Как расследуются хакерские атаки на Web3-проекты? Опыт Match Systems

Что важно знать руководству Web3-компаний, чтобы обезопасить себя от хакерских атак в 2023 году? Как сегодня выглядят основные векторы атак на блокчейн-проекты? Какие инструменты используются в расследовании взломов криптовалютных проектов? Обо всем этом и многом другом редакции CP Media в ходе обстоятельной беседы рассказал Андрей Кутьин, генеральный директор компании Match Systems, одного из признанных лидеров в сфере расследования криптовалютных инцидентов.  

— Расскажите, пожалуйста, о компании — когда и как она появилась, какие вызовы были первыми? Как бы вы сформулировали основную миссию компании? 

— Match Systems появилась в 2021 году. В первую очередь стояла задача восполнить отсутствующий инструментарий, необходимый для связывания существующей правоохранительной системы, уклады которой достаточно архаичны, с криптосредой, которая активно развивается и соприкасается с традиционным миром, не до конца понятнимающим, как взаимодействовать с новой индустрией. К примеру, постоянно возникают вопросы к доказательной базе по криптопреступлениям при попытке обращения в госорганы. Это натолкнуло нас на идею сбора настолько качественной базы данных скомпрометированных криптоадресов, чтобы суды любых юрисдикций могли опираться на нее при рассмотрении дел, связанных с криптовалютами. Собственно, сбор таких данных и послужил стартом новой компании. Однако, этот процесс чрезвычайно дорогостоящ, и, на первых порах, главными для нас были финансовые вызовы, но к 2022 году компания полностью вышла на самоокупаемость. 

— Команда проекта — кто стоит за Match Systems? Расскажите, пожалуйста, про сферы экспертизы и конкурентные преимущества специалистов из компании перед вашими коллегами по цеху. 

— Ядром нашей команды являются бывшие сотрудники правоохранительных органов, которые сами участвовали в расследованиях таких крупных криптоинцидентов как Hydra, Revil и т.д. Поэтому обо всех сложностях, с которыми сталкиваются государственные правоохранительные органы при расследовании криптоинцидентов мы знаем не понаслышке, и хорошо разбираемся в тонкостях такой работы. 

Не менее важную роль в команде играет наличие высококвалифицированных специалистов технических направлений. Мы очень гордимся нашими дата-сайентистами, сотрудниками отдела научно-исследовательской разработки, математиками, а также аудиторами смарт-контрактов. Собственно, именно они — те, кто выбирает актуальное направление и двигает разработку наших продуктов вперед.

— Есть ли открытые вакансии, которые мы могли бы озвучить прямо сейчас? 

— Конечно. Мы всегда «охотимся» за лучшими кадрами. В частности, сейчас мы активно внедряем в наши продукты технологии искусственного интеллекта и в этой связи ищем таланты в среди дата-инженеров и дата-сайентистов. Ну и, безусловно, всегда рады крутым ончейн-аналитикам. 

— Что представляет собой система продуктовых решений компании?

— Ядром нашей продуктовой линейки является уникальная и постоянно обновляющаяся база скомпрометированных криптоадресов. На этой базе создан AML-сервис, который позволяет проверить «чистоту» того или иного криптоадреса в ручном (через Telegram-бот) или автоматическом (через API) режиме и убедиться в том, что он не был связан с активами, относящимися к той или иной категории риска. Всего мы анализируем 70 категорий риска. 

Помимо этого, у нас есть ончейн-анализатор. Это инструмент, используемый в первую очередь в расследовании криптоинцидентов. Довольно часто мы его «допиливаем» под наши специфические нужды, возникающие во время самой расследовательской деятельности. Так, например, мы реализовали отдельный функционал, позволяющий ставить «маячки» на те или иные виды активностей или адреса в блокчейне. Также в разработке имеется отдельный инструмент по «распутыванию» транзакций на популярных криптомиксерах, использующихся для отмывания украденных активов. 

Кроме того в нашей продуктовой линейке есть решение, позволяющее проанализировать недобросовестное использование мультиаккаунтинга при различных активностях в блокчейне. Сейчас это крайне востребовано среди представителей сфер Web3 и iGaming для анализа смарт-контрактов, планирующих аирдропы.

Стоит отдельно отметить наши успешные разработки в части безопасного хранения и использования криптовалюты. 

Кроме того, есть еще значительная «сервисная» часть нашей продуктовой линейки. Это, собственно, сами расследования криптопреступлений, которыми мы занимаемся постоянно, в разных юрисдикциях, и, в отличии от многих конкурентов, умеем не только проводить аналитику инцидента, но и успешно возвращать украденные криптоактивы. Так, мы являемся ключевыми расследователи по таким громким кейсам как Atomic Wallet, CoinsPaid, Alphapo и другим.

— Какие инструменты и технологии вы используете для расследования и отслеживания несанкционированных действий в блокчейн-сетях?

— Наш инструментарий достаточно широк. Мы активно пользуемся всеми доступными технологиями: от блокчейн-сканеров до инструментов для проведения OSINT и различных AI-технологий для распознавания картинок, анализа контента и обнаружения скомпрометированных криптоадресов в глобальной сети. 

Хочется отметить, что нашим особым отличием от многих других расследователей сейчас является наличие собственных программных средств и разработок, позволяющих автоматизировать часть работы. Как следствие, мы постоянно повышаем качество деятельности расследователей в тех сферах, где это необходимо, и совершенствуем свои процессы в соответствии с возникающими потребностями. 

— Какова роль искусственного интеллекта и машинного обучения в процессах расследования? Какие специализированные инструменты или решения на основе AI вы сегодня используете?

— Как я говорил выше, мы активно используем ИИ и в распознавании образов, и в анализе информации. Кроме того, мы применяем нейросети для выявления паттернов поведения недобросовестных участников криптоиндустрии. 

Также в нашем собственном анализаторе на данный момент в тестовом режиме осуществляется эксплуатация и применение ИИ для выдачи отчетов и рекомендаций по проведению расследований при проверке подозрительных криптоадресов и транзакций.

— Как вы сотрудничаете с правоохранительными органами и другими блокчейн-проектами в процессе расследования?

— Мы интенсивно и на постоянной основе работаем над расширением нашего нетворка в части выстраивания взаимодействия с представителями правоохранительных органов различных юрисдикций. Помимо личных контактов, мы взаимодействуем с иностранными правоохранителями через Интерпол, по линии финансовой разведки, а также по линии прямых запросов между государственными полициями. 

Также мы уделяем большое внимание налаживанию контактов с криптобиржами, криптообменниками и прочими игроками криптоиндустрии. Тем самым мы помогаем также наладить им коммуникацию между собой, что часто играет существенную роль в оперативном реагировании на произошедшие криптоинциденты. 

— Какие вы могли бы выделить юридические проблемы или препятствия в расследованиях международных атак? Как получается решать эти вопросы? 

— Проблем возникает достаточно много. Начиная от вопросов отнесения преступника к той или иной юрисдикции ввиду активного использования сервисов VPN, заканчивая выстраиванием коммуникации между полицейскими департаментами разных стран и участниками криптоиндустрии. В решении подобных задач очень помогает налаженная сеть прямых контактов с ключевыми игроками криптоиндустрии и представителями правоохранителей различных юрисдикций. Также мы достаточно часто прибегаем к так называемым коротким обращениям по линии Интерпола. Кроме того мы замечаем все возрастающую социальную ответственность криптопроектов, которые все больше добровольно с готовностью оказывают содействие в расследованиях криптопреступлений, и это не может не радовать. 

— Каковы основные вызовы и трудности, с которыми приходится сталкиваться при расследовании хакерских атак на Web3-проекты?

— Самая большая проблема — это бюрократия. Криптосфера гораздо более динамична, чем традиционная правоохранительная система. Отрасль развивается, одновременно растет количество недобросовестных участников криптосреды, но бюрократические структуры просто не поспевают за всеми этими изменениями. Кроме того, правоохранительным органам не хватает молодых кадров и общего понимания того, как работает криптоиндустрия. В этой связи мы активно развиваем направление образовательной деятельности и консультируем представителей правоохранительных органов по вопросам проведения крипторасследований. 

— По оценкам СМИ, за первые три квартала 2023 года хакерам удалось украсть более миллиарда долларов в криптовалютном эквиваленте. Как компаниям, работающим в этой сфере, обезопасить себя? Какие вы дали бы советы? 

— В первую очередь надо очень внимательно относиться к софту, который используют Web3-проекты, и убеждаться что он не скамный. Ну и кроме того, безусловно, обращаться к специалистам в части аудита смарт-контрактов. 

Данная услуга представляет собой подробное изучение нами возможных потенциальных рисков смарт-контракта криптопроекта, предварительные подготовительные работы по налаживанию контактов с теми игроками рынка, взаимодействие с которыми, возможно, пригодится при наступлении криптоинцидента. Также в эту услугу входит оказание сверхоперативной помощи от нас за цену, существенно ниже той, что была бы при обращении к нам за помощью без предварительно оплаченной страховки. 

— Какие разработки необходимы индустрии, по вашему мнению, чтобы минимизировать риски хакерских атак? 

— Все существующие решения в части AML проверок существуют сейчас только для централизованных платформ в виде API. Однако, чтобы обезопасить также и DeFi-сектор, необходимо решение в виде безопасного блокчейн-оракула. В данный момент, как мне известно, несколько команд уже ведет разработку подобного продукта, однако он еще достаточно далек до реализации.

— Какие основные типы хакерских атак на блокчейн-проекты вы встречали в своей практике? Какие из них представляют наибольшие сложности в процессе расследования и почему?

— Хакеры и скамеры эволюционируют вместе с индустрией. Атаки становятся все сложнее. Так, наряду с чисто техническими формами атак все большую популярность набирает комплексный подход с применением достаточно изощренного социального инжиниринга. Это мы видим во всех последних громких кейсах, от Atomic Wallet до CoinsPaid.

Это стимулирует и нас осваивать новые методики работы в проводимых нами расследованиях. Так, к примеру, в последнее время мы уделяем большое внимание работе с HR-агентами, которые помогают организаторам преступлений наладить контакт с кем-нибудь из «недобросовестных» сотрудников компании, которая впоследствии подвергается хакерской атаке. 

В этом плане у нас очень интересная и творческая работа — постоянно приходится учиться чему-то новому и адаптироваться к меняющимся каждый день практикам.

— Осуществляете ли вы мониторинг и анализ актуальных угроз и трендов в сфере блокчейн-безопасности? Если да, то как происходит подобная деятельность? 

— Безусловно. Целая команда аналитиков занимается непрерывным мониторингом актуальных трендов в сфере криптобезопасности. Кроме того, у нас есть несколько самописных инструментов для внутреннего пользования, позволяющих частично автоматизировать данный процесс и гарантировать максимальное покрытие проводимых исследований. 

— Поделитесь, пожалуйста, вашим мнением о значимости образовательных материалов и просвещения блокчейн-сообщества о необходимых мерах безопасности в контексте профилактики успешных хакерских атак. 

Сейчас уже невозможно игнорировать эту сферу знаний, которая тем более, постоянно эволюционирует. Будьте внимательны и обязательно следите за последними технологиями, применяемыми недобросовестными участниками крипторынка. В этом вам поможет в том числе наш аккаунт в X (бывший Twitter), где мы регулярно публикуем информацию о трендах в этой сфере.