З кожним роком криптовалютні біржі та децентралізовані додатки стають все більш популярними, залучаючи сотні тисяч нових користувачів, які бажають інвестувати у цифрові активи. Проте, разом з цим зростає і кількість кіберзлочинів, спрямованих на викрадення криптовалюти. Захист акаунтів користувачів стає критично важливою задачею, і одним із найбільш ефективних методів є використання двофакторної автентифікації (2FA).
Однак, традиційні методи 2FA, такі як SMS-коди та підтвердження через електронну пошту, мають свої вразливості. У цій статті ми розглянемо використання фізичних ключів безпеки як найбільш надійного варіанту підтвердження дій на прикладі таких криптовалютних бірж: Binance, OKX, WhiteBit. Розповімо про протоколи безпеки, який інтегрували собі ці компанії, щоб ми змогли використовувати фізичні ключі. Розглянемо шлях вразливості від вашого децентралізованого додатка на телефоні чи комп’ютера, до Google аккаунту чи Apple ID.
Але спочатку розповімо про останню велику Bitcoin конференцію в Нешвілл США, яка пройшла з 25-27 липня 2024 року. А точніше, про виступ представників двох схожих і в той самий час дуже різних продуктів – CASA та LEDGER.
Першими виступав представник компанії CASA. Casa.io – це додаток для криптовалют, який дозволяє вам самостійно керувати своїми цифровими активами. Аналог гарячого гаманця, який має велику безпекову надійність. Так ось, основною новиною презентації було інтегрування можливості підпису транзакцій ключами безпеки Yubikey! «Всі можливості гарячих гаманців тепер захищені фізичним підписом вашого Ключа Безпеки» – казав представник компанії, демонструючи відео як проходить підтвердження, транслюючи картинку де ключ був відображений посередині між холодним та гарячим зберіганням.
Назвавши його “Cool Wallet”, сміючись, що такий спосіб поєднання можна назвати “прохолодний”.
Ledger презентував новий криптогаманець Ledger Flex з сенсорним захищеним екраном, який дає можливість повністю бачити ваші транзакції, відображає ваші NFT як при роботі, так і в режимі очікування. А в кінці презентації зазначили: «Ми добре знаємо вашу любов до бірж, як любите ви їх використовувати, як дорожите своїми акаунтами, тому ми подбали про вас. Нова функція Security key в Ledger»!
Насамперед цю функцію додали на всі Ledger, останні ж пристрої Stax та Flex мають NFC (як і більшість ключі безпеки Yubico), тому використання їх з мобільними пристроями чи комп’ютерами з цією технологією є зручнішим ніж через кабель.
Тож, роблячи висновок можемо зазначити що використання ключів безпеки стає буденністю, тому давайте детальніше розгорнемо цю тему.
Швидко пригадаємо, що таке двофакторна автентифікація?
Двофакторна автентифікація (2FA) — це метод захисту, який вимагає від користувача два види підтвердження його особи для входу в акаунт або виконання важливих дій (до прикладу, виведення коштів). Найчастіше це поєднання “чогось, що ви знаєте” (пароль) і “чогось, що ви маєте” (фізичний ключ або мобільний пристрій).
Численні випадки крадіжок криптовалюти підтверджують вразливість використання простих методів автентифікації. Наприклад, багато користувачів стикалися з ситуацією, коли їх кошти зникали з акаунтів на біржах. Під час розслідування від підтримки біржі з’ясувалося, що з акаунту було підтверджено виведення коштів через 2FA, коди якого надсилалися на електронну пошту або телефон. Відповідь та вердикт від працівників: вразливість була на боці користувача. Це вказує на те, що зловмисники змогли перехопити ці коди та здійснити крадіжку. Ще більш загадковими є крадіжки з підтвердженням від passkey з ваших пристроїв apple чи google, чи інших додатків автентифікаторів.
Як відбувається злам?
1. SIM-крадіжка (SIM-swapping): зловмисники можуть переконати мобільного оператора перевипустити SIM-карту, що дозволить їм отримувати всі SMS з кодами 2FA.
2. Фішингові атаки: користувачів можуть обманом змусити розкрити свої коди підтвердження через підроблені сайти або електронні листи.
3. Злом електронної пошти: якщо електронна пошта користувача зламана, зловмисники можуть отримати доступ до кодів підтвердження, що надсилаються туди.
4. Злом вашого Google чи Apple ID: це може відбутись через ту ж саму електронну пошту, або через вірусні програми в вашому комп’ютері чи смартфоні.
Фізичні ключі безпеки як надійний метод 2FA
Фізичні ключі безпеки, такі як YubiKey, становлять собою більш безпечний варіант 2FA. Вони працюють за протоколами U2F (Universal 2nd Factor) або FIDO2, які забезпечують високий рівень захисту. Найбільш значною різницею між ними є те, що перший був створений для того, щоб дозволити усій автентифікації стати безпарольною. Натомість FIDO U2F призначений служити як другий фактор для паролів. Ці протоколи інтегровані в популярні програми, додатки та навіть цілі системи на кшталт Microsoft, Google та Apple.
Основні переваги від використання фізичних ключів безпеки:
1. Захист від фішингу: фізичні ключі безпеки автентифікують користувача безпосередньо з вебсайтом, що унеможливлює перехоплення коду фішинговими сайтами.
2. Захист від зломів: на відміну від кодів, що надсилаються на електронну пошту або телефон, фізичний ключ неможливо перехопити дистанційно. Кожен ключ індивідуальний та містить окремий код, це перешкоджає відкриттю вашого акаунту іншим ключем. Плюс, на ключ встановлюється PIN code, який захистить власника на випадок крадіжки (після втрати треба швидко відв’язати старий ключ через запасний, на випадок підбору пін-коду).
3. Зручність: Фізичний ключ достатньо підключити до USB-порту або використати NFC, щоб підтвердити свою особу. Малий розмір дає змогу непримітно носити з собою. А у випадку ключів фірми Yubico, це ще ударостійкість та захист від пилу і води IP68.
Використання фізичних ключів на прикладі деяких популярних в Україні криптовалютних бірж:
Binance
Binance активно рекомендує використання фізичних ключів безпеки. Ось що вони пишуть про це у Блозі та Академії:
«Сайт Binance, як на комп’ютері/ноутбуці, так і на мобільному пристрої, тепер підтримує стандарт відкритої аутентифікації FIDO2. Це означає, що пристрої 2FA, що підтримують даний стандарт, такі як YubiKey, Trezor і інші, можуть використовуватися в якості ключів безпеки для акаунтів Binance. До тих пір, поки у вас є ключі безпеки на вашому пристрої, ви можете користуватися цією функцією.»
Як і в більшості випадків, ці налаштування знаходяться в розділі Безпека.
Детальне відео підключення ключів безпеки до акаунту на Binance
WhiteBit, також підтримує фізичні ключі безпеки як додатковий фактор автентифікації. Користувачі можуть налаштувати ключ через розділ безпеки в налаштуваннях акаунту:
1) Увійдіть у ваш обліковий запис WhiteBIT і перейдіть у розділ “Налаштування облікового запису” та “Безпека”;
2) Виберіть секцію “Двофакторна аутентифікація”, натиснувши на кнопку “Редагувати”;
3) Натисніть на “Керування ключами доступу“, а потім “Продовжити”;
4) Зареєструйте ключ доступу, вибравши один із способів для автентифікації;
5) Підтвердіть ключ доступу за допомогою обраного вами способу.
Відеоогляд
OKX, одна з провідних криптовалютних бірж світу, підтримує фізичні ключі безпеки, що значно підвищує безпеку її користувачів.
Як і у більшості випадків, всі налаштування проходять в розділі Безпека Акаунту.
Рекомендації щодо використання фізичних ключів безпеки
Для максимального захисту рекомендується використовувати фізичні ключі безпеки як єдиний метод автентифікації при вході та виведенні криптовалюти. Це можливо налаштувати в розширених налаштуваннях Безпеки, нижче приклад з біржі Binance, де ми вмикаємо Використання ключів для важливих сценаріїв, таких як зняття коштів, вхід на нових пристроях та інше.
Окрім того, бажано мати мінімум два ключі: один використовувати постійно, а інший зберігати в безпечному місці на випадок, якщо з першим щось станеться.
Фізичні ключі безпеки пропонують найвищий рівень захисту для ваших акаунтів на криптовалютних біржах, значно знижуючи ризики зломів та крадіжок. Використання таких ключів у поєднанні з іншими заходами безпеки на кшталт білий список адрес (ви заздалегідь вносите адреси на які можете виводити кошти), парольні додаткові фрази під час виводу та інше, дозволяють вам надійно захистити ваші цифрові активи та уникнути небажаних втрат.
Додатковий захист ваших децентралізованих додатків та гарячих гаманців через захист системних облікових записів по типу Google Account чи Apple ID.
Якщо у більшості випадків додавання фізичних ключів безпеки інтегровано в розділ безпеки централізованих бірж, то у випадку децентралізованих додатків по типу Trust Wallet, Uniswap, 1inch, PancakeSwap та інших, такий варіант захисту поки не використовується, але як ви мали можливість прочитати про CASA, додатки почали брати це до уваги. Розглянемо варіант без ключів: ви реєструєтесь підв’язуючи електронну пошту, чи просто вигадуєте логін та пароль, або взагалі, під’єднуєте свої холодні чи гарячі гаманці не маючи ніяких акаунтів використовуючи їх як швидкий обмін. У такому випадку весь захист залежить від захисту вашої операційної системи та захищеності облікового запису.
Додатки можуть використовувати підтвердження входу через Паролі Passkey, наприклад, в iCloud (FaceID), чи підключення через Google Account та перевіркою пошти, у такому випадку ви стаєте заручником безпеки вашого акаунту. Злом останнього може призвести до допуску шахраїв на вашу пошту, до сховища паролів. З вашого ID злочинники можуть заходити в додатки та підтверджувати дії там, де вистачає лише вашого девайса чи пошти. На цей випадок, вам знов знадобляться фізичні ключі безпеки, їх можна додати як двофакторну автентифікацію, наприклад в Google Аccount (зробивши єдиним способом входу), та обов’язковим автентифікатором при відкритті Apple ID на іншому пристрої. Таким чином ви закриєте можливості вкрасти ваші кошти через злом акаунтів.
Приклад додавання фізичних ключів безпеки:
Тож, основні поради з цієї теми:
1.Використовуйте фізичні ключі на Криптовалютних біржах. Робіть такі ключі єдиним фактором для входу на акаунт та підтвердження транзакцій.
2. Зберігайте запасний ключ. Завжди треба мати мінімум два ключі, один використовувати, а інший зберігати у безпечному місці на випадок втрати або пошкодження першого ключа, якщо ви робите ключ єдиним фактором входу.
3. Регулярно оновлюйте налаштування безпеки. Перевіряйте налаштування безпеки на біржах та вмикайте всі доступні функції захисту. Перевіряйте в налаштуваннях які пристрої мають доступ до ваших програм та додатків.
4. Захистіть ключами безпеки свої основні акаунти, по типу Apple ID та Google. Використовуйте фізичні ключі безпеки у зв’язці з криптовалютними додатками по типу CASA та інших, для безпечних транзакцій та зберігання криптовалют, звісно з тими програмами, які вже інтегрували ці протоколи для можливості їх додавання.
Простий та надійний спосіб для додаткового захисту своїх облікових записів бірж, додатків, гарячих гаманців або електронної пошти — це двофакторна аутентифікація (2FA).
Двофакторна аутентифікація – це захисний механізм, що передбачає використання двох різних методів підтвердження ідентичності користувача перед отриманням доступу до облікового запису або системи. Основна ідея полягає в використанні не лише чогось, що користувач знає (наприклад, пароль), але і чогось, що користувач має (наприклад, фізичний пристрій чи мобільний телефон).
Злочинці можуть здобути паролі та все одно зіткнуться з додатковим бар’єром, оскільки їм також потрібно мати фізичний об’єкт або інший вид ідентифікації.
Як працює двофакторна автентифікація?
- Обираєте сервіс для входу, вводите логін-пароль.
- – Отримуєте і вводите код;
– або вставляєте фізичний ключ, підтверджуєте вхід натисканням кнопки. - Готово!
Які бувають методи 2FA?
Для 2FA можуть використовуватися:
- одноразові коди з sms, email або з програм-автентифікаторів (google Authenticator),
- біометричне сканування (відбиток пальця, Apple Face ID);
- фізичні пристрої: ключі безпеки (Yubico) чи холодні криптогаманці (Ledger, Trezor).
Окремо розглянемо, як що працює:
Автентифікація за допомогою SMS – це процес підтвердження особистості користувача шляхом відправлення одноразового коду на його мобільний телефон для входу в систему або підтвердження дій. Цей код використовується для забезпечення безпеки та перевірки правильності введених даних.
На наш погляд це не завжди зручний та, враховуючи перебої з сотовим зв’язком, не дуже надійний спосіб.
Автентифікація за електронною поштою — це процес підтвердження особи через електронний лист, зазвичай шляхом введення коду або переходу за унікальним посиланням, для підтвердження її ідентичності. Це забезпечує безпеку і впевненість, що вхід або доступ до системи/акаунта здійснюється лише особою, яка має належні дозволи.
Якщо email сервіс працює коректно, то це доступний та простий метод 2FA.
Google Authenticator, як приклад програми-автентифікатора — це безкоштовний застосунок для мобільних пристроїв, який генерує одноразові коди для багатофакторної аутентифікації, забезпечуючи додатковий рівень безпеки під час входу в облікові записи.
Це популярний та зручний спосіб 2FA, захищений від зломів та робочий як годинник. Використовуючи його ви будете незалежні від перебоїв мобільних операторів чи сервісів по email-розсилкам.
Автентифікація за допомогою відбитка пальця або Face ID – це процес визначення особи користувача за його унікальними біометричними характеристиками, який використовує технологію сканування 3D-моделі для забезпечення доступу до пристрою чи підтвердження платежів.
З цим методом суцільні очевидні переваги – це безкоштовно, завжди з собою, не залежить від технічних перебоїв, неможливо передати третім особам (хоча в деяких випадках це може стати мінусом). Проте пам’ятайте одне: біометрія не може легко розрізнити фактичний намір автентифікації. Просто подивитися на пристрій не означає намір увійти.
Автентифікація через ключі безпеки та апаратні гаманці — це процес перевірки особи за допомогою спеціального пристрою або ключа, який забезпечує доступ до системи чи даних. Вони працюють офлайн, можуть підключатися по USB, NFC або Bluetooth, що дозволяє їх використання як на комп’ютері, так і на смартфоні.
Використання фізичних пристроїв є найбезпечнішим методом 2FA, який захистить від будь-яких розповсюджених спроб заволодіти доступом до облікових записів користувача.
Розглянемо, чому ж sms, email або код з програми-автентифікатори не найнадійніші варіанти для 2FA?
Ці методи 2FA ніколи не врятують від фішингу.
Фішинг — це вид кібершахрайства, коли зловмисники використовують хитромудрі методи для виведення користувачів на інші ресурси та вибудовування їхньої конфіденційної інформації. Зазвичай це відбувається через вигляд офіційних чи довірчих повідомлень, електронних листів чи вебсайт, які є несправжніми та створеними для обману. Вони можуть виглядати так, що не викликатимуть жодних сумнівів, що ви знаходитесь на оригінальному ресурсі. Отже, вводячи свої дані: логін, пароль та код зі смс-повідомлення, зловмисник моментально їх копією, вводить на справжньому ресурсі та проникає в обліковий запис користувача.
Вам може здатися, що ви точно ніколи не потрапите на цю вудочку, але насправді методи шахраїв стають більш витонченими, що навіть досвідчені користувачі потрапляють в цю пастку.
А ось трохи цифр про фішинг
- Фішинг є найпоширенішим способом викрадення облікових даних і пов’язаний з 36% усіх витоків даних.
- 39 секунд — Середній час між кібератаками.
- 3,809,488 — Записи викрадають щодня через злами.
- 100 мільярдів доларів — Загальна вартість кіберзлочинності в нашому світі.
Які ж методи 2FA захистять від різних видів кібератак зокрема від фішингу?
Від фішингу та інших способів несанкціонованого доступу допоможуть:
- Сканування біометричних даних, на кшталт відбитка пальця або Face ID;
- Фізичні пристрої, які прив’язуються до конкретного ресурсу і на фішингових сайтах просто не спрацюють, тобто не відкриють доступ.
Цими пристроями можуть бути холодні криптогаманці з підтримкою 2FA (Ledger, Trezor, Keystone та інші) або спеціальні ключі безпеки, на кшталт Yubikey.
Наприклад, коли ви зареєструєте свій YubiKey у службі, він прив’язується до конкретної URL-адреси, і зареєстровані облікові дані не можна використовувати для входу на підроблений вебсайт. Це означає, що навіть якщо користувача обманом змусять натиснути посилання, яке переведе його на підроблений вебсайт, YubiKey ніколи не вдасться обдурити, тому спроба фішингу буде зірвана!
Які методи 2FA підтримуються найпопулярнішими крипто біржами та гарячими гаманцями, додатками?
Binance
- SMS
- Електронна пошта
- Binance Authenticator
- Google Authenticator
- Face ID
- Ключі безпеки Yubikey
Metamask
- Холодні гаманці Ledger, Trezor, Keystone
CryptoRank, CoinMarketCap
- Електронна пошта
Висновок
Використання двофакторної аутентифікації рекомендується, оскільки це робить облікові записи значно безпечнішими. Вразливість паролів може бути подолана завдяки другому шару захисту. Враховуючи поширеність кіберзагроз та атак фішингу, 2FA стає невіддільним елементом для забезпечення ваших особистих та конфіденційних даних в цифровому середовищі. Фізичний захист вашої електронної пошти на кшталт фізичних ключей безпеки захистить ваші акаунти, які перевірено лише за допомогою листів підтвердження. Face ID та YubiKey стануть у пригоді при підписанні транзакцій на біржі. Біометрія та апаратні гаманці захистять підписи транзакцій при використанні гарячих гаманців.
У будь-якому випадку не залишайте підтвердження через електронну пошту та смс на телефон єдиними захисними варіантами вашого акаунту, у цьому випадку все буде залежати від кваліфікації злочинців, які будуть займатися справою злому. Захистіть ваші облікові записи поверх біометричним скануванням, а краще фізичним пристроєм.
SEC (Securities and Exchange Commission) є державною комісією з цінних паперів та бірж у Сполучених Штатах. Це організація, що має значну вагу та вплив, з більш ніж п’ятьма тисячами співробітників. Вона вбудована в американську фінансову систему з метою контролю, регулювання, та обмеження ринку цінних паперів.
SEC виконує роль регулятора фінансового ринку в США, а її рішення та діяльність впливають на фінансові ринки по всьому світу. Якщо SEC у Вашингтоні забороняє або обмежує будь-що, це може становити небезпеку для компаній та учасників фінансових ринків не тільки в США, а й в інших країнах.
SEC відіграє важливу роль у захисті інвесторів, забезпеченні прозорості фінансових ринків та дотриманні законодавства у сфері цінних паперів. Її політика та регулювання мають далекосяжні наслідки для компаній та інвесторів, тому діяльність SEC привертає увагу та має вплив не лише на національному рівні, а й у глобальному масштабі.
До чого тут криптовалюти?
Нинішній глава SEC, Гарі Генслер вирішив оголосити війну всій криптовалютній індустрії. Дотягнутися до DeFi-сектору він поки що не може, тому всю енергію він направив на централізовані біржі та найбільші криптовалюти. Він заявив, що майже всі альткоїни – цінні папери, отже, вони потрапляють у зону відповідальності SEC.
10 червня 2023 року SEC ініціювала судові позови до двох найбільших централізованих криптобірж – Binance та Coinbase.
- Binance. У позові до Binance фігурували лише чотири криптовалюти: Binance Coin (BNB), Binance USD (BUSD), Cosmos (ATOM) та COTI (COTI).
- Coinbase. У позові до Coinbase з підозрою на «цінні папери» були присутні інші криптоактиви: Near Protocol (NEAR), Internet Computer (ICP), Chiliz (CHZ), Flow (FLOW), Nexo (NEXO), Dash (DASH) та Voyager (VGX).
Загальний список цінних паперів також містить такі монети: Cardano (ADA), Polygon (MATIC), Solana (SOL), Algorand (ALGO), Filecoin (FIL), The Sandbox (SAND), Decentraland (MANA), та Axie Infinity (AXS).
Тож, хто він такий, цей Гарі Генслер? Як довго він очолює Комісію з цінних паперів і бірж? Що він робив до того, як очолив SEC? Нумо розбиратись!
Ранні роки життя та початок кар’єри
Гарі Генслер народився 18 жовтня 1957 року в Балтиморі, Меріленд, у сім’ї підприємця, чий бізнес включав автомати для продажу сигарет і пінболу. Гарі проявив математичний талант, тому його батько часто брав його з собою в поїздки по барах Балтимора, де були встановлені автомати, щоб допомагати рахувати гроші.
Після закінчення Уортонської школи Пенсильванського університету в 1979 році він розпочав кар’єру в Goldman Sachs. Його обдарованість привернула увагу генерального директора банку, Роберта Рубіна. У віці 30 років Гарі став одним з наймолодших партнерів компанії, а згодом досяг значної посади в банку, відповідаючи за інвестиційну діяльність і ризик-менеджмент у всьому світі. Після 18 років роботи в Goldman Sachs, Гарі перейшов на державну службу.
У 1997 році він став помічником міністра фінансів з фінансових ринків, і працював поки на посаді міністра був Роберт Рубіна. Після заміни Рубіна Ларрі Саммерсом у 1999 році, Генслер став заступником міністра по внутрішнім фінансам.
У 2001 році, після завершення президентського терміну Білла Клінтона, Генслер не повернувся до бізнесу. Він працював в апараті сенатора Пола Сарбейнза, який очолював банківський комітет та був членом ради директорів Університету Страйєра і радником Хілларі Клінтон під час її президентської кампанії у 2008 році. Після виходу Клінтон з перегонів та її заклику підтримати Обаму, Клінтон стала державним секретарем, а Генслера призначили головою Комісії з торгівлі товарними ф’ючерсами (CFTC).
Робота у CFTC
Ця посада була дуже важливою, особливо в той період. Під час роботи в Мінфіні під керівництвом Саммерса у 2000 році, був прийнятий Закон про модернізацію товарних ф’ючерсів, який звільнив кредитні дефолтні свопи від регулювання, і саме вони стали однією з головних причин світової кризи 2008 року. У ролі голови CFTC, Генслер витратив багато зусиль на збільшення прозорості та зниження ризиків на ринках свопів та ф’ючерсів.
Під керівництвом Генслера у CFTC були повністю змінені правила гри на ринку похідних фінансових інструментів. Він працював над створенням нових правил, що регулюють цей ринок з оборотом в сотні трильйонів доларів. В певний момент під тиском фінансових секторів адміністрація Обами розглядала можливість повернення до попередньої схеми без регулювання, оскільки нові правила були пов’язані з великими витратами та відштовхувати інвесторів. Однак Генслер зумів витримати цей тиск. Він також успішно протистояв ідеї об’єднання CFTC з SEC. Замість цього, завдяки закону Додда-Франка від 2010 року, повноваження CFTC були розширені.
Джейкоб Лью, колишній міністр фінансів (2013-2017), називав Генслера одним з провідних реформаторів, які діяли після фінансової кризи 2008 року. Правила регулювання прийняті за його каденції допомогли зберегти стабільність ринку під час нещодавніх турбулентностей, спричинених пандемією.
За свою роботу у CFTC Генслер отримав репутацію жорсткого регулятора. І якби він не нажив собі стільки ворогів у фінансових колах протягом свого п’ятирічного головування у CFTC, він міг би одразу претендувати на вищу посаду, наприклад, голови SEC або міністра фінансів.
Тодішні умови змусили Генслера покинути державну службу у 2014 році та повернутися до світу передвиборчих кампаній, де він працював фінансовим директором під час президентської кампанії Хілларі Клінтон. Після перемоги Трампа, Генслер почав працювати професором в MIT. В той час він почав займався вивченням актуальної теми блокчейну та криптовалют.
В MIT, можливо, за іронією долі з огляду на його нинішню позицію, він викладав у студентів курс про технологію блокчейн. До речі, під час однієї з лекцій поточний голова SEC відкрито заявив, що більшість криптовалют не є цінними паперами. Відео цієї лекції можна переглянути на YouTube.
Генслер, SEC і війна з крипто сектором
У 2021 році, після приходу до влади, Джо Байден призначив Генслера головою SEC. Агентство, яке вже було втягнуте в судовий позов із Ripple Labs через твердження про те, що криптовалюта XRP є незареєстрованим цінним папером, посилило свою антикриптовалютну позицію. Сам Генслер вже у 2019 році, у своєму свідченні перед Конгресом США, заявив, що не має відношення до криптовалют, говорячи: «Я не консультую фінансові, технологічні, блокчейн чи інші компанії, і я не маю криптовалют».
З моменту призначення Генслер активно має на меті посилити контроль над криптовалютами, описуючи їх як «Дикий Захід». У 2021 році він заявив, що криптовалюти мають потрапляти під регулювання SEC або CFTC, а наступного року він оголосив про намір зареєструвати та регулювати криптовалютні платформи.
Гері Генслер виступає на боці держави, яка вперто не хоче допустити подальшої популяризації криптовалют і таким чином захищає долар. Що в результаті й визначає позицію голови регулятора, хто ще кілька років тому активно захищав індустрію цифрових активів і називав її децентралізованою.
Цікавим є те, що він не робить явних заяв про те, чи вважає він Ethereum цінним папером, і практично не згадує Bitcoin. Генслер і його команда націлилися на криптовалютні біржі, назвавши понад 60 великих криптовалют незареєстрованими цінними паперами. Тож, зараз нам залишається сподіватися хіба що на справедливий суд.
Роль криптовалют у світовій фінансовій системі продовжує зростати. Цифрові активи, своєю чергою, відкрили більше можливостей для транскордонних переказів коштів. Однак анонімний характер цих транзакцій є ризиком для фінансових ринків, оскільки вони полегшують переміщення коштів, отриманих злочинним шляхом.
Що таке AML?
AML – абревіатура, яку можна перекласти, як Anti Money Laundering – протидія відмиванню грошей (повна версія: протидія відмиванню грошей, отриманих злочинним шляхом, протидія фінансуванню тероризму та фінансуванню створення зброї масового знищення). Це формулювання з’явилося у 1989 році в Парижі за підсумками створення міжнародної організації The Financial Action Task Force (Група розробки фінансових заходів для боротьби з відмиванням грошей), скорочено FATF.
Принципи AML вже впровадили багато держав на національному рівні. Важливою складовою процесу є відмова від анонімності фінансових транзакцій та боротьба за їхню прозорість. Фінансові інститути використовують AML для перевірки бізнесу, який працює з готівковими розрахунками або має активи у готівці, тримає гроші на різних рахунках та в кількох банках, та переказує їх за кордон.
Прикладом AML у криптосфері є процедура KYC, з якою стикається будь-хто, хто заводить фіат на централізовану криптобіржу – необхідність пройти обов’язкову процедуру верифікації. Починаючи з 2020 року, коли набула чинності П’ята директива ЄС, верифікація стала обов’язковою для всіх, хто заводить чи виводить фіат на біржу. Наразі цієї вимоги дотримується більшість великих централізованих бірж.
6 жовтня 2022 Євросоюз затвердив новий пакет санкцій, у якому заборонив обслуговувати криптогаманці росіян. У восьмому пакеті санкцій ЄС прописано повну заборону на надання послуг криптогаманцям, рахунків та сервісів зберігання криптовалюти російським громадянам, резидентам та юридичним особам.
Відмивання грошей
Відмивання грошей – це приховування незаконних доходів. Підприємства та приватні особи відмивають гроші, щоб вони виглядали так, ніби джерело доходу є законним. Відмивання грошей складається з трьох етапів, що включають розміщення, розшарування та інтеграцію.
- Розміщення: складається з переведення «брудних» грошей у законне сховище, будь-то фінансова установа, чи біржа криптовалют.
- Розшарування: процес змішування незаконних коштів із законними, що ускладнює для влади відстеження та ідентифікацію джерела доходу.
- Інтеграція: відмиті гроші зараховуються бенефіціару в такий спосіб, щоб приховати справжнє джерело походження.
Крипта добре підходять для таких схем, оскільки вона працює у децентралізованих мережах, що надзвичайно ускладнює відстеження коштів.
Моніторинг сумнівних активів
Для користувачів, корисною функцією AML є можливість перевірити наскільки «чистий» актив був перерахований та чи він брав участь у будь-яких сумнівних угодах.
Завдяки тому, що технологія блокчейн побудована на принципах того що всі транзакції унікальні, а базу даних неможливо змінити чи знищити та вона є доступною кожному, створюються спеціальні програми – AML алгоритми, які здатні відстежити історію руху криптоактиву, наприклад, будь-якого біткоїна з моменту його створення. Відстежити та виявити його зв’язок із гаманцями з поганою репутацією.
Інформація про участь гаманців у транзакціях фіксується у публічних та приватних базах даних. Алгоритм сканує ці бази та позначає мітками в яких операціях брав участь гаманець. Наприклад, транзакції в даркнет сервісах, азартних іграх, через міксери, обмінники без KYC і т.д. Якщо гаманець, де зберігалася крипта, був зламаний, і вона була вкрадена, то вона також отримає мітку. Таким чином, актив, що пройшов через адресу із сумнівною репутацією, позначається алгоритмом як небезпечний.
Для користувача, що робить операції з малими сумами в крипті, перевірка через AML алгоритм, напевно, неактуальна — монет просто безліч, і те, що якась частинка десь побувала, мало кого хвилює.
Завершальні думки
Розповсюджене дотримання заходів AML може перешкодити розвитку криптопроєктів, в яких конфіденційність є базою. Проте, сильна нормативно-правова база принесе загальну вигоду, незалежно від короткострокового впливу на цю сферу. Прийняття криптовалюти основними фінансовими установами підштовхне до розробки більш безпечних систем для світової економіки. Цей процес також може залучити традиційних інвесторів до додавання цифрових активів у свої портфелі, що сприятиме подальшому розвитку сектору DeFi.
Як зареєструвати акаунт на біржі Binance?
Подібно до інших фінансових інститутів, провідні криптовалютні біржі у всьому світі вимагають від клієнтів пройти обов’язкову верифікацію KYC для отримання постійного доступу до послуг. Чим зумовлена потреба верифікації та що ця процедура дає звичайним юзерам та як зареєструватись на Binance?
Реєстрація на Binance складається з декількох етапів. Перш за все потрібно створити акаунт за допомогою email адреси або номеру телефону. Також доступні опції реєстрації за допомогою Google або Apple.
Наступним кроком буде підтвердження коду верифікації з вказаної email адреси.
Вітаємо, ваш акаунт створено. Одразу після реєстрації юзер має можливість підтвердити особистість за допомогою процедури KYCKYC - процедура KYC (від англ. Know Your Customer – «знай свого клієнта») зобов’язує всі фінансові організації, зокрема біржі криптовалют, ідентифікувати та верифікувати особистість кожного клієнта.
Що таке KYC та як верифікувати свій акаунт?
KYC – це акронім від англійської фрази “know your customer/client”, або “знай свого клієнта”. Так називається обов’язкова перевірка персональних даних клієнта. У рамках процедури використовуються документи, що підтверджують особу клієнта, наприклад, посвідчення особи із зазначенням домашньої адреси, страховий номер та ін.
Як правило, клієнтам необхідно надати інформацію для KYC у процесі реєстрації облікового запису, а іноді й у разі змін даних. Наприклад, якщо ви офіційно змінили ім’я через кілька місяців після реєстрації облікового запису, вам доведеться надати нову інформацію для KYC.
Якщо ви не верифікуєте свій акаунт за допомогою KYC процедури, ви не можете скористатися доступом до всіх функцій криптовалютної біржі. Так, наприклад, Binance без верифікації дозволяє клієнтам лише реєструвати облікові записи, використовувати основні функції та виконувати обмежені операції. Для отримання повного доступу та збільшеного ліміту введення та виведення коштів користувачам необхідно завершити
Ідентифікація користувача KYC дозволить отримати доступ до ключових сервісів, таких як P2P торгівля, що дозволить користувачеві миттєво виводити крипту на банківську картку без суттєвих лімітів.
Для здійснення ідентифікації користувача необхідно продовжити реєстрацію та натиснути кнопку – “Верифікувати зараз”
Процес верифікації включає доступ до базової персональної інформації (ID картка) та розпізнавання обличчя. Перш за все оберіть країну проживання.
Необхідно вказати національність, згідно з вашою ID карткою, Ім’я, Прізвище та По Батькові та дату народження. Також, для Українців доступна можливість швидкої верифікації через Дію. Далі, необхідно вказати домашню адресу та номер телефону.
Наступним кроком необхідно верифікувати документи посвідченням особи, паспортом або водійським посвідченням.
Використовуємо варіант з посвідченням особи (ID картка).
Далі, необхідно зачекати, доки ваші документи перевірять, після чого процедура верифікації KYC буде успішно завершена та акаунту будуть надані спеціальні можливості, серед яких користування P2P, збільшення ліміті на щоденний вивід коштів, зняття лімітів на депозити та інше.
Додаткові можливості захисту акаунту на Binance
Додаткові можливості захисту, такі як підтвердження номера телефону та двофакторна аутентифікація також необхідні для користування послугами P2P та надсиланням криптовалют на інші гаманці або біржі.
Додаткові можливості захисту знаходяться у розділі акаунта – “Безпека”
Базовий додатковий захист включає аутентифікацію за номером телефону або Google Authenticator, підтвердження номера телефону та електронної адреси. Усі вищезазначені методи аутентифікації знадобляться у майбутньому для таких операцій, як вивід криптовалюти на іншу біржу або гаманець, операції з P2P і т.д.
Чому криптобіржі пропонують завершити верифікацію?
Вимоги KYC є обов’язковими на провідних біржах криптовалютних. Вони забезпечують відповідність роботи нормативним актам та законам. У минулому криптобіржі рідко вимагали інформацію для KYC. Але зі зростанням цін на криптовалюту та інтересу до неї, все частіше стали викликати занепокоєння з приводу злочинів, пов’язаних з відмиванням грошей та іншою незаконною діяльністю.
У 2021 році KYC-верифікація була представлена в «Патріотичному акті» та закріплена ним. Проте ухвалили закон лише після терористичних атак 11 вересня. Метою KYC стала боротьба з незаконною діяльністю та виявлення підозрілої поведінки на ранніх стадіях. За допомогою персональних даних криптовалютні біржі відстежують моделі транзакцій, що у тому числі сприяє боротьбі з відмиванням грошей та фінансуванням тероризму.
FAQ
– Чому я повинен надавати додаткову інформацію?
У деяких випадках, якщо ваше селфі не відповідає наданим вами документам, що посвідчують особу, вам потрібно буде надати додаткові документи та дочекатись верифікації вручну. Будь ласка, зверніть увагу, що верифікація вручну може зайняти кілька днів. Binance використовує комплексну систему верифікації особи для захисту коштів всіх користувачів, тому при заповненні інформації переконайтеся, що надані вами матеріали відповідають вимогам.
– Якими є мої щоденні ліміти після виконання KYC верифікації?
Binance постійно переглядає свої продукти та послуги, щоб визначити, які зміни та покращення потрібні. Перегляньте сторінку [Персональна верифікація], де вказані актуальні ліміти зняття. Усі нові користувачі повинні пройти верифікацію, щоб отримати доступ до продуктів та послуг Binance, зокрема здійснення криптовалютних депозитів, угод та зняття коштів. Наявним користувачам, які не пройшли верифікацію, дозволи акаунту тимчасово будуть змінені на режим “Лише зняття”, а послуги обмежаться зняттям коштів, скасуванням ордерів, закриттям позицій та погашенням позик.
– Як оновити свою інформацію для верифікації особи?
Якщо ваша інформація для верифікації особи змінилася та виконано одну з наведених нижче умов, ви можете перейти на сторінку [Оновлення верифікації особи], щоб оновити її. Ви також можете зв’язатися з агентами служби підтримки через службу підтримки Binance, щоб оновити свою інформацію.
Причини для оновлення верифікації особи:
1. Термін дії документів закінчився
2. Ім’я в документі змінилося
3. Змінився номер документа
4. Змінилася національність
5. Оновлення або заміна наявних документів, щоб відповідати вимогам певних фіатних каналів
6. Зміна ім’я мовою, яку розпізнає система (наприклад, з ID картки місцевою мовою на англомовний паспорт)
7. Оновлення документів відповідно до вимог картки Binance.
– Чи можна реєструватись якщо немає 18 років?
Ні. Але хтось казав нам, що ви можете створити акаунт на одного з членів родини, за умови його попередньої згоди. Але це Not financial advice / DYORDYOR - (Do Your Own Research – Проведіть власне дослідження) – дуже розповсюджена фраза у світі криптовалют, яка нагадує, що ніколи не можна сліпо довіряти будь-якій інформації або інвестиційним порадам. Кожна особа має приймати власні рішення, попередньо зваживши всю інформацію та усвідомивши всі ризики. / take your own risk.
Якщо навіть в реальному житті після крадіжки поліція далеко не завжди може допомогти повернути кошти власнику, то у віртуальному світі навіть немає відповідного органу, що займається розслідуванням і покаранням злочинців. З розвитком DeFiDeFi - децентралізовані Фінанси — це узагальнювальний термін, що використовується для позначення сервісів та інфраструктури, що надають децентралізовані фінансові послуги за допомогою смартконтрактів та блокчейн технологій., а разом з ними всієї криптоіндустрії, кількість і складність різноманітних афер та шахрайських схем буде зростати, ускладнюватися і видозмінюватися. Сками стають все більш витонченими та переконливими, проте ми знаємо дієві способи як уникнути шахрайства. У цій статті ми зібрали для вас гайд по захисту своїх віртуальних активів від скамерівСкамер - шахрай, зловмисник, непорядна людина.
6 простих порад, що захистять вас від скаму:
- Захистіть свій гаманець. В більшості випадків приватний ключ використовується для доступу до вашого крипто-гаманця. Якщо хтось просить вас поділитися своїми приватними ключами, за будь-якої причини, це, скоріш за все, шахрайство. Ніколи не діліться своїм приватним ключем ні з ким та не зберігайте його в легкому доступі для сторонніх осіб.
- Не поспішайте. Якщо будь-хто намагається змусити вас швидко інвестувати чи просить надіслати йому кошти – це, швидше за все, шахраї. Деякі шахраї навіть пропонують бонуси або знижки, щоб переконати вас негайно інвестувати. Не поспішайте та ретельно зважте ваші дії, перш ніж приймати рішення.
- Завжди перевіряйте джерела та посилання. Щоб не стати жертвою фішинга перевіряйте або взагалі не використовуйте неперевірені посилання. Особливо ретельно перевіряйте їх, якщо це стосується ваших активів або взаємодії вашого гаманця з сервісами.
- Уникайте реклами в соціальних мережах. Скамери часто використовують соціальні мережі для реклами шахрайських можливостей інвестування криптовалюти. Деякі також використовують зображення знаменитостей (часто без їхньої згоди) і високопоставлених людей, щоб підвищити рівень довіри до свого скаму.
- Ігноруйте холодні дзвінки (приватні повідомлення від незнайомців). Якщо з вами раптово зв’язалися щодо можливості інвестування в криптовалюту – це, швидше за все, є шахрайством. Ніколи не давайте свою особисту інформацію та не переказуйте гроші незрозумілій особі. Найрозповсюдженішим прикладом є приватні повідомлення в телеграм від незнайомців – одразу блокуйте їх, не витрачайте ваш час.
- Перевіряйте адресу смарт-контракту токена. При купівлі криптовалют на децентралізованих майданчиках треба бути обачним, оскільки шахраї можуть створити фейкову торгову пару відомого проекту з ідентичною назвою та тікером. Ви можете перевірити назву контракту на таких ресурсах, як CryptoRank, Coingecko або Coinmarketcap.
Ба більше, інколи шахраї відправляють токени на ваш гаманець, які неможливо продати або обміняти. При спробі зробити це, ви компрометуєте свій гаманець і, швидше за все, втратите всі гроші, що зберігаються на ньому. Тому взаємодійте лише з тими криптовалютами, походження яких ви точно знаєте.
Будьте уважними до того, куди саме ви вводите свої паролі та підключаєте гаманець. Завжди необхідно пам’ятати, що втратити кошти в крипто-просторі можна багатьма способами, тому їх збереження залежить лише від ваших знань та досвіду. Буде прикро, якщо кошти буде втрачено через неуважність або надмірну довірливість.
Продовжуючи тему скаму, в цій статті ми розглянемо найпоширеніший вид шахрайства – фішинг. Можливо, ви вже мали нагоду познайомитися з фішингом в Інтернеті =), проте в цій статті ми хочемо детальніше розповісти про його специфіку саме в крипто-світі.
Дані користувачів, таких як ми з вами, є ласим шматочком для шахраїв та хакерів. Саме тому необхідно бути уважним до того, на якій платформі та кому ви надаєте персональну та приватну інформацію. Найпопулярнішим способом крадіжки персональних даних є фішинг.
Фішинг – це вид інтернет-шахрайства, завдяки якому зловмисники отримують доступ до конфіденційних даних користувача – логіну та паролю. Фішинг часто використовується для крадіжок особистих даних та різних видів шахрайства.
У контексті індустрії криптовалют, фішингові шахрайства спрямовані на інформацію, що стосується онлайн-гаманців. Зокрема, шахраї цікавляться приватними ключами криптогаманців. Ці ключі є необхідними для доступу до коштів користувача. Наприклад, людині надходить лист від біржі або гаманця, яким вона користується, з проханням надати приватний ключ або логін та пароль. Варто зазначити, що працівники бірж ніколи не питатимуть у своїх клієнтів логін чи пароль, як і працівники банків не питатимуть пін-код/CVV картки клієнта.
При отриманні листа на електронну пошту звертайте увагу на те, чи є граматичні або орфографічні помилки у тексті та власне на саму адресу пошти з якої надіслали лист. Якщо у вас з’являються сумніви чи насторога стосовно цього листа – зв’яжіться зі службою підтримки біржі, щоб підтвердити справжність отриманого листа.
Часто фішинг приймає форму контекстних реклам у соціальних мережах. Зловмисники налаштовують таргетинг рекламу на певних користувачів, які цікавляться цифровими активами, та перенаправляють їх на підроблені фішингові ресурси – шахрайські копії справжніх бірж чи сайтів гаманців. Після переходу на фейковий ресурс користувачеві пропонується надати доступ до свого гаманця. Коли хакери отримають доступ, вони можуть викрасти криптовалюту, що зберігається на вашому гаманці.
Ще один з видів фішингу – це зламування DNS-серверів. В цьому кейсі відбувається перенаправлення користувачів на сайт-клон з офіційного вебсайту біржі чи гаманця. Проте цей спосіб є доволі складним і затратним, а тому не є досить розповсюдженим.
Отже, для того, щоб не стати жертвою фішингових скамерів, треба перевіряти сайти, на які ви переходите та яким ви надаєте свої особисті дані. Пам’ятайте, що будь-який лист або повідомлення з посиланнями на сайти від нового контакту слід ретельно перевіряти аби не стати жертвою шахраїв. Основне правило – не натискайте БЕЗДУМНО на жодні посилання!
KYC (від англ. Know Your Customer – “знай свого клієнта”) – це обов’язковий процес ідентифікації та підтвердження особи клієнта під час відкриття рахунку для всіх фінансових організацій, зокрема криптобірж. Причому зробити це потрібно перш ніж клієнт зможе здійснювати значні фінансові операції. Більшість фінансових криптокомпаній збирають дані про своїх користувачів з метою дотримання норм, спрямованих на боротьбу з відмиванням коштів та фінансуванням тероризму.
Колись процедура KYC була лише внутрішньою політикою кожної компанії, але приблизно 5 років тому KYC закріпилася як необхідна юридична практика. Криптобіржі та криптокомпанії самостійно визначають складові елементи верифікації та етапи, під час яких клієнт має надати певні документи на перевірку.
Нижче перераховані які саме дані користувача мають бути надані на перевірку КУС в більшості випадків:
- Номер телефону
- ПІБ
- Дата народження
- Країна та адреса проживання
- ID (паспорт, водійські права тощо)
- Витяг з банківського рахунку
- Селфі / Селфі з паспортом / Селфі, на якому ви тримаєте паперовий аркуш з певною фразою
До речі, чим більше грошей ви хочете завести на або вивести з біржі, тим більше відомостей може знадобитися. Як правило, є базовий рівень KYC, який дозволяє здійснювати всі основні операції, а також просунуті рівні, які потрібно пройти, якщо ви хочете оперувати дуже і дуже великими сумами.
Варто також знати, що громадяни не всіх країн можуть отримати доступ до тих чи інших платформ. На пострадянському просторі найбільше труднощів та обмежень виникає у громадян Республіки Білорусь, хоча, в деяких випадках, з обмеженнями можуть зіткнутися й громадяни України.
Ще один нюанс, який варто враховувати під час проходження KYC – це юрисдикція, в якій ви знаходитесь. Наприклад, якщо ви є громадянином України та перебуваєте на території країни, доступ з якої до певного сервісу/проекту закрито – ви не зможете завершити перевірку особи (пройти процедуру КУС). У цьому випадку необхідно використовувати VPNVPN - «віртуальна приватна мережа» – це сервіс, що захищає ваше інтернет-з’єднання підвищує рівень конфіденційності коли ви користуєтеся Інтернетом. З його допомогою можна приховувати та змінювати IP-адресу – тобто вашу локацію. для зміни IP-адреси.
Оскільки дані користувачів є ласим шматочком для шахраїв та хакерів, необхідно бути пильним до того, на якій платформі та кому ви надаєте документи. Найпоширенішим і найпопулярнішим способом крадіжки персональних даних є фішингФішинг - це вид інтернет-шахрайства, завдяки якому зловмисники отримують доступ до конфіденційних даних користувача – логіну та паролю. (часто зловмисники створюють підроблені сайти та крадуть конфіденційну інформацію), тому слід уважно перевіряти посилання на ресурси, яким ви надаєте свої дані. Іноді, витік даних користувача може відбутися з вини самих сервісів і платформ через недбале ставлення до безпеки зберігання даних або за наявності помилок у коді.
Сфера криптовалют в основному знаходиться поза сферою регулювання та впливу компетентних органів, тому здебільшого безпека персональних даних лежить на плечах самих користувачів.