Холодно, но безопасно: как Phemex хранит средства пользователей

13.10.2021 560 0.0 0
Холодно, но безопасно: как Phemex хранит средства пользователей
Горячие кошельки остаются одним из самых уязвимых мест криптобирж. По данным сервиса Atlas VPN, в 2012-2020 годах 87 платформ лишились $4,8 млрд в результате хакерских атак.

Чтобы защитить средства пользователей, некоторые биржи хранят их только офлайн. Одна из таких площадок — Phemex. Рассказываем о системе безопасности и холодных кошельках этой торговой платформы.


Коротко о Phemex



Phemex — сингапурская криптобиржа, которую основали восемь бывших сотрудников банка Morgan Stanley. В марте 2020 года Phemex привлекла $3,5 млн в ходе раунда финансирования Серии А при оценке в $50 млн.

Платформа работает с 2019 года и поддерживает 37 криптоактивов. Пользователям доступны фьючерсные контракты с кредитным плечом до 100х. На момент публикации статьи на бирже зарегистрировалось 2 млн человек.

Торговый движок Phemex может обрабатывать до 300 000 транзакций в секунду. Он состоит из двух модулей: CrossEngine и TradingEngine. Первый упорядочивает ордера в зависимости от приоритета по времени и цены, а второй принимает запросы на размещение ордеров пользователей.

Криптобиржа работает в соответствии со стандартом информационной безопасности ISO/IEC 17799 и сотрудничает с аудиторской компанией SlowMist. Для защиты от внешних атак биржа использует систему Amazon Web Services Cloud Security.


Разница между холодными и горячими кошельками



Большинство криптобирж использует два типа кошельков: горячие (онлайн) и холодные (офлайн). 

Горячие кошельки постоянно подключены к интернету, и поэтому уязвимы для хакерских атак. Однако они позволяют биржам быстрее обрабатывать запросы пользователей на вывод средств.

Холодные кошельки не имеют доступа к интернету. Это защищает их от взлома, но в то же время замедляет вывод криптовалют с биржи.

Крупные биржи переводят большую часть цифровых активов на холодные кошельки. Например, Bitstamp хранит офлайн 98% средств клиентов, а Kraken — 95%. 

Phemex разработала собственную систему иерархически детерминированных (hierarchical deterministic, HD) холодных кошельков, которая позволяет хранить 100% средств пользователей офлайн.



Как работают холодные кошельки Phemex



Каждый пользователь биржи получает отдельный депозитный адрес. Периодически Phemex консолидирует отдельные депозиты на одном холодном кошельке. 

Сотрудники платформы подтверждают внутренние переводы и выводы с биржи с помощью офлайн-подписей. Для таких операций нужно два компьютера:

первый не имеет доступа к интернету и хранит закрытые ключи для подписи транзакций;
второй подключен к интернету и транслирует транзакцию в блокчейн.
Сотрудники Phemex подписывают транзакции на офлайн-компьютере, а затем переносят их на онлайн-компьютер с помощью USB-носителя. После этого онлайн-компьютер транслирует транзакции в блокчейн. 

Криптобиржа обрабатывает запросы на вывод средств три раза в сутки. Персонал биржи проверяет заявки и подтверждает их офлайн-подписями.


Выводы


В марте 2012 года хакеры украли 18 500 BTC с горячего кошелька платформы Bitcoinica. С тех пор мало что изменилось: в 2019 году злоумышленники взломали Binance и Upbit, в 2020 году — KuCoin и EXMO, а в 2021 году Liquid и Bilaxy.

Phemex обеспечивает сохранность пользовательских активов: биржа хранит все средства на холодных кошельках. 

У такого подхода есть минус: клиенты вынуждены ждать, пока платформа обработает заявки на вывод средств офлайн. Однако это небольшая цена за стопроцентную уверенность, что хакеры не получат доступ к цифровым активам на бирже.
Аватар enr091 Наталия Ришко
Журналист/foxsovet

Комментарии
avatar
Читайте также: