Выходцев из журнала «Хакер» заподозрили во взломе одной из крупнейших в мире криптобирж под видом теста на уязвимости

2 августа 2022

В судах Сингапура и США уже несколько лет развивается новый скандал, связанный с «русскими хакерами», выяснил RTVI. Криптобиржа KuCoin, которая входит в десятку крупнейших в мире, обвиняет своего IT-подрядчика — компанию Convexity — «во взломе серверов и неправомерном использовании конфиденциальной информации». Владельцы Convexity — серийные предприниматели Алекс Гребнев и Виктор Мангазеев из России, им принадлежат финансовые стартапы Parity и Oxygen, а также картографический сервис Maps.me, приобретенный в 2020 году у Mail.Ru Group. Однако Convexity свою вину отрицает и обвиняет во взломе KuCoin субподрядчиков — известную в сфере IT российскую компанию Wallarm, которую создали выходцы из журнала «Хакер» Иван Новиков и Степан Ильин. Wallarm обвинения во взломе тоже отвергает, но эта ситуация, по данным RTVI, уже стала причиной для ухода от компании одного из инвесторов — венчурного фонда Runa Capital.

Серьезности всей истории придает тот факт, что в сентябре 2020 года, уже после начала судов с подрядчиками, KuCoin публично заявляла о взломе — с биржи тогда похитили около $285 млн, и это пятая по величине кража криптовалюты в мире за всю историю. Редактор RTVI Мария Коломыченко разбиралась в запутанной истории взлома KuCoin и том, имеют ли российские IT-компании отношение к краже криптовалюты на сотни миллионов долларов.

Крупный взлом и проблемы с подрядчиками

В сентябре 2020 года криптобиржа KuCoin из Сингапура сообщила о крупной хакерской атаке: злоумышленники вывели с биржи около $285 млн в криптовалюте. На данный момент это пятая по величине кража криптовалюты в мире за всю историю, а в 2020 году она была самой крупной за год. Генеральный директор KuCoin Джонни Лю (Johnny Lyu) тогда заявлял, что за атакой, вероятно, стоит кто-то из сотрудников или партнеров биржи, так как злоумышленник как-то заполучил приватные ключи от горячих кошельков. Дальше события развивались стремительно: спустя всего неделю Лю сообщил, что KuCoin смогла вернуть украденные $204 млн благодаря “большой поддержке наших партнеров в отрасли”.

Возврат украденной криптовалюты — редкое явление, так как кошельки, как правило, анонимны, а транзакции в криптомире не имеют обратной силы. Кроме того, Лю рассказал, что компании удалось установить подозреваемых в совершении хакерской атаки и передать эту информацию полиции. О том, кто взломал биржу, в дальнейшем так и не сообщалось. Компания Chainalysis со ссылкой на собственные источники информации сообщала, что за атакой может стоять известная северокорейская группировка Lazarus, однако эта информация так и не получила официального подтверждения.

KuCoin была основана в 2017 году и на данный момент занимает пятое место среди крупнейших мировых криптобирж. Суточный объем торгов на KuCoin превышает $1 млрд. В ходе последнего инвестраунда, который состоялся в мае 2022 года, бизнес KuCoin оценили в $10 млрд. На бирже зарегистрированы 20 млн пользователей. Штаб-квартира KuCoin находится в Сингапуре.

Как выяснил RTVI, на момент объявления о взломе, в Сингапуре уже более полугода шли судебные разбирательства между KuCoin и ее подрядчиком по обеспечению информационной безопасности — компанией Convexity. Последняя, в свою очередь, обратилась в суд в США с иском к Wallarm — эта компания была у Convexity на субподряде. Все стороны обвиняли друг друга в нарушении условий заключенного соглашения о предоставлении услуг по информационной безопасности. Однако KuCoin пошла дальше и выдвинула иск, в котором обвинила Convexity в «нарушении конфиденциальности, путем взлома сервера [KuCoin] и неправомерного использования конфиденциальной информации». Convexity эти обвинения в свой адрес отвергла, но обратилась с иском к Wallarm, в котором заявила, что Wallarm и лично ее основатель и гендиректор Иван Новиков ответственны за взлом KuCoin.

