coinbase

Шон Эверетт не знал наверняка, чем для него обернется его ставка на рост криптовалют — но он определенно не ждал, что все закончится так скоро.

В марте Эверетт, генеральный директор стартапа по разработке искусственного интеллекта, продал все свои акции, в том числе Apple (NASDAQ: AAPL) и Amazon (NASDAQ: AMZN), и использовал часть выручки, чтобы купить биткоины (Bitcoin) и эфиры (ETH/USD) на сайте Coinbase. Это решение практически вмиг сделало его богаче — следующие несколько недель стоимость криптовалют на основе блокчейна росла экспоненциально.

Вечером в среду 17 мая Эверетт гулял с собакой, когда внезапно у него зазвонил телефон. Сотовый оператор хотел подтвердить, что Эверетт переносит свой номер телефона на другое устройство.

Эве­ретт был уве­рен, что не про­сил ни о чем по­доб­ном. Он умо­лял аген­та за­бло­ки­ро­вать номер, но было уже слиш­ком позд­но. Менее чем через пять минут те­ле­фон Эве­рет­та вне­зап­но пе­ре­стал ло­вить сеть. Бро­сив­шись к ком­пью­те­ру, он уви­дел, что его гра­бят — прямо у него на гла­зах. Из уве­дом­ле­ний в элек­трон­ной почте было ясно, что кто-то взял под свой кон­троль его ак­ка­унт Gmail, а затем до­брал­ся и до ко­шель­ка Coinbase. В ко­шель­ке была на­стро­е­на двух­фак­тор­ная аутен­ти­фи­ка­ция, по­это­му, чтобы войти в си­сте­му, зло­умыш­лен­ни­ки при­сво­и­ли и те­ле­фон­ный номер Эве­рет­та.

Ха­ке­рам по­тре­бо­ва­лось всего две ми­ну­ты, чтобы ли­шить Эве­рет­та циф­ро­вых денег на несколь­ко тысяч дол­ла­ров. Мо­же­те пред­ста­вить себе разо­ча­ро­ва­ние Эве­рет­та, когда за сле­ду­ю­щие несколь­ко недель курс эфира вырос еще в че­ты­ре раза!

Жур­на­ли­сты Fortune встре­ти­лись с Эве­рет­том пас­мур­ным июнь­ским днем, всего через несколь­ко часов после того, как курс эфира до­стиг ре­корд­но­го уров­ня в $400. Днем ранее бит­ко­ин впер­вые пре­одо­лел от­мет­ку в $3000. Эве­ретт был ужас­но рас­стро­ен: «Я не толь­ко по­те­рял день­ги, но и не смог за­ра­бо­тать на росте».

Глав­ным сюр­при­зом для Эве­рет­та — и мно­гих дру­гих по­клон­ни­ков бит­ко­и­на — стал сам факт взло­ма на Coinbase. Круп­ней­шая в мире биржа крип­то­ва­лют, рас­по­ло­жен­ная в Сан-Фран­цис­ко, оста­ва­лось одной из немно­гих ком­па­ний в от­рас­ли, чьи счета ни разу не по­стра­да­ли от ха­кер­ских атак. Это обес­пе­чи­ва­ло ей опре­де­лен­ную ре­пу­та­цию в мире блок­чей­на, где взлом оста­ет­ся се­рьез­ной угро­зой для боль­шин­ства ин­ве­сто­ров.

По­го­во­ри­те с любым эн­ту­зи­а­стом, до­ста­точ­но давно ин­ве­сти­ру­ю­щим в крип­то­ва­лю­ты, — и почти на­вер­ня­ка он рас­ска­жет вам, как по­те­рял день­ги на Mt. Gox, бирже, ко­то­рая рух­ну­ла в 2014 году, когда ха­ке­ры вы­ве­ли с ее сче­тов около 500 млн дол­ла­ров в бит­ко­и­нах. Про­шлым летом зло­умыш­лен­ни­ки укра­ли 72 млн дол­ла­ров на гон­конг­ской бирже крип­то­ва­лют Bitfinex.

Од­на­ко ха­ке­рам долго не уда­ва­лось под­сту­пить­ся к Coinbase, и мно­гие счи­та­ли биржу самым без­опас­ным ме­стом для по­куп­ки бит­ко­и­нов. Такая ре­пу­та­ция по­мог­ла ей при­влечь более 9 млн кли­ен­тов, ко­то­рые хра­нят на ее сче­тах не менее 3 млрд дол­ла­ров в раз­лич­ных крип­то­ва­лю­тах. Coinbase толь­ко что при­влек­ла 100 млн дол­ла­ров фи­нан­си­ро­ва­ния, по­вы­сив свою оце­ни­ва­е­мую сто­и­мость до 1,6 млрд, что сде­ла­ло ее пер­вым «еди­но­ро­гом» ин­ду­стрии блок­чей­на. Фред Уил­сон, вен­чур­ный ка­пи­та­лист и один из самых ран­них вклад­чи­ков Coinbase, го­во­рит:

«Coinbase пред­ла­га­ет без­опас­ность, на­деж­ность… все то, что мы при­вык­ли ас­со­ци­и­ро­вать с бан­ка­ми. Он похож на JPMorgan или Goldman Sachs в мире блок­чей­на».

Но от­дель­ные кли­ен­ты Coinbase все же стра­да­ют от ха­кер­ских атак — при­том с уди­ви­тель­ной ча­сто­той. Даже сам Уил­сон столк­нул­ся с угро­зой взло­ма: от­ды­хая в Ев­ро­пе в на­ча­ле июня, ин­ве­стор вдруг начал по­лу­чать те же со­об­ще­ния, что нашел в своей почте Эве­ретт. Кто-то пы­тал­ся по­пасть в его ко­ше­лек на Coinbase. Уил­со­ну уда­лось во­вре­мя за­бло­ки­ро­вать ко­ше­лек, но слу­чив­ше­е­ся за­ста­ви­ло его несколь­ко пе­ре­смот­реть от­но­ше­ние к ком­па­нии.

С тех пор жур­на­ли­сты Fortune по­бе­се­до­ва­ли со мно­ги­ми жерт­ва­ми, вклю­чая пред­при­ни­ма­те­лей из тех­но­ло­ги­че­ской сферы и из­вест­ных сто­рон­ни­ков блок­чей­на, чьи счета на Coinbase под­верг­лись таким же ата­кам. Еще боль­ше ин­ве­сто­ров по­стра­да­ли от дей­ствий ха­ке­ров на дру­гих бир­жах.

На сле­ду­ю­щий день после взло­ма Эве­рет­та ха­ке­ры увели около 10 тыс. дол­ла­ров со сче­тов Адама Да­чи­са, пред­при­ни­ма­те­ля из Лос-Ан­дже­ле­са. Пару ме­ся­цев спу­стя 18 тыс. дол­ла­ров были укра­де­ны из ко­шель­ка Майка Ко­ста­ше, кон­суль­тан­та по блок­чей­ну. В от­дель­ные ме­ся­цы число атак на поль­зо­ва­те­лей Coinbase до­хо­ди­ло до 30 — в сред­нем по од­но­му ограб­ле­нию в день.

Неве­зу­чие ин­ве­сто­ры на соб­ствен­ном опыте от­кры­ва­ли фун­да­мен­таль­ный па­ра­докс блок­чей­на. Глав­ное от­ли­чие крип­то­ва­лют от тра­ди­ци­он­ных денег — мгно­вен­ные и необ­ра­ти­мые тран­зак­ции. Это важ­ное пре­иму­ще­ство — но и фа­таль­ная уяз­ви­мость. Том Ро­бин­сон, со­учре­ди­тель и глав­ный спе­ци­а­лист по дан­ным лон­дон­ской кон­сал­тин­го­вой фирмы Elliptic, го­во­рит:

«Одна из при­чин су­ще­ство­ва­ния бит­ко­и­на за­клю­ча­ет­ся в том, что он устой­чив к ре­гу­ли­ро­ва­нию». Это озна­ча­ет, что никто, даже пра­ви­тель­ство или цен­траль­ный банк, не может оста­но­вить обмен циф­ро­вой ва­лю­той. Увы, это также зна­чит, что ме­то­ды за­щи­ты от мо­шен­ни­ков, ко­то­ры­ми успеш­но поль­зу­ют­ся банки, прак­ти­че­ски не ра­бо­та­ют с блок­чей­ном. Как го­во­рит Ро­бин­сон:

«Сама воз­мож­ность от­ме­нить опе­ра­цию пол­но­стью про­ти­во­ре­чит ос­нов­ной идее бит­ко­и­на».

