Как крадут BitCoin’ы и почему пользоваться этой системой стоит начать прямо сейчас

Начало весны было отмечено кражей со взломом, в результате которой со счетов нескольких пользователей одного из «облачных» провайдеров неизвестные унесли больше 200 тысяч долларов. Крупные сетевые СМИ инцидент вниманием обошли, что неудивительно: кражи в киберпространстве давно перестали быть чем-то необычным, да и сумма похищенного слишком мала, чтобы посвятить ему первые полосы.

Но есть и ещё одно обстоятельство, помешавшее популярным ресурсам рассказать о происшествии — и в силу именно этого обстоятельства о случившемся стоит узнать подробней. Деньги были похищены не из банка, а с криптографических кошельков BitCoin. Если вы не сталкивались с этой системой раньше, ниже будет рассказано о её базовых принципах, пока же просто поверьте, что BitCoin — самое необычное и очень может быть самое перспективное из придуманного ИТ-индустрией за последние несколько лет.

Но — кража! В общих чертах картина происшедшего получается следующей. Все пострадавшие были клиентами американской компании Linode — бюджетного «облачного» провайдера (аренда выделенных серверов). Это надёжное недорогое место, которым пользуются в том числе и несколько BitCoin-проектов: магазинов, позволяющих рассчитываться в валюте BTC (так теперь принято именовать BitCoin сокращённо), обменных пунктов для перевода денег из BTC в обычные деньги и обратно, и т.п. Владелец одного из них (Марек Палатинус) и обнаружил 1 марта пропажу денег со своего BitCoin-кошелька.

Речь шла о 3 тысячах BTC, что по текущему курсу эквивалентно примерно 12 тысячам евро. Впрочем, вскоре о недостаче уже на своих кошельках объявили ещё семь человек, державших BitCoin-проекты на серверах Linode. Кто-то потерял всего пять BTC-единиц (Gavin Andresen, его имя ещё всплывёт ниже), кто-то (владельцы уникального торгового терминала Bitcoinica) уже 43 тысячи BTC.

BitCoin всё ещё остаётся уделом айтишников-экспериментаторов, но обращающиеся в системе суммы уже впечатляют. Полгода назад многие покупали BTC в надежде на рост курса. К настоящему моменту криптовалютой всё чаще пользуются по назначению, как удобнейшим средством для интернет-платежей. Кстати, блестящие монетки тут просто для виду, настоящие BitCoin — всего лишь числа (фото: Zcopley)

Расследование по горячим следам показало, что взломщики проникли сперва в систему администрирования Linode, после чего просто извлекли всю необходимую информацию у нужных клиентов. Linode свою вину нехотя признала, но словами делу не поможешь. Деньги с кошельков уже переведены и обратного хода нет: в отличие от классических платёжных систем (Яндекс.Деньги, PayPal, Webmoney и им подобных) у BitCoin нет хозяина, которому можно было бы пожаловаться.

И вот тут самое время вспомнить, как устроена и работает BitCoin. Эту уникальную систему — хитроумную смесь стойкой криптографии и P2P-механизмов — придумал и запустил три года назад фактически один человек, известный под псевдонимом Сатоши Накамото. Несмотря на необычное устройство, пользование BitCoin не отличается от работы с другими системами электронной наличности: вы заводите «кошелёк», и получаете на него деньги, либо расплачиваетесь с другими. Однако есть три принципиальных отличия.

Во-первых, у BitCoin нет хозяина, который поддерживал бы её работу. Вместо этого владельцы BTC-кошельков отчитываются о своих операциях друг перед другом. Несколько упрощая, когда клиент А передаёт какую-то сумму клиенту Б, он должен известить об этом не только Б, но и всех других пользователей системы. Для чего это нужно? Если А впоследствии попытается потратить уже потраченную «цифровую купюру» второй раз (обман!), именно другие пользователи, бывшие свидетелями первой сделки, ему помешают.

Во-вторых, кошельки пользователей хранятся не на сервере компании-владельца (которой нет), а на компьютерах самих пользователей. Кошелёк в BitCoin — это просто пара длинных чисел, одно из которых публикуется (служит номером кошелька, на который принимаются деньги), второе держится в секрете (является подписью владельца при выводе денег из кошелька). Потеряете кошелёк (два числа) — потеряете и деньги, которые в нём «хранятся». Поэтому числа можно, к примеру, напечатать на бумаге — и превратить кошелёк в бумажный. Все эти фокусы возможны потому что числа являются просто вашим идентификатором в системе BitCoin, а сведения о сумме, содержащейся в вашем кошельке, хранятся другими пользователями (вспомните пример с А и Б).

Наконец, в-третьих, BitCoin абсолютна анонимна и неподконтрольна кому бы то ни было. Пользователи системы знают друг друга только по номерам кошельков. Запретить или обложить комиссией и налогами передачу BTC-валюты от одного пользователя другому не может ни какая-то компания, ни полиция, ни одно государство. И точно так же никто не в силах лишить вас ваших денег, «заморозив» или удалив кошелёк. Боитесь за сохранность информации на жёстком диске? Отпечатайте реквизиты кошелька на бумаге и спите спокойно, ничей каприз или выходка не оставят вас без вашей BTC-наличности.

За более подробным описанием внутренностей BitCoin можете обратиться к моей июньской колонке (см. «BitCoin: пирамида или валюта будущего?»), здесь же позвольте ограничиться выводом: необычное устройство этой платёжной системы наделяет её уникальными преимуществами перед системами классическими. Произвол американской PayPal уже стал притчей во языцех, но точно так же — блокируя кошельки пользователей без каких-либо объяснений — действует и администрации отечественных Webmoney, Яндекс.Денег (читайте замечательную статью Максима Букина «Яндекс.Деньги: безальтернативный отъём») и всех прочих. Только BitCoin даёт гарантированную возможность перевести средства от пользователя А к Б никому ничего не объясняя, без посредников и тем более оплаты их услуг, и не опасаясь потерять деньги в процессе пересылки.

За прошедшие после июньской публикации три квартала в мире BitCoin случилось немало важного и интересного. Валюта пережила огромный всплеск интереса летом (когда за одну BTC давали 30 долларов) и обвал осенью. Сегодня курс — формируемый фактически только спросом и предложением — стабилизировался у отметки пять долларов США за BTC-единицу. Попутно сформировалась прослойка спекулянтов, торгующих BitCoin в надежде поживиться на колебаниях курса, и тем самым обеспечивающих ликвидность: купить и продать BTC теперь легче. Сотни, если не тысячи веб-сайтов принимают BTC-наличность наравне с обычными деньгами.

Начинать знакомство с BitCoin лучше всего по такой схеме: скачайте клиентскую программу (см. bitcoin.org), сгенерируйте BTC-кошелёк и разместите его номер на своей веб-страничке. С таким, к примеру, текстом: если эта статья вам пригодилась, пожертвуйте автору малую сумму :-) Выше приведён номер моего (Е.З.) экспериментального кошелька.

К сожалению, отчасти сбылись и опасения, вызванные абсолютной свободой BitCoin. Рано или поздно анонимная, независимая электронная валюта должна была попасть в прицел правоохранительных органов (ну, вы понимаете: отмывание денег, финансирование терроризма и далее по обычному списку). Не желая столкнуться с властями, но и не имея возможности получить официальное «добро» на операции с BTC, предпочла закрыться американская BitCoin-биржа TradeHill (вторая по величине после японской MtGox), прекратила приём и выплату BitCoin-наличности канадская платёжная система Paxum (кстати, весьма либеральная: контакты с порнобизнесом её не смущают).

Впрочем каких-либо официальных заявлений со стороны государственных органов США или других стран пока не было. Поэтому BitCoin пока остаётся в правовом поле. И тем актуальней вопрос: как удалось похитить деньги у пользователей этой неуязвимой системы?

Чтобы понять механизм кражи, вспомните про два числа, которые и являются BitCoin-кошельком. Несколько упрощая, если злоумышленник получит в своё распоряжение эти числа, он получит и возможность распоряжаться наличностью, на этот кошелёк записанной. Вор, проникший на Linode, действовал именно так: он похитил секретные реквизиты кошельков и перевёл деньги на собственный.

Чтобы минимизировать риск, владельцы обменных пунктов (и других веб-ресурсов, предполагающих автоматическую выплату BTC) стараются держать на серверах кошелёк с минимумом наличности. Но получается, как видите, не всегда: для популярной BitCoinica необходимым минимумом оказались 43 тысяч BitCoin-единиц.

Способ противостоять кражам BTC уже придуман (для совершения платежа применять не один секретный ключ, а два, размещённых на разных серверах; задачей занимается уже знакомый вам Gavin Andresen), но ещё не реализован в коде. Интересней другое. О каждой транзакции в системе BitCoin должно быть сообщено всем пользователям. Нельзя ли таким образом идентифицировать вора?

Увы, нет. И помешает этому ещё одно фундаментальное свойство BitCoin, придуманное для пущей анонимности. Номер кошелька, на который вор перевёл похищенные деньги, известен. Однако сразу же после транзакции этот номер автоматически заменяется новым (предыдущие, впрочем, остаются в силе и могут использоваться по желанию владельца). С одной стороны это препятствует слежке за пользователями системы. С другой — мешает идентифицировать и вора.

Таким образом обкраденным клиентам Linode остаётся только сожалеть о пропаже. Денег им не вернуть. Но — сделайте из случившегося правильный вывод. Сложность и несовершенство BitCoin — кстати, стремительно испаряющиеся — дают уникальный шанс воспользоваться ею для собственной выгоды, пока систему не распробовали ваши конкуренты.

Если ваш бизнес связан с Веб, не пожалейте времени, разберитесь с BitCoin, подумайте, как можно применить её в вашем случае. Возможно это окажется проще, чем вы думаете, и уж точно надёжней и дешевле, чем строить отношения с клиентами через посредничество капризных, непредсказуемых классических систем интернет-наличности.

Bitcoin,биткойн,P2P,криптовалюта,киберкриминал,Linode,MtGox,BTC,Яндекс.Деньги,PayPal,Webmoney