Владельцы Maps.me и сервис Wallarm выходцев из «Хакера» оказались в истории со взломом криптобиржи KuCoin на $285 млн
Они до атаки отвечали за безопасность биржи и, по мнению криптофинансистов, могли помочь злоумышленникам с доступом к важным внутренним данным KuCoin. Главное из расследования RTVI.
В сентябре 2020 года криптовалютная биржа KuCoin оповестила клиентов о хакерской атаке: мошенники украли со счетов около $285 млн. По объёму похищенных средств кража стала самой крупной за год. Гендиректор сервиса Джонни Лю подозревал во взломе сотрудников и партнёров биржи, так как злоумышленники смогли заполучить приватные ключи от кошельков. А уже через неделю сообщил, что подозреваемых нашли, а $204 млн вернули.
Кто взломал биржу, до сих пор неизвестно. Аналитическая фирма Chainalysis полагала, что за атакой может стоять северокорейская группировка Lazarus, но доказательств так и не нашли. Зато известно, что к моменту взлома KuCoin больше полугода судилась с подрядчиком Convexity, который отвечал за её информационную безопасность. А тот «бился» в суде с субподрядчиком Wallarm, который выступал конечным исполнителем задач.
Редактор RTVI Мария Коломыченко попыталась разобраться, могли ли российские ИТ-компании быть причастны к взлому.
С чего началось и как кончилось сотрудничество
- Криптобиржа KuCoin и финтех-компания Convexity задумали создать совместное предприятие ещё в 2018 году. Первая должна была предоставить торговую платформу, вторая — взять на себя операционные и юридические задачи.
- Перед этим компании провели комплексную оценку бизнеса KuCoin, в том числе «пентест», или тест на проникновение, — имитацию хакерской атаки на биржу, чтобы определить её уязвимости. Convexity подписала договор с KuCoin и в августе 2018-го привлекла для теста Ивана Новикова — в прошлом «белого» хакера, который взламывал сервисы Facebook, «Яндекс», Apple и Google, а теперь сооснователя ИТ-фирмы Wallarm.
- Контракт с ним она не подписывала — лишь показала соглашение с KuCoin и сказала, что тест должен отвечать указанным в нём требованиям. За работу «хакер» получил около $88 тысяч в биткоинах.
Wallarm — международная компания в сфере информационной безопасности. Вместе с Новиковым её основал Степан Ильин. До этого Ильин работал главным редактором онлайн-журнала «Хакер», куда Новиков писал как автор.
- После теста KuCoin подписала ещё одно соглашение с Convexity, согласно которому последняя должна была взять на себя информационную безопасность сервиса. А сама Convexity в декабре того же года заключила наконец контракт с Wallarm. Та обещала предоставить KuCoin софт, обеспечить аудит, поддержку и защиту инфраструктуры.
- В сентябре 2019 года все договоры были расторгнуты — и последовали суды. В октябре того же года Convexity подала в арбитражный суд Сингапура на KuCoin, а в апреле 2020 года подала ещё один иск против Wallarm и лично Новикова — на этот раз в Верховный суд Калифорнии. И оба раза получила встречные иски.
С какими претензиями компании пошли в суд
- KuCoin разорвала «заключённое под давлением» соглашение с Convexity, потому что та «нарушила договорные обязательства». А ещё оформила отдельный иск за то, что Convexity посягнула на «конфиденциальность, взломав сервер KuCoin и неправомерно воспользовавшись [секретной] информацией». По словам биржи, с августа по декабрь 2018-го Wallarm «незаконно имела доступ к системе KuCoin без авторизации, скачивала пользовательскую информацию, исходный код и даже пыталась получить доступ к средствам клиентов».
- Convexity требовала от KuCoin $2,8 млн за ранний разрыв соглашения. А любые обвинения в свой адрес отрицала и перекладывала их на Wallarm. Субподрядчик, по словам компании, медлил и был невнимательным, неправильно настраивал ПО, которое постоянно отказывало, и не мог обнаружить и предотвратить угрозы. Convexity также заявила, что «пентест» проводил не лично Новиков, а Wallarm. Ни Convexity, ни KuCoin разрешения на это не давали.
- Wallarm заявляла, что добросовестно выполняла условия договора до его прекращения и обвиняла в нарушениях Convexity: соглашение с Wallarm она разорвала только в сентябре 2019-го, а платить за услуги перестала ещё в мае. Обвинения во взломе субподрядчик назвал «ложными» и «разрушительными» для репутации.
Согласно источнику RTVI, из-за судебных тяжб от Wallarm ушёл акционер и первый инвестор компании — венчурный фонд Runa Capital.
- На начало августа 2022 года процессы до сих пор идут. Сингапурский суд изначально отклонил иск Convexity о неустойке и иск KuCoin о нарушении конфиденциальности, но позже решение частично отменили: Высокий суд постановил вернуть дело о неустойке на рассмотрение. Промежуточных решений по суду в США с Wallarm не было.
Как видят ситуацию и её возможное развитие сторонние эксперты
- Вот как источники RTVI пытаются объяснить мотивы KuCoin. Новый гендиректор биржи выяснил, что за информационную безопасность компания платила в четыре раза больше рыночной цены: Convexity ежемесячно брала с KuCoin $200 тысяч, а Wallarm, которая всё выполняла, получала только $46,7 тысяч. KuCoin захотела расторгнуть дорогостоящее соглашение с Convexity — и, вероятно, думала закупать услуги напрямую.
- Основатель криптобиржи Garantex Сергей Менделеев плохо понимает позицию Convexity. Во-первых, для аудита не нанимают людей, «просто побегав по рынку»: компании явно неплохо друг друга знали как минимум в вопросах управления. Во-вторых, именно подрядчик отвечает за работу субподрядчика. Если та его не устраивает, в его интересах «зафиксировать разногласия и разойтись».
- Обвинения во взломе 2020 года Менделеев считает сомнительными, поскольку судебный процесс к тому моменту уже шёл. Скорее всего, речь о соучастии во взломе — например, «путём передачи злоумышленникам информации, полученной во время работы с KuCoin».
Ты нанимаешь подрядчика, тот нанимает субподрядчика, в процессе кого-то из их сотрудников забывают авторизовать и прописать в договоре, и в итоге получается, что доступ к системе и данным о её работе получает кто-то, с кем нет никаких документальных договоренностей. То есть «ломать систему должен был Иванов, а помогал ему в итоге сидящий за соседним столом Сидоров, которого в договоре нет.
«Предъявить» за такой тест и назвать его взломом могут. Насколько это этично — не мне судить.
- Основатель образовательной платформы «Бизнес без опасности» Алексей Лукацкий согласен, что KuCoin могла посчитать взломом сам тест. По его словам, услуги по проведению пентестов практически не регулируются, договор «не слишком чётко очерчивает, что может делать исследователь, ведь в этом суть — попробовать разные тактики, чтобы найти все уязвимости и способы взлома».
Луцкий также полагает, что взлом мог случиться и до судов, просто компания объявила о нём позднее.
- Адвокат Виктор Рыков из коллегии Pen&Paper говорит, что и в Сингапуре, и в США за компьютерные атаки предусмотрены штрафы и тюремные сроки. В Сингапуре, например, первые доходят до $50 тысяч, а вторые — до семи лет.
Иронично, KuCoin накукойнили
Безопасники Кукойна смотрели со стороны и им нравилось
Как-то подозрительно, что до сих пор неизвестно кто взломал биржу, но при этом нашли подозреваемых и даже вернули $204 млн ...
Так найти де факто того кто украл не сложно по транзакции. Но ты найдешь не человека а лишь его цифровой и достаточно анонимный след.
А по поводу возврата некоторые контракты предусматривают подобную ситуацию и бывает имеют, например, возможность полной блокировки украденных средств и вывод их из обращения или даже перевыпуск новых токенов в замен выведенных и т.д.
Больше похоже на вынос сора из избы. Скорее всего, пиз&#ли все, но запалились. Нужен крайний, желательно один.
Статья - огонь, но почему нет комментария от Ивана Новикова?
Иван - открытый предприниматель, регулярно снимает ролики для своего канала "Силиконовая правда". (см. его ролик)
В описании канала есть ссылки на его Телеграмм-канал и Телеграмм-чат.
Почему бы не зайти в чат и предложить Ивану дать ответы на эти бездоказательные, высосанные из пальца обвинения?
https://www.youtube.com/watch?v=bW1mDjqxr78
Отдельно выкладываю скрин с описанием канала Ивана Новикова: