Безопасность активов на CEX

CEX называются централизованными, потому что это коммерческое предприятие, которое на своем пространстве организует возможность операций с криптовалютами. Менеджмент биржи устанавливает свои правила. Пользуясь услугами биржи, пользователь соглашается их бесприкословно выполнять. Все больше CEX начинают внедрять процедуру верификации личности, известную под названием KYC (know-your-client). Это позволяет:

CEX может применять процедуру проверки вносимых активов, что в некоторой степени гарантирует их чистоту. Если в результате технического сбоя или по другой причине произошла утрата активов, ситуацию решить легче, чем если бы это произошло в открытом DeFi, потому что:

уменьшить проблему мультиаккаунтинга (отсечь ботов);

01

при необходимости оказывать давление на пользователей — например, ограничивать доступ по любому из параметров (гражданство и т. д.)

02

у биржи есть техподдержка, которая теоретически может помочь решить проблему;

01

балансы активов фактически перемещаются между внутренними счетами биржи, не покидая ее собственных адресов.

02

Централизованные биржи предлагают обменять свободу на безопасность. При этом 100% безопасности они гарантировать не могут, так как риски все равно остаются.

Недостатки CEX

Риску банкротства теоретически подвержена каждая биржа. Рядовые пользователи при всей прозрачности финансовой системы далеко не всегда имеют доступ к информации о состоянии биржи. Мало того, нужно уметь правильно интерпретировать такую информацию. И часто массовка полагается только на восторженные посты в соцсетях, впадая в панику, когда их супернадежная биржа вдруг начинает испытывать финансовые проблемы.

Но использовать криптовалюту можно не только с помощью CEX.

Самый главный недостаток — активы, внесенные на CEX, принадлежат пользователям лишь формально. Фактическим их распорядителем является биржа. Пользователь лишь оперирует числами, символизирующими его активы, перекидывая их из одного адреса на другой внутри платформы.

Это грозит тем, что любая часть активов может быть заблокирована, такие преценденты случались. Любая транзакция может быть отменена или выполнена неполностью, если идет речь, например, об ограничении прибыли пользователя. Есть ограничения на сумму вывода с биржи. Это в большей степени касается владельцев больших балансов, но тем не менее. Централизованные биржи сильно подвержены давлению финансовых регуляторов, что также ограничивает степень свободы пользователей.

Децентрализованные площадки (DeFi)

Если централизованная биржа — это бассейн, то DeFi — это открытый океан, дикий мир, безопасность в котором зависит только от самого пользователя. Единственный способ избежать потерь — детально изучать принцип работы тех элементов, которыми предстоит пользоваться. А элементов достаточно много, так как именно в DeFi пользователь на практике сталкивается с тем, что блокчейн, оказывается не один, а их много: Ethereum, BNB Chain, Avalanche, Polygon и еще десятки других. И если при работе на централизованной бирже этот факт можно было констатировать лишь в контексте нативных токенов, то в DeFi это нужно учитывать при миграции криптовалюты между разными сетями.

Итак, почему блокчейнов много?

Блокчейны

Сначала нужно определить, что это такое. Блокчейн — это некоторое количество хостов (компьютеров, серверов), которые объединены в одну сеть. В блокчейне эти компьютеры называются нодами или узлами. Их может быть как несколько десятков, так и несколько десятков тысяч, все зависит от архитектуры конкретного блокчейна. Основная суть в том, что на каждом хосте хранится точно такая же информация, как и на всех остальных в данной сети. Если информация изменяется на каком-либо из них, то она обновляется на всех остальных хостах. Или, как говорят, — на всех хостах поддерживается одинаковое состояние. В рамках одного блокчейна кроме основной могут существовать и другие сети, что-то вроде подсетей. В качестве примера можно привести сети Layer 2 на Ethereum.

Информация в блокчейне может храниться самая разнообразная, но чаще всего нам доведется сталкиваться с наиболее распространенной — перемещением криптовалюты между адресами. Такие перемещения, да и любая другая запись в блокчейне, называется транзакцией. Любая информация, записанная в блокчейне, остается там навсегда. Когда происходит любая транзакция, состояние блокчейна меняется. За каждую транзакцию сторона, инициировавшая ее, должна уплатить комиссию — плату за газ.

Блокчейн можно представить, например, как город или торговый центр. Суть одна: команда разработчиков создает инфраструктуру, привлекает разработчиков приложений, которыми будут пользоваться конечные потребители. Пользователи приложений наполняют блокчейн потоком своих транзакций, ради которых он и создавался. Миллионы маленьких ручейков из комиссий уже сейчас образуют потоки в десятки и сотни миллионов долларов дохода. То есть, блокчейн — это коммерческий проект, одной из целей которого есть получение прибыли в web3.

Кроссчейн-переводы

У каждого блокчейна есть своя нативная криптовалюта. Например, у Ethereum это ETH, у BNB Chain это BNB и т. д. Нативная криптовалюта является базовой для своего блокчейна, в ней взымается плата за газ. Монеты наиболее развитых блокчейнов имеют внушительную капитализацию. Кроме нативных криптовалют есть еще тысячи других.

Тот, кому уже доводилось проводить транзакции в DeFi, мог заметить, как один и тот же токен встречается в различных блокчейнах. Лучше всего это демонстрируют стейблкоины. Например, USDT можно встретить практически во всех значимых блокчейнах. Возникает вопрос: как он туда попал?

Эмитент стейблкоина создает специальный смарт-контракт, под управлением которого USDT будет функционировать, например, на Avalanche. Различными способами, в том числе с помощью поставщиков ликвидности, на этот блокчейн заводится некоторое количество USDT. Допустим, пользователь сделал все, что хотел на Avalanche, получил свои USDT и хочет перевести их в другой блокчейн. Просто взять и перевести криптовалюту на произвольный адрес в другой сети нельзя, она попросту будет утрачена, то есть адрес-получатель активы не получит. Причина в том, что у каждого блокчейна свой протокол — свод технических правил, согласно которым обрабатывается и хранится информация в сети. И если токен не соответствует этим правилам, он не сможет там функционировать. Это как в машину с бензиновым двигателем залить дизельное топливо: работоспособность автомобиля будет утрачена. Так что же делать, если активы есть в одном блокчейне, а необходимость их использовать возникла в другом блокчейне? Нужно воспользоваться мостом.

Мосты

Это отдельное приложение, известное также как «бридж», «кроссчейн мост», «сетевой мост», позволяющее переводить активы между разными блокчейнами или сетями. Чтобы понять, как мосты совершают транзакции, рассмотрим самый простой механизм.

При переводе мост блокирует базовую криптовалюту в специальном хранилище, а в другом блокчейне выпускает аналог базового актива на тот же номинал. Если не вдаваться в технические подробности, то нечто подобное происходит в случае с WBTC. Это полный аналог биткоина, но только в сети Ethereum, у которого точно такой же курс к доллару (хотя иногда в силу различных причин может возникать так называемый депег (depeg) — отвязка от курса базового актива). Новую монету также называют «обернутый биткоин» (Wrapped Bitcoin). Обратный обмен происходит по тому же принципу, только теперь WBTC сжигаются в сети Ethereum, а BTC в сети Bitcoin разблокируются.

Это одни из самых старых способов, но есть и другие протоколы, работающие по более сложным принципам. Например, LayerZero, который позволяет передавать между сетями любые токены, будь-то криптовалюта, NFT или текстовое сообщение. У него даже нативный проводник кроссчейн-транзакции называет сообщениями.

Еще один достаточно простой для понимания способ кроссчейн-переводов — это использование пулов ликвидности. Мост аккумулирует наиболее популярные токены в пулах в нескольких сетях. При кроссчейн-переводе токен блокируется в пуле моста на одном блокчейне и выдается пользователю из пула на целевом блокчейне. За каждый перевод взымается комиссия, часть из которой получают поставщики ликвидности.

Разные принципы работы мостов

Крупнейший оракул Chainlink также разрабатывает собственный кроссчейн-протокол — CCIP (Cross-Chain Interoperability Protocol). Это стандарт с открытым исходным кодом, который позволяет отправлять и получать пакеты данных между различными сетями.

нужно быть зарегистрированным на подобной бирже;

01

биржа должна поддерживать заданную криптовалюту;

В каких сетях существует токен, можно проверить на сайтах Coinmarketcap или Coingecko.

для этой криптовалюты должен существовать смарт-контракт в целевом блокчейне — то есть, чтобы она поддерживалась этим блокчейном.

02

03

Простой способ перевода

Напоследок темы мостов есть лайфхак: в качестве моста можно использовать централизованную биржу. Для этого криптовалюту нужно завести на CEX, а потом вывести на адрес целевого блокчейна. Чтобы метод сработал, требуется соблюдение ряда условий:

Их польза очевидна, вспомним пример с WBTC. Сеть Ethereum на порядки более развита по сравнению с сетью Bitcoin даже на сегодняшний день. Огромное количество DeFi-приложений позволяют реализовать любой сценарий получения прибыли. И если бы не мосты и обернутые версии, то BTC был бы заперт в своей сети и не приносил бы той выгоды своим владельцам, на которую способен. Увеличение ликвидности в сетях и легкое ее перемещение между сетями — вот одно из важных предназначений мостов.

Выгода от мостов

Другой пример: в конце мая 2023 года глава Multichain, протокола функциональной совместимости блокчейнов, был арестован китайскими властями. Это привело к тому, что мостовой протокол с общим объемом транзакций более $100 млрд. прекратил свою работу. Многие потеряли деньги, еще больше людей проверили свою нервную систему на устойчивость. Событие такого масштаба задевает многие смарт-контракты, с которыми имеет тесные отношения. Например, одним из последствий стала невозможность вывести из блокчейна Fantom стейбкоин USDC, либо с дисконтом до 80%.

Безопасность

Эти факты приводятся не для того, чтобы запугать вас. Просто нужно помнить, что в DeFi приветствуются знания и здоровая осторожность. Ваши деньги готовы принять все, а вот отдать готов далеко не каждый.

Кошельки

Пользователь централизованной биржи может посмотреть балансы по всем своим криптовалютам в специальном разделе. Он может называться «Кошелек», «Активы» и т. д. Здесь видны активы пользователя, которые заведены на конкретную биржу. А куда вывести деньги с биржи? Или на другую биржу, или на кошелек.

Нужно понимать важный момент: на самом деле ваши деньги не хранятся в кошельке. Кошелек — это всего лишь удобный интерфейс, который дает доступ к операциям с криптоактивами. Все криптоактивы, находящиеся на любом из блокчейнов, хранятся только на этом блокчейне в виде цифровой записи. И никогда не могут его покинуть, разве что их переведут на другой блокчейн с помощью кроссчейн-транзакции.

Интерфейс

У каждого кошелька есть уникальная сид-фраза — набор из 12 слов, (реже — с 18 или 24). Она генерируется по умолчанию при создании нового кошелька, увидеть ее можно в настройках. Сид-фразу никогда, никому, ни при каких обстоятельствах и ни за какие деньги нельзя разглашать (разве что за сумму, превышающую текущий баланс). И даже в этом случае нужно хорошо подумать — а вдруг этот кошелек является участником схемы с мультиподписью. В этом случае риску подвергаются еще и другие кошельки или даже смарт-контракты.

Seed-фраза

Сид-фразу нельзя записывать в облаке, в файле на компьютере или на телефоне: все это успешно взламывается. Многие думают, что их компьютер надежно защищен файерволом, антивирусом или иконкой на крышке ноутбука. Вас до сих пор не взломали не потому, что вы защищены — до вас пока просто не дошли руки у заинтересованных личностей. А может уже взломали, просто вы об этом не знаете.

Относительно надежным способом считается запись сид-фразы на бумаге и хранение в приватном месте. Интеллектуалы для хранения подобной информации могут воспользоваться различными способами шифрования и стеганографии.

Сид-фразу нельзя изменить, именно поэтому покупать кошельки неразумно. Очень часто такие предложения поступают в каналах по ретродропам. Фермеры продают прокачанные кошельки с расчетом на минимальную прибыль сейчас, а желающие купить расчитывают на значительно большую потенциальную прибыль после ретродропа. Остается надеяться, что фермер удалит сид-фразу, и нервничать до тех пор, пока токены не будут получены и выведены с кошелька. А это далеко не гарантированный факт. Если человек имеет сотни прогретых кошельков, значит он умеет в автоматизацию. Автоматизировать мгновенный вывод токенов с подконтрольных кошельков — это всего лишь пара лишних строчек в программном коде.

Для того, чтобы владеть кошельком, достаточно иметь его сид-фразу. Далее скачивается приложение кошелька, вводится сид-фраза и открывается интерфейс со всеми доступными активами. Иногда сид-фразу можно вводить в кошельки разных разработчиков, главное чтобы они поддерживали виртуальную машину одного блокчейна. Таким образом, становится понятно, что не страшно случайно удалить кошелек с телефона или забыть пароль от него. Нужно просто по новому установить приложение и вместо создания нового кошелька восстановить старый с помощью сид-фразы.

В DeFi кошелек является своего рода пропуском. Если в web2 залогиниться в разных сервисах можно с помощью электронной почты или профиля социальной сети, то для блокчейн-приложений нужен кошелек. В общем-то, это логично: для того, чтобы пользоваться web3-приложениями, нужны деньги как минимум для оплаты комиссий за транзакции. Приложение сразу «видит» баланс, и если денег нет, то можно «только посмотреть». Авторизация с помощью электронной почты на некоторых web3-платформах также есть.

О кошельках у нас уже был материал: там можно подробно узнать, какие они бывают и чем отличаются. На сегодняшний день их существует очень большое количество, но есть наиболее популярные.

Далее нужно ввести смарт-контракт токена в соответствующее поле. Символ и разрядность токена подтягиваются автоматически. Смарт-контракты всех токенов есть на Coinmarketcap или подобных платформах.

Разнообразие кошельков

Если нужно очень срочно проверить, какие токены есть на балансе кошелька, а добавлять токены нет времени или не хочется, можно воспользоваться простым способом. Существует большое количество трекеров кошельков, одним из наиболее развитых и популярных является Debank. Здесь сразу можно увидеть, в какой сети есть активы, в каких именно токенах и на какую сумму.

После того, как токен был переведен на адрес кошелька, его может быть не видно. Переживать пока не стоит, в некоторых кошельках токены нужно добавлять вручную. По умолчанию там отображаются только нативные токены блокчейна: ETH для Ethereum, BNB для BNB Chain и т.д. Добавить токен просто, в Metamask это делается так:

Баланс

Одним из самых распространенных является Metamask. Существует в виде мобильного приложения и веб-версии, интегрирован практически во все значимые web3-приложения. Поддерживает большое количество блокчейнов и сетей, совместимых с Ethereum Virtual Machine. Почти все самые ходовые криптовалюты, а также NFT можно хранить в Metamask. Некоторые криптовалюты он не поддерживает, в том числе из сетей Bitcoin и Tron. С другой стороны, есть много других кошельков, которые имеют доступ к этим сетям. Удобно то, что в Metamask для всех сетей один и тот же адрес.

Практически на каждом этапе использования DeFi нужно помнить о безопасности. Кошельки не исключение, они также являются вектором атаки для злоумышленников. Все угрозы трудно предусмотреть, хакеры — народ изобретательный. Из часто встречающегося — иногда в кошельке можно увидеть незнакомые криптовалюты или NFT. Скорее всего, это токены, разосланные злоумышленниками на рандомные адреса. С ними лучше никак не взаимодействовать: не переводить на другие адреса, не обменивать на биржах и т. д. Чаще всего после этого смарт-контракт подобного токена опустошает кошелек жертвы.

Безопасность

При регистрации на новой площадке иногда нужно выполнить транзакцию “Sign”.

По умолчанию это бесплатная транзакция, фиксирующая согласие пользователя на использование услуг платформы. Но злоумышленники могут изменить способ взаимодействия: нужно смотреть, что именно вы подписываете.

Чтобы избежать злонамеренных транзакций, можно использовать некоторые способы защиты. Одним из них есть расширение для браузера ScamSniffer, разработчики которого специализируются на борьбе с мошенничеством в сети. Расширение анализирует транзакцию, которую инициировал пользователь в кошельке, и в случае потенциальной опасности информирует его.

Пропуск в DeFi

DEX

Вы уже знаете, где хранить и как перемещать активы между блокчейнами. Теперь пора узнать, как торговать криптовалютами вне централизованных бирж. Основное отличие DEX (decentralized exchange) от CEX в том, что они работают на пулах ликвидности, а не на книгах ордеров. Из-за этого иногда появляются казусы вроде отличия курса определенного токена от среднерыночного.

Создается смарт-контракт для пары токенов — например, ETH-USDT. Владельцы таких токенов имеют возможность заблокировать там свои активы и получать за это вознаграждение — процент от комиссии за обмен. Это и есть пул ликвидности простыми словами. Как и любая биржа, DEX взымает комиссию за транзакции. Более детально о работе пулов можно узнать в отчете по Kyber Network, там детально описаны два их основных принципа работы.

На крупных DEX пулы могут иметь объемы в десятки миллионов долларов, и этой ликвидности вполне достаточно для обеспечения потребностей пользователей. Если же возникла необходимость воспользоваться маленькой, неизвестной или новой децентрализованной биржей, перед свапом (транзакцией обмена) лучше заглянуть в раздел “Pools” в соответствующую торговую пару. Ликвидность может быть маленькая, соотношение токенов в пуле неравноменым — все это может привести к тому, что обмен произойдет по невыгодному курсу. Потери из-за этого могут достигать десятков процентов.

По причине недостаточной ликвидности DEX могут пользоваться ликвидностью других бирж, поэтому иногда в деталях транзакции можно увидеть перенаправление на другой протокол. Например, сейчас такое часто встречается на некоторых биржах в сети Starknet. У некоторых бирж в пулах буквально несколько тысяч долларов, экосистема блокчейна еще не развита.

Одна из несложных схем — создать клон известного токена (например, USDT). И невнимательный пользователь вместо того, чтобы продать свою криптовалюту за оригинальный стейблкоин, получит мошеннический токен, который ничего не стоит. Как этого избежать?

Как быстро потерять деньги

Любой желающий может выпустить свою криптовалюту и разместить ее на DEX. Злоумышленники часто пользуются этим для различных схем обмана. За неполных два месяца лета 2023 года только в сети Base появилось около 500 мошенических мемкоинов.

Факторов риска при взаимодействии с разными приложениями DeFi достаточно много. И, как во всяком важном деле, здесь важна практика и опыт. Их можно получить бесплатно, потратив лишь некоторое время. У многих крупных блокчейнов есть так называемые тестнеты, они же тестовые сети. Они существуют отдельно от основных блокчейнов и нужны для обкатки новых технологий, разработчики тестируют на них свои приложения. У Ethereum это Goerli и Sepolia. В них также есть свои нативные криптовалюты — это Goerli ETH и Sepolia ETH. Оба токена не имеют рыночной ценности и предназначены для совершения транзакций в тестнете. Получить их можно в так называемых кранах (faucet) бесплатно. Они могут продаваться в пабликах за символическую цену, но это для тех, кому лень самому их искать, или если их требуется много. Далее нужно найти приложение в тестнете и потренироваться на тестовых токенах. Даже если что-то пошло не так, эти активы не страшно потерять. На первых порах для таких опытов лучше использовать новый кошелек, на котором нет реальных активов.

Опыт

Если этот этап прошел успешно, можно переходить к опытам с реальными активами. Достаточно легко обучение происходит в режиме геймификации. Есть платформа Layer3, которая предлагает различные квесты по взаимодействию с DeFi-приложениями: DEX, мосты, лендинговые протоколы и т.д. Вам придется взаимодействовать с самыми разными токенами и блокчейнами, паралельно получая образовательную информацию о них. Пройдя несколько десятков квестов, можете считать, что ваше знакомство с DeFi состоялось.

На бирже в поле поиска токена нужно вместо тикера вписать смарт-контракт токена в нужной сети, и подтянется именно он. Это гарантирует, что вы получите оригинальную, а не поддельную криптовалюту.

Еще один способ потерять деньги: жертва ищет DEX — например, Pancakeswap — через поиск в Гугле, переходит по ссылке на биржу, совершает транзакцию и теряет все деньги. Почему так получилось? Просто биржа ненастоящая. А невнимательный пользователь не посмотрел на доменное имя сайта, на который перешел.

Создать сайт сейчас можно за считанные часы. Подделать биржу до мельчайших подробностей дизайна занять может и больше времени, но это уже делалось не раз. Дальше нужно зарезервировать домен хоть как-то похожий на целевой, вместо адресов биржи подставить свои. Для лучшего результата можно запустить рекламную кампанию в Google. В игре с нулевой суммой кто-то должен проиграть, и в данном случае это пользователь «биржи». Решение у проблемы простое: сохранять используемые площадки в закладках.