Биржа С3: надежное хранение данных, безопасные операции

Одновременно с резким увеличением интереса к криптовалютам произошли десятки атак на криптовалютные сервисы. С 2016 по 2017 годы число скомпрометированных учетных записей пользователей криптобирж увеличилось на 369%. В январе 2018 года количество инцидентов выросло на 689% по сравнению со среднемесячным показателем 2017 года. Об этом говорится в отчете международной компании Group-IB, специализирующейся на предотвращении кибератак.
Приоритетом для команды разработчиков Биржи С3 стала именно безопасность. По словам тимлида команды по разработке биржи С3, а также одного из лучших программистов на Golang, взломать нашу биржу сложно.
«На самом деле, взломать нашу биржу сложнее, потому что мы как раз-таки отказались от ряда небезопасных “велосипедов”, пойдя более простым и надёжным путём: публично или косвенно доступные сервисы никогда не знают о существовании сервисов, которые нужно защитить, и наоборот. Во внутренних сервисах даже интернета нет 😄»
Большая часть времени команды разработчиков, включая тимлида, уходит на тестирование каждого нового модуля биржи на локальном сервере. Для дополнительной безопасности перед официальным запуском биржи также будет проводиться pentest сторонними программистами.
«По вопросам безопасности — мы понимаем и знаем множество возможных атак, но мы не можем защитить пользователя от его же собственных ошибок, не ограничивая его в некоторых возможностях, например, использовать пароль “abcdefgh”, “123456” или другие, которые просто сведут безопасность аккаунта к нулю. Поэтому мы просто режем возможности пользователя и добавляем гору микроинструкций на эту тему»
Например, пользователи не смогут использовать слитые когда-либо в сеть пароли. Они будут не допущены системой при регистрации. Подбор пароля вредоносной программой усложняется и тем, что у нас практически нет ограничения на длину пароля, а время ожидания между попытками ввода пароля экспоненциально растёт с каждым неправильным вводом.
Кроме того, кошельки пользователей для безопасности хранятся отдельно, что делает невозможным получение данных злоумышленниками. Более того, даже сама команда не имеет доступа к кошелькам пользователей. Ключ шифрования неизвестен, чтобы его узнать нужно переписать половину системы, что приведет к потере данных.
«Получается как: ты, например, прорвался к провайдеру нашему. Нашёл в тонне серверов наши. Например, как-то зашёл на сервер — и что? Данные этот человек всё равно не получит»
«Холодные» кошельки применяются для хранения основных сумм криптовалют. Они отключены от интернета, что не позволяет злоумышленникам похитить средства с биржи при ее взломе.
Правильно сделанная API с ограниченным набором функционала также не создаст угрозы безопасности Биржи С3. Мы даем возможность для пользователей, которые умеют программировать, с помощью публичного API управлять своим аккаунтом. Но при этом приватная информация будет недоступна с публичного API, только имя и email при условии корректной авторизации.
Опираясь на опыт крупнейших криптовалютных бирж, мы учли все небезопасные алгоритмы и избежали их. Мы сделали надежную криптовалютную Биржу С3. На C3.Exchange вы можете торговать как крипто, так и традиционными активами, а также пользоваться профессиональными инструментами для трейдинга. Торгуй, инвестируй, зарабатывай на C3.Exchange уже в октябре.