Это одна из при­чин, по ко­то­рой зло­умыш­лен­ни­ки все чаще ата­ку­ют тех, кто пред­по­чи­та­ет дер­жать день­ги в крип­то­ва­лю­те.

За 2016 год вклад­чи­ки со­об­щи­ли в Центр при­е­ма жалоб на мо­шен­ни­че­ство в ин­тер­не­те при ФБР о 28 млн дол­ла­ров по­терь, свя­зан­ных с крип­то­ва­лю­та­ми, что более чем втрое пре­вы­ша­ет общий итог 2015 года.

При­чем этот по­ка­за­тель вклю­ча­ет толь­ко убыт­ки, о ко­то­рых доб­ро­воль­но со­об­щи­ли част­ные лица, и со­вер­шен­но не учи­ты­ва­ет круп­но­мас­штаб­ные атаки на биржи, такие как взлом Bitfinex, так что, ско­рее всего, на самом деле раз­мер ущер­ба на несколь­ко по­ряд­ков выше.

Тра­ди­ци­он­ные фи­нан­со­вые ин­сти­ту­ты тоже стра­да­ют от ки­бер­пре­ступ­ле­ний, но от­но­си­тель­но об­ще­го объ­е­ма средств, хра­ня­щих­ся на бан­ков­ских сче­тах, убыт­ки срав­ни­тель­но неве­ли­ки. Рынок крип­то­ва­лют зна­чи­тель­но мень­ше, его общий объем со­став­ля­ет всего около 135 млрд дол­ла­ров, и ущерб от ха­кер­ских атак ока­зы­ва­ет­ся на­мно­го выше. По дан­ным Chainalysis, за по­след­ние 12 ме­ся­цев зло­умыш­лен­ни­ки при­сво­и­ли 1% общей ры­ноч­ной сто­и­мо­сти эфира, или 225 млн дол­ла­ров. Сто­и­мость укра­ден­ных бит­ко­и­нов оце­ни­ва­ет­ся еще выше. Моран Серф, про­фес­сор биз­не­са и ней­ро­на­у­ки в школе ме­недж­мен­та Kellogg и быв­ший кор­по­ра­тив­ный хакер, го­во­рит:

«В мире фи­зи­че­ских денег у гра­би­те­ля есть две про­бле­мы: как украсть и как скрыть улики. Бит­ко­ин ре­ша­ет вто­рую про­бле­му, по­то­му что вы ано­ним­ны».

Но когда жерт­вы смот­рят, как их день­ги и уте­ка­ют в циф­ро­вой ко­ше­лек безы­мян­но­го незна­ком­ца, это про­бле­ма не толь­ко для Coinbase: это угро­за самой идее бит­ко­и­на.

По мере роста сто­и­мо­сти крип­то­ва­лют все боль­ше ин­ве­сто­ров по­ни­ма­ют: пре­жде чем на них за­ра­бо­тать, нужно еще ухит­рить­ся их со­хра­нить. В мае ха­ке­ры за 15 минут по­хи­ти­ли с ак­ка­ун­та Коди Бра­у­на $8000. Он го­во­рит:

«Coinbase вы­гля­дит как банк, го­во­рит как банк и при­ни­ма­ет мил­ли­о­ны дол­ла­ров как банк, но на прак­ти­ке функ­ци­о­ни­ру­ет как под­поль­ное ка­зи­но. Пока вас не огра­бят, вы не по­ни­ма­е­те, что мод­ные шриф­ты, синие гра­ди­ен­ты и бес­ко­неч­ные про­сты­ни о на­деж­но­сти ров­ным сче­том ни­че­го не зна­чат».

Coinbase от­ка­зы­ва­ет­ся об­суж­дать кон­крет­ные слу­чаи, но уве­ря­ет, что рас­сле­ду­ет все по­доб­ные про­ис­ше­ствия.

Если бы бит­ко­ин был ре­ли­ги­ей, ее сло­ган был бы: «Будь сам себе бан­ком». Этот неофи­ци­аль­ный девиз ши­ро­ко рас­про­стра­нен в сфере крип­то­ва­лют. Пер­вый блок­чейн был за­пу­щен в 2009 году та­ин­ствен­ным лицом (или груп­пой лиц) по имени Са­то­си На­ка­мо­то. Идея со­сто­я­ла в том, чтобы со­здать уто­пич­ную элек­трон­ную ва­лю­ту, ко­то­рая могла бы ме­нять вла­дель­цев, «минуя фи­нан­со­вые ор­га­ни­за­ции», как писал На­ка­мо­то.

Но в этом иде­а­ле был и под­рыв­ной эле­мент, ко­то­рый от­тал­ки­вал мно­гих по­тен­ци­аль­ных поль­зо­ва­те­лей. Брай­ан Арм­стронг, ос­но­ва­тель Coinbase, решил при­дать лоск ин­ду­стрии, ко­то­рая в то время на­хо­ди­лась под управ­ле­ни­ем «ха­ке­ров и крип­то­анар­хи­стов». Как он го­во­рит:

«Если мы хо­те­ли сде­лать эту идею мас­со­вой, мы долж­ны были вы­звать до­ве­рие к брен­ду». Арм­стронг по­ки­нул долж­ность ин­же­не­ра в Airbnb в 2012 году, чтобы со­здать «Gmail для циф­ро­вой ва­лю­ты». Его стра­те­гия со­сто­я­ла в том, чтобы сде­лать хра­не­ние, по­куп­ку и про­да­жу крип­то­ва­лю­ты проще и без­опас­нее.

Вла­дель­цам пер­вых бит­ко­ин-ко­шель­ков при­хо­ди­лось са­мо­сто­я­тель­но сле­дить за сво­и­ми клю­ча­ми — сек­рет­ны­ми 64-сим­воль­ны­ми па­ро­ля­ми. Coinbase пер­вым пред­ло­жи­ла взять хра­не­ние клю­чей на себя. Ко­неч­но, это было свя­за­но с риском: поль­зо­ва­те­лю боль­ше не нужно знать фак­ти­че­ский ключ, чтобы по­лу­чить до­ступ к бит­ко­и­нам, для этого он может ис­поль­зо­вать па­роль — но это упро­ща­ет за­да­чу ха­ке­ру. Арм­стронг го­во­рит:

«Это боль­шая от­вет­ствен­ность. Но я счи­таю, что необ­хо­ди­мо уве­ли­чи­вать мас­шта­бы от­рас­ли и сде­лать циф­ро­вую ва­лю­ту до­ступ­ной для сотен мил­ли­о­нов — или мил­ли­ар­дов че­ло­век».

Coinbase по­ка­за­ла уни­каль­ную спо­соб­ность сде­лать новый класс ак­ти­вов мас­со­вым. База кли­ен­тов, боль­шин­ство ко­то­рых про­жи­ва­ет в США, за по­след­ние пять ме­ся­цев вы­рос­ла на 50%, в те­че­ние дня ре­ги­стри­ру­ет­ся до 50 тыс. че­ло­век; объем тор­гов толь­ко за июль вдвое пре­вы­сил по­ка­за­тель за про­шлый год в целом.

Coinbase за­ра­ба­ты­ва­ет день­ги, взи­мая ко­мис­сию за тран­зак­ции и, по про­гно­зам, в бли­жай­шее время до­стиг­нет точки без­убы­точ­но­сти. Арм­стронг за­ни­ма­ет 10-е место в спис­ке 40 самых вли­я­тель­ных пред­при­ни­ма­те­лей млад­ше 40 лет по вер­сии жур­на­ла Fortune. Но он до­воль­но четко по­ни­ма­ет пре­де­лы своей ком­па­нии: «Обы­ва­те­ли могут счи­тать нас чем-то вроде банка циф­ро­вой ва­лю­ты, но мы не банк». В от­ли­чие от бан­ков, Coinbase не предо­став­ля­ет займы. Кроме того, Coinbase под­чи­ня­ет­ся ре­гу­ля­ци­ям сер­ви­сов де­неж­ных пе­ре­во­дов, по­доб­но PayPal или Western Union, не по­па­да­ет под юрис­дик­цию Фе­де­раль­ной кор­по­ра­ции по стра­хо­ва­нию вкла­дов (FDIC) и на нее не рас­про­стра­ня­ют­ся все за­ко­ны о за­щи­те по­тре­би­те­лей, ко­то­рые дей­ству­ют на банки.

Для мно­гих эн­ту­зи­а­стов блок­чей­на по­пыт­ки взло­ма Coinbase стали до­ка­за­тель­ством того, что до­ве­рять хра­не­ние своей крип­то­ва­лю­ты ко­му-то сто­рон­не­му — опас­но. Джо­на­тан Смит, глав­ный тех­ни­че­ский ди­рек­тор Civic, ко­то­рая ис­поль­зу­ет тех­но­ло­гию блок­чей­на для про­вер­ки под­лин­но­сти, го­во­рит: «Если вы не вла­де­е­те своим клю­чом, вы не вла­де­е­те сво­и­ми сред­ства­ми».

У бит­ко­и­на есть ма­лень­кий гряз­ный сек­рет: хотя этот актив, ко­то­рый оли­це­тво­ря­ет тех­но­ло­ги­че­ское бу­ду­щее, управ­ле­ние им от­бра­сы­ва­ет поль­зо­ва­те­ля в век тро­гло­ди­тов.

Даль­но­вид­ные ин­ве­сто­ры, ко­то­рые хра­нят свои ключи, часто при­бе­га­ют к ста­рым прак­ти­кам, чтобы их за­щи­тить. Это что-то вроде хра­не­ния денег под мат­ра­сом: ключи рас­пе­ча­ты­ва­ют на листе бу­ма­ги, раз­ре­за­ют и раз­да­ют род­ствен­ни­кам, ко­то­рые не знают, как сов­ме­стить ключ об­рат­но. Файлы шиф­ру­ют, сбра­сы­ва­ют на флеш-кар­ту и за­ка­пы­ва­ют ее на зад­нем дворе. Ино­гда па­ро­ли про­сто за­по­ми­на­ют.

Су­ще­ству­ет мно­же­ство таких ме­то­дов, и у каж­до­го есть свои под­вод­ные камни. Неред­ко они до­во­дят людей до са­мо­убийств: на­при­мер, из­ве­стен при­мер из Нью-Йор­ка, когда поль­зо­ва­тель пе­ре­фор­ма­ти­ро­вал жест­кий диск и стер ключ к бит­ко­ин-ко­шель­ку, по­те­ряв до­ступ к сумме около 25 тыс. дол­ла­ров. До­ми­ник Фо­гар­ти, ана­ли­тик хедж-фон­да, оста­вил свой те­ле­фон с до­сту­пом к ко­шель­ку в такси после маль­чиш­ни­ка. Чтобы вер­нуть те­ле­фон, До­ми­ни­ку при­ш­лось объ­е­хать Адирондак­ский гор­ный хре­бет. «По­ду­ма­ешь, опоз­дал на поезд! Зато бит­ко­и­ны оста­лись при мне», — за­явил он в ин­тер­вью Fortune.

Иро­ния в том, что зо­ло­той стан­дарт без­опас­но­сти — хра­не­ние сек­рет­ных клю­чей без под­клю­че­ния к ин­тер­не­ту — чаще всего обо­ра­чи­ва­ет­ся ис­поль­зо­ва­ни­ем хра­ни­лищ, ко­то­рых за­щит­ни­ки блок­чей­на так ста­ра­лись из­бе­жать: бан­ков. Ме­не­джер од­но­го из крип­то­ва­лют­ных хедж-фон­дов хра­нил ключ к 5 млн дол­ла­ров в сейфе банка Wells Fargo, пока од­на­ж­ды не об­на­ру­жил, что сейф пуст. (Несколь­ко недель спу­стя вы­яс­ни­лось, что ключ лежал не в том слоте, где его ис­ка­ли).

Даже сама си­сте­ма Coinbase по­ла­га­ет­ся на банки, а ведь речь идет о хра­ни­ли­щах 98% средств кли­ен­тов. «На­вер­ное, это ста­ро­мод­ное ре­ше­ние», — при­зна­ет Арм­стронг. Но вполне воз­мож­но, что за ним бу­ду­щее, по­то­му что все боль­ше ин­ве­сто­ров за­ин­те­ре­со­ва­ны в крип­то­ва­лю­те, но прин­цип «сам себе банк» их не пре­льща­ет.

Майкл Кри­гер, быв­ший ана­ли­тик Lehman Brothers, ушел с Уо­лл-стрит и за­нял­ся крип­то­ва­лю­той, разо­ча­ро­вав­шись в фи­нан­со­вом кри­зи­се. Он го­во­рит: «Я бы не до­ве­рил свои ключи бан­ков­ско­му сейфу. Но это я».

Уже сей­час стена между ста­рой шко­лой хра­не­ния фи­нан­сов и блок­чейн-от­ще­пен­ца­ми дает тре­щи­ну. Воз­мож­но, вско­ре на­сту­пит тот день, когда две си­сте­мы объ­еди­нят­ся и никто не за­ме­тит про­ти­во­ре­чия.

«За­бав­но, что неко­то­рые из пра­вил и про­це­дур, от ко­то­рых мы так хотим из­ба­вить­ся, — это те же пра­ви­ла, ко­то­рые необ­хо­ди­мы, чтобы за­щи­тить круп­но­го кли­ен­та», — го­во­рит Ху Лян, ко­то­рый в ав­гу­сте по­ки­нул пост топ-ме­не­дже­ра в State Street, чтобы со­здать тор­го­вую плат­фор­му крип­то­ва­лю­ты для ин­сти­ту­ци­о­наль­ных ин­ве­сто­ров.

Как бы адеп­ты блок­чей­на ни меч­та­ли уйти от услов­но­стей, ко­то­рые опре­де­ля­ли бан­ков­скую де­я­тель­ность на про­тя­же­нии веков, ста­но­вит­ся все оче­вид­нее, что из­бе­жать их прак­ти­че­ски невоз­мож­но.

В швей­цар­ских горах, в пе­ще­ре глу­би­ной 200 м на­хо­дит­ся во­ен­ный бун­кер вре­мен Вто­рой ми­ро­вой войны. Сей­час он счи­та­ет­ся самым круп­ным хра­ни­ли­щем бит­ко­и­нов на пла­не­те. После взло­ма биржи Mt. Gox в 2014 году, Вен­сес Ка­са­рес, тех­но­ло­ги­че­ский пред­при­ни­ма­тель из Ар­ген­ти­ны, при­нял ре­ше­ние, что самое на­деж­ное хра­ни­ли­ще циф­ро­вой ва­лю­ты — под зем­лей.

Xapo, ком­па­ния Ка­са­ре­са, управ­ля­ет хра­ни­ли­ща­ми на пяти кон­ти­нен­тах, неко­то­рые из них до­сти­га­ют глу­би­ны 1 км. Каж­дый со­дер­жит сер­ве­ры, от­клю­чен­ные от Сети, на ко­то­рых хра­нят­ся за­шиф­ро­ван­ные сек­рет­ные ключи. Чтобы обез­опа­сить кли­ен­тов, среди ко­то­рых как дер­жа­те­ли $5 на раз­ви­ва­ю­щих­ся рын­ках, так и круп­ней­шие хедж-фон­ды и гло­баль­ные ор­га­ни­за­ции, со­труд­ни­ки Xapo в Па­ло-Аль­то лично кон­тро­ли­ру­ют про­из­вод­ство сер­ве­ров еще до того, как они сой­дут с кон­вей­е­ра.

Они пе­ре­ме­ща­ют их в гер­ме­тич­ные хра­ни­ли­ща, га­ран­ти­руя, что сер­вер ни на се­кун­ду не под­клю­чал­ся к ин­тер­не­ту. «Это даже смеш­но, — го­во­рит Ка­са­рес, ко­то­рый также вхо­дит в совет ди­рек­то­ров PayPal, — на какие ухищ­ре­ния при­хо­дит­ся идти, чтобы обес­пе­чить пол­ную за­щи­ту клю­чей».

Но даже у этой га­ран­тии есть пре­де­лы. Когда кли­ен­ты пе­ре­ме­ща­ют сред­ства в «го­ря­чий ко­ше­лек» на Xapo для тран­зак­ций (этот про­цесс за­ни­ма­ет 48 часов), счет ста­но­вит­ся так же уяз­вим для ха­ке­ров, как и счета Coinbase. Дру­ги­ми сло­ва­ми, ваши крип­то­со­кро­ви­ща на­хо­дят­ся в без­опас­но­сти — пока вы не за­хо­ти­те их ис­поль­зо­вать.

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА