Владельцы Maps.me и сервис Wallarm выходцев из «Хакера» оказались в истории со взломом криптобиржи KuCoin на $285 млн Статьи редакции

Они до атаки отвечали за безопасность биржи и, по мнению криптофинансистов, могли помочь злоумышленникам с доступом к важным внутренним данным KuCoin. Главное из расследования RTVI.

В сентябре 2020 года криптовалютная биржа KuCoin оповестила клиентов о хакерской атаке: мошенники украли со счетов около $285 млн. По объёму похищенных средств кража стала самой крупной за год. Гендиректор сервиса Джонни Лю подозревал во взломе сотрудников и партнёров биржи, так как злоумышленники смогли заполучить приватные ключи от кошельков. А уже через неделю сообщил, что подозреваемых нашли, а $204 млн вернули.

Кто взломал биржу, до сих пор неизвестно. Аналитическая фирма Chainalysis полагала, что за атакой может стоять северокорейская группировка Lazarus, но доказательств так и не нашли. Зато известно, что к моменту взлома KuCoin больше полугода судилась с подрядчиком Convexity, который отвечал за её информационную безопасность. А тот «бился» в суде с субподрядчиком Wallarm, который выступал конечным исполнителем задач.

Редактор RTVI Мария Коломыченко попыталась разобраться, могли ли российские ИТ-компании быть причастны к взлому.

• Криптобиржа KuCoin и финтех-компания Convexity задумали создать совместное предприятие ещё в 2018 году. Первая должна была предоставить торговую платформу, вторая — взять на себя операционные и юридические задачи.

• Перед этим компании провели комплексную оценку бизнеса KuCoin, в том числе «пентест», или тест на проникновение, — имитацию хакерской атаки на биржу, чтобы определить её уязвимости. Convexity подписала договор с KuCoin и в августе 2018-го привлекла для теста Ивана Новикова — в прошлом «белого» хакера, который взламывал сервисы Facebook, «Яндекс», Apple и Google, а теперь сооснователя ИТ-фирмы Wallarm.
• Контракт с ним она не подписывала — лишь показала соглашение с KuCoin и сказала, что тест должен отвечать указанным в нём требованиям. За работу «хакер» получил около $88 тысяч в биткоинах.
  

• После теста KuCoin подписала ещё одно соглашение с Convexity, согласно которому последняя должна была взять на себя информационную безопасность сервиса. А сама Convexity в декабре того же года заключила наконец контракт с Wallarm. Та обещала предоставить KuCoin софт, обеспечить аудит, поддержку и защиту инфраструктуры.
  
• В сентябре 2019 года все договоры были расторгнуты — и последовали суды. В октябре того же года Convexity подала в арбитражный суд Сингапура на KuCoin, а в апреле 2020 года подала ещё один иск против Wallarm и лично Новикова — на этот раз в Верховный суд Калифорнии. И оба раза получила встречные иски.

• KuCoin разорвала «заключённое под давлением» соглашение с Convexity, потому что та «нарушила договорные обязательства». А ещё оформила отдельный иск за то, что Convexity посягнула на «конфиденциальность, взломав сервер KuCoin и неправомерно воспользовавшись [секретной] информацией». По словам биржи, с августа по декабрь 2018-го Wallarm «незаконно имела доступ к системе KuCoin без авторизации, скачивала пользовательскую информацию, исходный код и даже пыталась получить доступ к средствам клиентов».
• Convexity требовала от KuCoin $2,8 млн за ранний разрыв соглашения. А любые обвинения в свой адрес отрицала и перекладывала их на Wallarm. Субподрядчик, по словам компании, медлил и был невнимательным, неправильно настраивал ПО, которое постоянно отказывало, и не мог обнаружить и предотвратить угрозы. Convexity также заявила, что «пентест» проводил не лично Новиков, а Wallarm. Ни Convexity, ни KuCoin разрешения на это не давали.
• Wallarm заявляла, что добросовестно выполняла условия договора до его прекращения и обвиняла в нарушениях Convexity: соглашение с Wallarm она разорвала только в сентябре 2019-го, а платить за услуги перестала ещё в мае. Обвинения во взломе субподрядчик назвал «ложными» и «разрушительными» для репутации.
  

• На начало августа 2022 года процессы до сих пор идут. Сингапурский суд изначально отклонил иск Convexity о неустойке и иск KuCoin о нарушении конфиденциальности, но позже решение частично отменили: Высокий суд постановил вернуть дело о неустойке на рассмотрение. Промежуточных решений по суду в США с Wallarm не было.

• Вот как источники RTVI пытаются объяснить мотивы KuCoin. Новый гендиректор биржи выяснил, что за информационную безопасность компания платила в четыре раза больше рыночной цены: Convexity ежемесячно брала с KuCoin $200 тысяч, а Wallarm, которая всё выполняла, получала только $46,7 тысяч. KuCoin захотела расторгнуть дорогостоящее соглашение с Convexity — и, вероятно, думала закупать услуги напрямую.
• Основатель криптобиржи Garantex Сергей Менделеев плохо понимает позицию Convexity. Во-первых, для аудита не нанимают людей, «просто побегав по рынку»: компании явно неплохо друг друга знали как минимум в вопросах управления. Во-вторых, именно подрядчик отвечает за работу субподрядчика. Если та его не устраивает, в его интересах «зафиксировать разногласия и разойтись».
  
• Обвинения во взломе 2020 года Менделеев считает сомнительными, поскольку судебный процесс к тому моменту уже шёл. Скорее всего, речь о соучастии во взломе — например, «путём передачи злоумышленникам информации, полученной во время работы с KuCoin».
  

• Основатель образовательной платформы «Бизнес без опасности» Алексей Лукацкий согласен, что KuCoin могла посчитать взломом сам тест. По его словам, услуги по проведению пентестов практически не регулируются, договор «не слишком чётко очерчивает, что может делать исследователь, ведь в этом суть — попробовать разные тактики, чтобы найти все уязвимости и способы взлома».

• Адвокат Виктор Рыков из коллегии Pen&Paper говорит, что и в Сингапуре, и в США за компьютерные атаки предусмотрены штрафы и тюремные сроки. В Сингапуре, например, первые доходят до $50 тысяч, а вторые — до семи лет.

#kucoin #криптовалюта