Холодно, но безопасно: как Phemex хранит средства пользователей
13.10.2021 503 0
Горячие кошельки остаются одним из самых уязвимых мест криптобирж. По данным сервиса Atlas VPN, в 2012-2020 годах 87 платформ лишились $4,8 млрд в результате хакерских атак.
Чтобы защитить средства пользователей, некоторые биржи хранят их только офлайн. Одна из таких площадок — Phemex. Рассказываем о системе безопасности и холодных кошельках этой торговой платформы.
Phemex — сингапурская криптобиржа, которую основали восемь бывших сотрудников банка Morgan Stanley. В марте 2020 года Phemex привлекла $3,5 млн в ходе раунда финансирования Серии А при оценке в $50 млн.
Платформа работает с 2019 года и поддерживает 37 криптоактивов. Пользователям доступны фьючерсные контракты с кредитным плечом до 100х. На момент публикации статьи на бирже зарегистрировалось 2 млн человек.
Торговый движок Phemex может обрабатывать до 300 000 транзакций в секунду. Он состоит из двух модулей: CrossEngine и TradingEngine. Первый упорядочивает ордера в зависимости от приоритета по времени и цены, а второй принимает запросы на размещение ордеров пользователей.
Криптобиржа работает в соответствии со стандартом информационной безопасности ISO/IEC 17799 и сотрудничает с аудиторской компанией SlowMist. Для защиты от внешних атак биржа использует систему Amazon Web Services Cloud Security.
Большинство криптобирж использует два типа кошельков: горячие (онлайн) и холодные (офлайн).
Горячие кошельки постоянно подключены к интернету, и поэтому уязвимы для хакерских атак. Однако они позволяют биржам быстрее обрабатывать запросы пользователей на вывод средств.
Холодные кошельки не имеют доступа к интернету. Это защищает их от взлома, но в то же время замедляет вывод криптовалют с биржи.
Крупные биржи переводят большую часть цифровых активов на холодные кошельки. Например, Bitstamp хранит офлайн 98% средств клиентов, а Kraken — 95%.
Phemex разработала собственную систему иерархически детерминированных (hierarchical deterministic, HD) холодных кошельков, которая позволяет хранить 100% средств пользователей офлайн.
Каждый пользователь биржи получает отдельный депозитный адрес. Периодически Phemex консолидирует отдельные депозиты на одном холодном кошельке.
Сотрудники платформы подтверждают внутренние переводы и выводы с биржи с помощью офлайн-подписей. Для таких операций нужно два компьютера:
первый не имеет доступа к интернету и хранит закрытые ключи для подписи транзакций;
второй подключен к интернету и транслирует транзакцию в блокчейн.
Сотрудники Phemex подписывают транзакции на офлайн-компьютере, а затем переносят их на онлайн-компьютер с помощью USB-носителя. После этого онлайн-компьютер транслирует транзакции в блокчейн.
Криптобиржа обрабатывает запросы на вывод средств три раза в сутки. Персонал биржи проверяет заявки и подтверждает их офлайн-подписями.
В марте 2012 года хакеры украли 18 500 BTC с горячего кошелька платформы Bitcoinica. С тех пор мало что изменилось: в 2019 году злоумышленники взломали Binance и Upbit, в 2020 году — KuCoin и EXMO, а в 2021 году Liquid и Bilaxy.
Phemex обеспечивает сохранность пользовательских активов: биржа хранит все средства на холодных кошельках.
У такого подхода есть минус: клиенты вынуждены ждать, пока платформа обработает заявки на вывод средств офлайн. Однако это небольшая цена за стопроцентную уверенность, что хакеры не получат доступ к цифровым активам на бирже.
Чтобы защитить средства пользователей, некоторые биржи хранят их только офлайн. Одна из таких площадок — Phemex. Рассказываем о системе безопасности и холодных кошельках этой торговой платформы.
Коротко о Phemex
Phemex — сингапурская криптобиржа, которую основали восемь бывших сотрудников банка Morgan Stanley. В марте 2020 года Phemex привлекла $3,5 млн в ходе раунда финансирования Серии А при оценке в $50 млн.
Платформа работает с 2019 года и поддерживает 37 криптоактивов. Пользователям доступны фьючерсные контракты с кредитным плечом до 100х. На момент публикации статьи на бирже зарегистрировалось 2 млн человек.
Торговый движок Phemex может обрабатывать до 300 000 транзакций в секунду. Он состоит из двух модулей: CrossEngine и TradingEngine. Первый упорядочивает ордера в зависимости от приоритета по времени и цены, а второй принимает запросы на размещение ордеров пользователей.
Криптобиржа работает в соответствии со стандартом информационной безопасности ISO/IEC 17799 и сотрудничает с аудиторской компанией SlowMist. Для защиты от внешних атак биржа использует систему Amazon Web Services Cloud Security.
Разница между холодными и горячими кошельками
Большинство криптобирж использует два типа кошельков: горячие (онлайн) и холодные (офлайн).
Горячие кошельки постоянно подключены к интернету, и поэтому уязвимы для хакерских атак. Однако они позволяют биржам быстрее обрабатывать запросы пользователей на вывод средств.
Холодные кошельки не имеют доступа к интернету. Это защищает их от взлома, но в то же время замедляет вывод криптовалют с биржи.
Крупные биржи переводят большую часть цифровых активов на холодные кошельки. Например, Bitstamp хранит офлайн 98% средств клиентов, а Kraken — 95%.
Phemex разработала собственную систему иерархически детерминированных (hierarchical deterministic, HD) холодных кошельков, которая позволяет хранить 100% средств пользователей офлайн.
Как работают холодные кошельки Phemex
Каждый пользователь биржи получает отдельный депозитный адрес. Периодически Phemex консолидирует отдельные депозиты на одном холодном кошельке.
Сотрудники платформы подтверждают внутренние переводы и выводы с биржи с помощью офлайн-подписей. Для таких операций нужно два компьютера:
первый не имеет доступа к интернету и хранит закрытые ключи для подписи транзакций;
второй подключен к интернету и транслирует транзакцию в блокчейн.
Сотрудники Phemex подписывают транзакции на офлайн-компьютере, а затем переносят их на онлайн-компьютер с помощью USB-носителя. После этого онлайн-компьютер транслирует транзакции в блокчейн.
Криптобиржа обрабатывает запросы на вывод средств три раза в сутки. Персонал биржи проверяет заявки и подтверждает их офлайн-подписями.
Выводы
В марте 2012 года хакеры украли 18 500 BTC с горячего кошелька платформы Bitcoinica. С тех пор мало что изменилось: в 2019 году злоумышленники взломали Binance и Upbit, в 2020 году — KuCoin и EXMO, а в 2021 году Liquid и Bilaxy.
Phemex обеспечивает сохранность пользовательских активов: биржа хранит все средства на холодных кошельках.
У такого подхода есть минус: клиенты вынуждены ждать, пока платформа обработает заявки на вывод средств офлайн. Однако это небольшая цена за стопроцентную уверенность, что хакеры не получат доступ к цифровым активам на бирже.
Комментарии
Читайте также: