Bybit: безопасность, которая «превышает стандарты»

После «громкого» инцидента с Mt.Gox прошло 6 лет, но разговоры на тему безопасности криптоактивов до сих пор не стихают. Крупные инциденты в сфере безопасности платформ для торговли криптоактивами происходят в отрасли почти каждый месяц. Наряду с естественной асимметричностью информации между пользователями и платформами опасения за безопасность пользователей и скептицизм СМИ по-прежнему не ослабевают.

Согласно статистической обработке архивных данных о взломе блокчейнов, представленной компанией SlowMist, в течение 2019 года в индустрии блокчейнов произошло более 130 инцидентов, связанных с нарушением безопасности, а совокупные потери средств превысили 5 млрд долларов США. Хакерским атакам подверглись биржи, кошельки, децентрализованные приложения (DApp), серьезнее всех пострадали следующие сервисы: 1. Вывод криптовалюты с кошелька Plustoken в размере 2 млрд долларов США; 2. Взлом криптовалютной биржи Binance и кража 7074 биткойнов; 3. Взлом биткойн-биржи Bithumb и кража 3 млн EOS, а также 20 млн XRP.

«Говоря о безопасности платформ для торговли криптоактивами, в действительности мы подразумеваем весьма широкое понятие, которое включает в себя политические риски (платформа не будет закрыта), риски, связанные с доверием и выполнением обещаний (основатели платформы не исчезнут), рыночные риски (отсутствие манипулирования рынком), операционные риски (платформа не закроется из-за некомпетентного управления), технологические риски (не будут допущены кражи валют хакерами), т. е. все то, что обычно называют механизмами предотвращения рисков и операциями безопасности. Как ведущая в мире платформа для торговли криптовалютными деривативами, мы обязаны сделать работу в сфере безопасности и управления рисками еще более прозрачной». Источник: речь генерального директора биржи криптовалют Bybit Бена Чжоу, 2020 год.

Очевидно, что вопросы безопасности привлекли серьезное внимание Bybit и стали фокусом развития платформы на 2020 год. Далее, объединив планирование управления рисками и практическую деятельность по обеспечению безопасности торговой платформы, мы объясним, как Bybit гарантирует своим пользователям безопасность их криптоактивов.

Сосредоточенность на деривативах, выбор верного пути

Bybit обслуживает более 400 тыс. пользователей в 117 странах мира. Бизнес-модель, сфокусированная на торговле деривативами, естественным образом изолирована от наибольших политических рисков, связанных с торговлей криптоактивами в виде валюты и привлечением инвестиций методами ICO/IEO.

В настоящее время мы обслуживаем сотни тысяч пользователей по всему миру. У нас действительно есть отличная возможность расширить бизнес за счет других транзакций, вплоть до ICO/IEO, но мы не сделали этого прежде и не сделаем в будущем. Почему? Потому что мы придерживаемся твердых принципов. Появление платформ для торговли криптоактивами проистекает из основных потребностей трейдинга. Bybit была создана как раз для трейдинга. Наша задача — уделять основное внимание торговле деривативами. Положительная сторона заключается в том, что мы естественным образом изолированы от политических рисков, связанных с валютными сделками и привлечением инвестиций методами ICO/IEO. Всем известно, что в настоящее время контроль за криптоактивами по всему миру не совершенен. Но независимо от того, в какой стране он осуществляется, политические риски всегда являются самыми большими системными рисками, с которыми сталкиваются платформы для торговли криптоактивами. Исходя из этого, Bybit считает, что для трейдеров, торгующих деривативами на криптовалютные активы, платформа, специализирующаяся на деривативных сделках, является более надежной, чем комплексные торговые платформы.

Есть устойчивое развитие — есть гарантии

По сравнению с операциями без заимствования средств традиционной биржи, Bybit в данный момент добилась непрерывной прибыли, что позволяет избежать кредитных рисков и рисков невыполнения обязательств на торговой платформе.

В сущности, операции без заимствования средств являются ключевыми индикаторами контроля рисков на традиционных биржах. Между традиционными биржами и расчетно-клиринговыми организациями-участниками каждый день должна рассчитываться маржа для гарантии операций без заимствования. Если организация-участник не в состоянии выполнить обязательства, это приведет к кредитным рискам. Расчет маржи между биржей и организациями-участниками представляет собой единое целое. Если некоторые расчетно-клиринговые организации-участники не смогут произвести выплату маржи, биржа столкнется с кредитными рисками и рисками невыполнения обязательств, что может привести даже к ее закрытию.

Поскольку отрасль все еще находится на стадии «варварского» развития, большинство платформ для торговли криптоактивами наряду с этим выполняют сделки по слиянию, клиринг переданных активов и брокерские операции. Как и у традиционных бирж, их операции без заимствования средств означают ежедневные расчеты на оперативном уровне, сверку средств, а также четкие финансовые и информационные потоки. Bybit с момента своего создания обладает генами функционирования и внутреннего контроля в традиционной финансовой сфере, и в дополнение к базовой сверке расчетов осуществляет независимую сверку внутри и вне блокчейна для обеспечения точности и полноты расчетных данных. Овладев технологией «функционирования и внутреннего контроля», необходимо вернуться к основной модели прибыли.

Трудно представить, как торговая площадка, не полагаясь на комиссию за транзакции в качестве единственного дохода, может создавать и поддерживать высокопроизводительную технологическую платформу, предоставлять пользователям лучшие продукты и услуги, обеспечивать огромные инвестиции в безопасность. У нас есть основания подозревать, что такая платформа нацелена на активы пользователей, благодаря чему может появляться «некоммерческая» реклама о чрезвычайно низких или даже нулевых операционных издержках, высоких скидках и кешбэке. С точки зрения устойчивого развития, торговые платформы способны приносить непрерывную прибыль, и благодаря этому постоянно развиваться.

Справедливые принципы — справедливые сделки

К распространенным рыночным рискам относятся беспричинные колебания рыночных цен, монопольное манипулирование ценами крупными предприятиями, ошибки в торговых системах и системах котировок, из-за которых нельзя совершать сделки. Все эти риски нарушают нормальное функционирование рынка и могут вызвать даже панику на рынке. В сфере криптоактивов эти проблемы гораздо серьезнее, чем на традиционных биржах.

В настоящее время стоимость токена является главным механизмом основных платформ для торговли криптовалютными деривативами, обеспечивая честную торговлю для инвесторов и избавляя от преднамеренных манипуляций на рынке со стороны торговых платформ или крупных предприятий.

Кроме того, путь развития платформ для торговли криптоактивами по-прежнему придерживается «трехступенчатой» модели традиционных бирж, а именно: «варварское» развитие на начальном этапе, отраслевое саморегулирование на этапе развития, нормативно-правовое соответствие на этапе зрелости. На начальном этапе Bybit использует такие средства, как ограничение максимального количества операций и максимальной доли позиции, чтобы избежать манипуляций на рынке и защитить интересы обычных инвесторов.

Прозрачность и саморегулирование, контроль, доступный каждому

Операционные риски являются основными рисками, с которыми ежедневно сталкиваются традиционные финансовые институты. Это также является основной работой по предотвращению рисков платформы для торговли криптоактивами. Bybit считает, что в основе предотвращения операционных рисков торговой платформы в первую очередь лежит прозрачность и саморегулирование, и только потом – надлежащий контроль.

Проект BitUniverse «Прозрачность биржевых активов», к которому присоединилась Bybit, открыто демонстрирует активы платформ и приветствует контроль со стороны пользователей. Независимая третья сторона раскрывает информацию об активах, а доступ к данным предоставляется через публичный блокчейн, а не через платформу. В будущем Bybit сделает прозрачными еще больше данных, опубликует еще больше информации о транзакциях и операциях на платформе. Мы поддерживаем внимание пользователей к контролю.

В дополнение к механизму прозрачности Bybit использует такие меры внутреннего контроля, как поминутные сверки, мониторинг динамики внутренних финансовых ресурсов и т. д., благодаря чему любые движения средств внутри и вне блокчейна имеют независимые линии для своевременного мониторинга, реагирования и обработки. В рамках внутреннего контроля используется комплексная структура управления рисками традиционных финансовых институтов, включая внутреннюю и внешнюю защиту от мошенничества, борьбу с отмыванием денег и т. д. Об этом Bybit не дает развернутые разъяснения.

Контроль рисков обеспечения безопасности — это только верхушка айсберга

Вклад в обеспечение безопасности — это показатель, наилучшим образом отражающий решимость и возможности платформы по обеспечению безопасности. В качестве эталонного индикатора в отрасли, как правило, рассматривается отношение инвестиций в обеспечение безопасности к инвестициям в ИТ (включая капитальные инвестиции и инвестиции в человеческий капитал). Например, в интернет-индустрии этот бенчмарк, как правило, довольно высок и составляет около 10%; в финансовой сфере на долю инвестиций в обеспечение безопасности приходится около 5%–8%; в других отраслях – меньше 4%; в индустрии криптоактивов на многих платформах это соотношение превышает 15%. В настоящее время инвестиции Bybit в безопасность составляют около 20%, а в будущем достигнут 25-30%.

Кроме того, безопасность кошелька также является серьезной проблемой для пользователей. Кражи во многих случаях происходят на платформах для торговли криптоактивами, использующих в основном «горячие кошельки», поэтому мы избегаем такого способа хранения и применяем другие меры для обеспечения эффективности средств и удобства пользователей. Bybit создала ведущую в индустрии систему многоуровневых детерминированных «холодных кошельков». Адреса для пополнения счета, предоставляемые пользователям, являются адресами «холодных кошельков», а сбор и снятие средств осуществляется с помощью офлайн-подписей. На первое место ставится безопасность активов пользователей, а затем осуществляется поиск баланса между безопасностью и эффективностью.

Запрос на вывод средств обрабатывается вручную три раза в день, пользователи могут выводить деньги каждые 8 часов. Bybit предпочитает отказаться от части пользовательского опыта, но обеспечить при этом абсолютную безопасность активов пользователей. Во внутренней системе финансирования процесс вывода средств в Bybit проходит не менее трех проверок контроля рисков. Безопасность сбора и возврата средств в «холодных кошельках» отвечает самым строгим отраслевым стандартам, включая безопасность физической среды, безопасность системы, методы шифрования, сертификацию операций, мониторинг проверки безопасности.

Для предотвращения угрозы безопасности со стороны хакеров Bybit располагает серьезной системой безопасности для тестирования проникновения, которая осуществляется в три этапа. Прежде всего это процесс жизненного цикла безопасности программного обеспечения. После тестирования отделом безопасности приглашаются известные поставщики в отрасли для проведения испытания системы безопасности на проникновение. И, наконец, за денежное вознаграждение из сообщества «белых шляп» привлекаются эксперты с различными навыками и опытом для обнаружения уязвимостей безопасности с целью защиты программного обеспечения платформы. Кроме того, платформа приглашает сильнейшие в отрасли организации по контролю безопасности для проведения проверки безопасности, обеспечивая платформу еще одной ступенью надежной защиты.

Архитектура безопасности с «нулевым доверием» — еще один важный технологический подход Bybit. Несмотря на то, что технология является довольно сложной и требует непрерывной работы, мы твердо убеждены, что вложения стоят того.

Управление системой безопасности также включает в себя защиту конфиденциальности пользователей и информационную безопасность. Bybit собрала профессиональную команду по безопасности, которая, начиная с регистрации, входа в систему, транзакций и взаимодействий с платформой, предоставляет всестороннюю защиту информации об учетной записи пользователя (включая обязательное использование для каждой учетной записи приложения для двухэтапной аутентификации Google Authenticator), информации о транзакциях и личных сведений.

Наконец, в рамках внутреннего контроля за безопасностью платформы каждый сотрудник компании Bybit обязательно проходит строгую проверку анкетных данных, регулярную подготовку по вопросам безопасности, а также внутреннюю аттестацию по безопасности. Для достижения целей контроля на практике используется лучшая в финансовой сфере концепция разделения обязанностей (SoD) в офисной среде, системных полномочиях и бизнес-процессах.

Благодаря собственной профессиональной системе безопасности и строгому порядку контроля рисков Bybit защищает каждый криптоактив пользователя.

Именно благодаря полной отдаче и ответственному подходу Bybit с уверенностью берет на себя обязательства по обеспечению безопасности пользователей. Любой ущерб, нанесенный безопасности активов на платформе по причинам, не связанным с самим пользователем, будет полностью возмещен.