Convexity — технологическая компания, зарегистрированная на Гибралтаре. Согласно найденным RTVI судебным документам, ее основателями и акционерами являются Алекс Гребнев и Виктор Мангазеев. Оба предпринимателя известны на российском рынке: в конце 2020 года принадлежащая им Parity.com Group выкупила у Mail.Ru Group картографический сервис Maps.me за 1,5 млрд руб. Кроме этого, Гребнев и Мангазеев являются основателями криптостартапа Oxygen. Гребнев в прошлом финансист, работавший в Goldman Sachs и Merrill Lynch, в то время как Мангазеев — технический специалист, выпускник МИФИ.

«KuCoin утверждает, что Новиков и Wallarm неправомерно, в течение нескольких раз получили доступ к системе KuCoin без авторизации, скачали чувствительную пользовательскую информацию, исходный код, торговые данные, пользовательское ПО, алгоритмы, методы, базу данных пользователей и другую конфиденциальную информацию, принадлежащую KuCoin и/или ее пользователям, и даже пытались получить доступ к средствам клиентов — все это в обход закона, — говорится в иске Convexity. — KuCoin утверждает, что Convexity должна нести ответственность за предполагаемые правонарушения Новикова и Wallarm».

Wallarm в материалах суда обвинения во взломе называет «ложными», «чрезвычайно убийственными обвинениями», которые наносят компании, известной на рынке информационной безопасности, ущерб и негативно влияют на ее бизнес и профессиональную репутацию. Компания также заявляет, что эти обвинения необоснованны и призваны лишь «засорить материалы дела», цель которого лишь «ненадлежащим образом получить деньги».

Wallarm — международная компания в сфере информационной безопасности, созданная в 2013 году Иваном Новиковым и Степаном Ильиным, один из самых успешных российских стартапов в Кремниевой Долине. Wallarm занимается защитой веб-приложений от хакерских атак. За 10 лет своего существования компания привлекла более $10 млн от международных инвестфондов, а в 2016 году прошла отбор в один из крупнейших мировых стартап-акселераторов Y Combinator и получила от него $120 тысяч на развитие. Штаб-квартира компании находится в Сан-Франциско, США.


Сооснователь Wallarm Иван Новиков, известный в Рунете под никами d0znpp и «Владимир Воронцов», в прошлом зарабатывал на жизнь как «белый хакер»: ломал веб-приложения крупных компаний вроде Facebook, «Яндекс», Apple, Google, а затем передавал им информацию о найденных уязвимостях за вознаграждение. Степан Ильин до создания Wallarm был главным редактором журнала «Хакер», а Новиков — писал в него статьи.

Судебные споры между KuCoin, Convexity и Wallarm длятся третий год и на момент публикации материала по-прежнему не завершены.

История конфликта

Криптобиржа KuCoin и Convexity планировали создать совместное предприятие, переговоры об этом стартовали еще в 2018 году, говорится в материалах судебных разбирательств. Предполагалось, что KuCoin внесет в СП свою технологическую платформу для торговли криптовалютой, а Convexity будет управлять операционными и юридическими вопросами совместной компании. Перед созданием СП решили провести due diligence — комплексную оценку бизнеса KuCoin и его инвестиционных рисков. Частью процесса стал пентест (от англ. penetration test) — имитация атаки на KuCoin со стороны специально нанятого «белого хакера» для того, чтобы оценить безопасность криптобиржи и найти имеющиеся уязвимости. По итогам пентеста Convexity должна была обеспечить KuCoin сервисами по информационной безопасности. Компании заключили между собой два соглашения: одно было с условиями проведения пентеста, а другое, сервисное соглашение — на предоставление услуг по информационной безопасности по его итогам.

Иван Новиков
Wallarm

К проведению пентеста Convexity привлекла лично Ивана Новикова, который широко известен в качестве «белого хакера». В августе 2018 года с ним устно заключили контракт, просто обсудив условия работы в мессенджере, а затем предоставили ему копию соглашения о проведении пентеста, заключенную между KuCoin и Convexity, и разъяснили, что работа должна соответствовать его условиям. Вознаграждение Новикова за пентест KuCoin составляло около 88 тысяч долларов в биткоинах.

После проведения пентеста Convexity решила продолжить сотрудничество с Новиковым и в декабре 2018-го заключила контракт с его компанией Wallarm для предоставления KuCoin услуг по информационной безопасности, предусмотренных сервисным соглашением. Wallarm должна была предоставить KuCoin свой софт Wallarm WAF, обеспечить аудит инфраструктуры, постоянную поддержку и защиту сервисов. За эти услуги она получала от Convexity порядка $46,7 тысяч ежемесячно.

В сентябре 2019 года сервисное соглашение между KuCoin и Convexity, а следовательно и договор о предоставлении услуг с Wallarm, были расторгнуты. За этим последовали обращения всех компаний в суды. Convexity в октябре 2019-го обратилась в Сингапурский международный арбитражный суд с иском к KuCoin, криптобиржа затем подала встречный иск. В апреле 2020-го Convexity подала иск к Wallarm и лично Ивану Новикову в Верховный суд Калифорнии округа Сан-Франциско, а в марте 2021-го Wallarm ответила встречным иском.

Суть претензий всех компаний

KuCoin в суде утверждала, что разорвала сервисное соглашение с Convexity, так как компания «существенно нарушила свои договорные обязательства». Кроме того, криптобиржа подала отдельный иск, в котором заявила, что Convexity «нарушила конфиденциальность, взломав сервер [KuCoin] и неправомерно воспользовавшись конфиденциальной информацией компании». В KuCoin также отметили, что соглашение с Convexity было «заключено под давлением», но уточнений, в чем заключалось это давление, в открытых материалах дела нет.

Convexity в суде Сингапура требовала от KuCoin выплатить неустойку в размере $2,8 млн за преждевременный разрыв сервисного соглашения и отрицала обвинения во взломе, а в американском суде компания во всех проблемах обвинила своих субподрячиков — Wallarm. «KuCoin полностью потеряла доверие к Wallarm и, как следствие, к самой Convexity», говорится в заявлениях Convexity в суде. Причиной тому, по словам Convexity, стали «чрезвычайно несовершенные» услуги от Wallarm, которые заключались в «медленном реагировании, невнимательности, неправильной настройке программного обеспечения, неспособности обнаружить или предотвратить инциденты в сфере безопасности, с которыми сталкивалась команда KuCoin, а также в высоком уровне отказов программного обеспечения Wallarm».

Кроме этого, Convexity предъявила претензии по поводу проведения пентеста: компания заявила, что его проводил не лично Новиков, а Wallarm — и это не было согласовано и авторизовано ни Convexity, ни KuCoin. «KuCoin утверждает, что вмешательство Wallarm в пентест было нарушением соглашения о пентесте», — говорится в материалах дела.

По словам Convexity, именно Wallarm ответственен за тот взлом, о котором в сингапурском суде заявила KuCoin. «KuCoin также утверждает, что с августа по декабрь 2018-го сотрудники Wallarm неправомерно в течение нескольких раз получали доступ к системе KuCoin без авторизации, скачивали чувствительную пользовательскую информацию, исходный код… и даже пытались получить доступ к средствам клиентов — все это в обход закона. KuCoin угрожал заявить о неправомерном взломе со стороны Новикова и Wallarm в государственные органы», — говорится в иске Convexity. Компания утверждает, что действиями Новикова и Wallarm ей был причинен обширный вред, которые включает в себя подрыв бизнеса, снижение его оценки, судебные расходы и прочие издержки. Convexity оценила ущерб, причиненный Новиковым и Wallarm, более чем в $20 млн.

Wallarm в ответном иске обвиняет Convexity в нарушении условий контракта; настаивает, что выполнила все условия и обязательства со своей стороны, которые были предусмотрены соглашением; и утверждает, что получила не все денежные средства за оказанные услуги.

«Истец [Convexity] подал иск, чтобы ненадлежащим образом получить деньги от ответчиков [Wallarm], уклониться от оплаты прошлых услуг и обвинить в своих неудачных деловых отношениях с Phoenixfin Pte. [KuCoin], сингапурской онлайн-биржей для торговли криптовалютой», — заявила в суде Wallarm. Компания утверждает, что предоставляла свои услуги по информационной безопасности KuCoin вплоть до разрыва соглашения в сентябре 2019 года, однако с мая того года не получала от Convexity оплату.

Обвинения во взломе KuCoin в Wallarm назвали «ложными», «чрезвычайно убийственными обвинениями», которые наносят компании, известной на рынке информационной безопасности, ущерб и негативно влияет на ее бизнес и профессиональную репутацию. В Wallarm заявили, что эти обвинения необоснованны и призваны лишь «засорить материалы дела».

Вся суть дела в том, что в KuCoin пришел новый гендиректор и начал пересматривать все контракты и сделки, утверждает источник RTVI, знакомый с сутью конфликта. По его словам, в процессе выяснилось, что за услуги по ИБ биржа платит в 4 раза больше рыночной цены, поэтому KuCoin решили расторгнуть соглашение с Convexity и закупать их напрямую, говорит он. Согласно судебным материалам, KuCoin, по соглашению о предоставлении услуг, действительно платила Convexity $200 тыс. ежемесячно, однако все работы по этому соглашению оказывал субподрядчик — Wallarm, который брал за это $46,7 тысяч в месяц.

Судебные споры между компаниями по-прежнему не завершены. Суд в Сингапуре изначально отклонил иск Convexity о взыскании неустойки и иск KuCoin о «нарушении конфиденциальности путем взлома», затем это решение было частично отменено Высоким судом Сингапура — он постановил вернуть дело о взыскании неустойки на рассмотрение в арбитраж. KuCoin пыталась оспорить это решение, однако в марте 2022 года Апелляционный суд Сингапура оставил его в силе — теперь компаниям предстоит вновь решать вопрос с неустойкой в арбитраже. Суд в США между Convexity и Wallarm идет третий год и пока никаких промежуточных решений по этому спору не было.

Последствия и трактовки произошедшего

Собеседник RTVI на венчурном рынке утверждает, что эта судебная тяжба уже стала одной из причин, по которой от Wallarm ушел акционер — венчурный фонд Runa Capital, который был первым инвестором компании. На сайте Runa Capital действительно есть краткое сообщение о продаже своей доли в капитале Wallarm, датированное 23 февраля 2022 года.

«Wallarm среди инвесторов информацию о суде не афиширует, потому что обвинения во взломе клиента для компании по информационной безопасности — это очень неприятная история. Инвесторы не будут разбираться, правда этот или нет — они просто избавятся от своей доли в капитале из соображений „как бы чего не вышло“. Runa Capital продала долю, когда узнала об этом суде, причем сделала это тихо — без какой-то огласки в СМИ, просто повесив сообщение на сайте. Будь это успешный экзит, они бы трубили об этом по всем фронтам и рассылали пресс-релизы. Другие инвесторы Wallarm, видимо, пока не в курсе», — рассказал собеседник RTVI. Пресс-служба Runa Capital и инвестиционный директор этого фонда Константин Виноградов не ответили за вопросы RTVI.

Игорь Рябенький, управляющий партнер фонда AltaIR Capital, который тоже является инвестором Wallarm, сообщил RTVI, что ему об этом суде не известно. «У нашего фонда в портфеле 400 компаний, следить за всеми невозможно. Я не сижу в совете директоров Wallarm, поэтому не в курсе того, что там происходит. О суде не слышал», — сказал Рябенький в разговоре с RTVI. Партнер еще одного фонда, который входит в состав акционеров Wallarm, также сообщил RTVI, что не слышал о суде и обвинениях во взломе.

«Любые внутренние аудиты безопасности — процедура крайне интимная, и вот так просто, побегав по рынку, людей на нее не нанимают. Поэтому я думаю, что компании должны были быть знакомы друг с другом на уровне менеджмента», — рассуждает в разговоре с RTVI основатель криптобиржи Garantex Сергей Менделеев. Он отмечает, чуть суть исковых требований к Wallarm не совсем понятна. «Подрядчик всегда отвечает за своих субподрядчиков и их работу. Не понравилось сотрудничать — запротоколировали разногласия и разошлись», — говорит он.

Обвинения во взломе, по словам Менделеева, выглядят еще более непонятно. «Если мы говорим о взломе 2020 года, то компании к тому времени уже полгода как судились, какие тут могут быть претензии? А если криптобиржа все-таки обвиняет подрядчиков и субподрядчиков в соучастии в этом взломе, например, путем передачи злоумышленникам информации, полученной во время работы с KuCoin, то это точно не вопрос арбитражного суда. Взлом криптобиржи — это уголовное преступление, этим должны заниматься правоохранительные органы», — отмечает он. По его мнению, KuCoin скорее всего называет взломом проведенную с нарушениями процедуру пентеста.

«Ты нанимаешь одного подрядчика, тот нанимает субподрядчика, в процессе кого-то из их сотрудников забывают авторизовать и прописать в договоре, и в итоге получается, что доступ к системе и инсайды о ее работе получает кто-то, с кем нет никаких документальных договоренностей. Ну, то есть „ломать“ твою систему должен был Иванов, а ему в итоге помогал сидящий за соседним столом Сидоров, которого в договоре нет. Несмотря на отсутствие каких-либо негативных последствий, „предъявить“ за такой пентест и назвать его взломом могут. Насколько это этично — не мне судить», — говорит Менделеев.

KuCoin

Основатель проекта «Бизнес без опасности» Алексей Лукацкий согласен с тем, что KuCoin могла посчитать «взломом» проведенную с нарушениями процедуру пентеста. «Если по договору проводить пентест должен был только Новиков, то неавторизованное вмешательство в этот процесс Wallarm заказчик мог трактовать как настоящий взлом», — говорит он. По словам Лукацкого, единичные случаи, когда пентесторов и багхантеров обвиняют в нарушениях и реальных взломах, случаются.

«Услуги по проведению пентеста практически ни в одной стороне законодательно не регулируются, договор на пентест всегда рамочный и не слишком четко очерчивает, что может делать исследователь, ведь в этом и суть пентеста — попробовать разные методы и тактики, чтобы найти все возможные уязвимости и способы взлома заказчика. Поэтому бывают ситуации, когда пентестеры „заигрываются“ и начинают лезть, куда не надо. В случае с криптобиржей пентестеры, например, вполне могли попробовать перевести куда-то небольшую часть криптовалюты, чтобы просто продемонстрировать уязвимость в системе. Однако заказчик может такое не понять — и обвинить в настоящем взломе», — говорит Лукацкий.

При этом он допускает, что KuCoin может обвинять своих подрядчиков и в том взломе, о котором было объявлено в сентябре 2020 года, когда у биржи украли криптовалюту на $280 млн. «Взлом мог произойти значительно раньше, до начала судов между компаниями, а публично объявить о нем KuCoin могла позднее — всякое бывает, компании нередко скрывают, что их взломали и объявляют об этом даже спустя годы. Если какой-то сотрудник Wallarm, который вообще не был авторизован для пентеста, но участвовал в нем, получил в ходе работ ценные данные и передал их куда-то, в результате чего KuCoin впоследствии взломали, то компания вполне может предъявить судебные претензии за такое. Но раз суды идут уже третий год, то все явно не так однозначно», — рассуждает Лукацкий.

Адвокат Виктор Рыков из коллегии Pen&Paper говорит, что и в Сингапуре, и в США за компьютерный взлом может грозить ответственность в виде штрафов и тюремных сроков. «В Сингапуре, согласно статье 3 Singapore Computer Misuse Act 1993, за неавторизованный доступ к программам или данным, содержащимся в любом компьютере, предусмотрен штраф до 5 тыс. сингапурских долларов или тюремное заключение до 2 лет. Если неавторизованный доступ повлек какой-либо ущерб, то штраф может составить до $50 тыс., а тюремный срок — до 7 лет», — пояснил Рыков RTVI. В США, по его словам, ответственность зависит от юрисдикции конкретного штата, но в целом за компьютерные преступления, включая взлом, в стране также предусмотрены разнообразные наказания, среди которых штрафы и тюремные сроки.

Адвокат отметил, что взлом, как несанкционированное проникновение в информационную инфраструктуру компании с последующей кражей ценной информации, денежных средств или криптовалют, неоднократно становился предметом судебных разбирательств. «Есть ряд общих причин, по которым предприниматели из IT и криптобизнеса предпочитают разрешение споров в гражданском суде или международном коммерческом арбитраже уголовному процессу. Во-первых, гибкая система судопроизводства в США и Сингапуре, основанная на принципах общего права, предлагает сторонам процесса эффективные инструменты для достижения своих целей. В частности, есть возможность оперативно получать судебные запреты для сохранения доказательств. Во-вторых, важна и техническая сторона спора. Не следует забывать, что криптосектор является инновационным и мало изученным со стороны даже профильных государственных органов. Поэтому вероятность успешного доказывания криптомошенничества в уголовном процессе может быть более проблематичной. А в гражданском процессе стороны активнее вовлечены в процесс сбора и оценки доказательств, могут привлекать надежных и квалифицированных экспертов», — объяснил Виктор Рыков.

Сооснователи Wallarm Иван Новиков и Степан Ильин, совладельцы Convexity Алекс Гребнев и Виктор Мангазеев, а также пресс-служба KuCoin и ее гендиректор Джонни Лю не ответили на письма и сообщения в мессенджерах с вопросами от RTVI.