен для предоставления юридических, налоговых, финансовых или инвестиционных рекомендаций. Получателям следует проконсультироваться со своими советниками, прежде чем принимать подобные решения. Cripta Today не несет ответственности за любое принятое решение или любые другие действия или бездействие в связи с использованием Получателем этого материала.