Vuosi 2022 on ollut täynnä draamaa kryptovaluuttojen maailmassa. On nähty lainapalvelu Celsiuksen konkurssi, hedge-rahasto 3AC:n romahdus sekä näiden johdosta myös muiden palveluiden konkursseja. Moni sijoittaja on syystäkin huolissaan varojensa turvallisuudesta.
Onneksi suomalaisille sijoittajille löytyy turvallisia vaihtoehtoja. Käymme tässä artikkelissa tarkemmin läpi miten suomalaiset palveluntarjoajat pitävät huolta asiakkaiden varoista sekä tietoturvasta.
Celsiuksen konkurssi sai aikaan lumipalloefektin
Käydään aluksi läpi kesän 2022 tapahtumia. Miksi palveluntarjoajien turvallisuus on noussut niin suureksi puheenaiheeksi?
Kaikki alkoi kesäkuun alkupuolella, kun suosittu lainapalvelu Celsius sulki ovensa ilman varoitusta. Celsiuksen ongelmista oli huhuttu jo aiemmin, mutta kotiutukset sekä muut palvelun ominaisuudet toimivat ennen ”tuomiopäivää” normaalisti.
Yhtiön oli pakko sulkea kotiutukset, koska sillä ei ollut varoja maksaa asiakkaiden ulosmaksuja. Miten tämä oli mahdollista?
.@CelsiusNetwork is pausing all withdrawals, Swap, and transfers between accounts. Acting in the interest of our community is our top priority. Our operations continue and we will continue to share information with the community. More here: https://t.co/CvjORUICs2
— Celsius (@CelsiusNetwork) June 13, 2022
Jälkeen päin on selvinnyt, että Celsius oli sijoittanut asiakkaiden varoja korkean riskin kohteisiin saadakseen niille lisätuottoa. Taseessa olevaa aukkoa yritettiin paikata yhä kasvavalla riskillä. Tämän lisäksi satoja miljoonia dollareita oli jumissa epälikvideissä sijoituskohteissa.
Vain pari päivää Celsiuksen jälkeen saatiin toinen uhri: hedge-rahasto 3AC. Kyseessä oli miljardien dollareiden varallisuutta hallinnoinut firma, joka oli rahantekokoneen maineessa. Myös 3AC oli ottanut valtavia riskejä ja hävinnyt jo aiemmin keväällä satoja miljoonia Terra Lunan romahdukseen.
Miksi 3AC oli ongelma eri palveluntarjoajille? Tämä johtuu siitä, että yhtiö oli lainannut rahaa kymmeniltä eri instituutioilta todella löysillä ehdoilla. Esimerkiksi kryptopalvelu Voyager oli lainannut 3AC:lle noin 650 miljoonaa dollaria ilman vakuuksia.
Lähes kaikki 3AC:lle rahaa lainanneet tahot joutuivat vaikeuksiin. Osa firmoista oli lainannut rahaa myös Celsiukselle. Lopputuloksena oli kryptomaailman oma pankkikriisi vuoden 2008 tyyliin.
Nämä tapaukset ovat säikäyttäneet sijoittajat pahemman kerran. Miten tavallinen piensijoittaja voi olla varma siitä, että hänen käyttämänsä pörssi tai välittäjä ei ajaudu talousvaikeuksiin? Entä saako kryptovaluutat kotiutettua mahdollisessa konkurssitilanteessa?
Yhä useampi sijoittaja kiinnittää huomiota myös muihin turvallisuuskysymyksiin kuten kaksivaiheiseen autentikointiin sekä hakkerointien estoihin. Kaikkia näitä aiheita käsitellään tässä artikkelissa suomalaisten toimijoiden näkökulmasta.
Suomalaiset kauppapaikat Coinmotion ja Northcrypto
Kryptopalveluiden turvallisuus on siis todella kuuma aihe. Koska Bitcoinkeskuksen lukijat ovat pääasiassa Suomesta, keskitymme tässä artikkelissa kotimaisten palveluntarjoajien toimintaan. Suomesta löytyy kaksi suosittua kryptovaluuttojen kauppapaikkaa: Coinmotion ja Northcrypto.
Bitcoinkeskus otti yhteyttä molempiin toimijoihin aiheeseen liittyen. Saimme informaatiota Coinmotionin CTO Pasi Matilaiselta sekä Northcrypton toimitusjohtaja Ville Runolalta. Olemme poimineet osan Runolan kommenteista myös hänen haastattelustaan Lohkoketju-kanavalla.
Aloitetaan lyhyellä yritysesittelyllä. Löydät molemmista palveluista kattavat aloittelijan oppaat Bitcoinkeskuksen kauppapaikat-kategoriasta.
Coinmotion on yksi Euroopan vanhimmista kryptovaluuttojen kauppapaikoista. Se tunnettiin vuoteen 2020 asti nimellä Prasos. Coinmotion palvelee jo yli 100.000 eurooppalaista asiakasta. Se sai myös vuonna 2019 maksulaitoksen toimiluvan ensimmäisenä alan yrityksenä Pohjoismaissa.
Northcrypto tuli Suomen markkinoille keväällä 2019. Se on kaksikosta pienempi toimija, mutta sementoinut asemansa hyvin Suomen markkinoilla. Northcrypto on kasvattanut suosiotaan jatkuvasti.
Coinmotionin ja Northcrypto ovat osa kuuden yrityksen joukkoa, jolle Finanssivalvonta on myöntänyt toimiluvan Suomessa. Nämä yhtiöt ovat Coinmotion, Localbitcoins, NordXE, Northcrypto, Prasos Cash Management ja Tesseract.
Kryptovaluuttojen kauppapaikoista käytetään usein sanaa kryptovaluuttapörssi, vaikka teknisesti markkinoilla on pörssejä sekä välityspalveluita. Pörssi on esimerkiksi Binancen kaltainen palvelu, jossa ostajat sekä myyjät ovat pörssin asiakkaita, ja Binance toimii treidien fasilitaattorina.
Coinmotion ja Northcrypto ovat tarkalleen ottaen välittäjiä. Ne suorittavat kryptovaluuttojen oston sinun puolestasi ja toimittavat kolikot palvelussa sijaitsevaan kryptolompakkoon. Lopputulos on molemmissa tapauksessa sama, mutta tekninen toteutus erilainen. Osto välittäjältä on myös helpompaa aloitteleville käyttäjille.
Suomen regulaatio asettaa tiukat vaatimukset
Suomalaiset palvelut ovat siis Finanssivalvonnan reguloimia. Tämä on asiakkaiden kannalta hyvä asia, sillä Finanssivalvonta asettaa vaatimukset yhtiöiden infrastruktuurille sekä turvallisuuskäytännöille. Northcrypton Ville Runola kertoo spekseistä:
Regulaatio määrittää esimerkiksi sen, miten palvelussa olevia varoja säilytetään. Mielestäni asiakasvaroja tulisi hallita näin joka tapauksessa, vaikka regulaatiota ei olisikaan olemassa. Mutta kaikki eivät näin tee.
Tässä tulee merkittävä ero suomalaisten sekä ulkomaisten palveluiden kanssa. Regulaatio on monissa muissa maissa löysempää. Yksittäisen käyttäjän on myös vaikea selvittää millaisen regulaation tai lisenssin alla jokin palvelu toimii.
Runolan mukaan Suomen regulaatio määrittää myös sen millaisia salauksia on käytettävä ja mitä dataa on säilytettävä omilla palvelimilla ja pilvessä. Tämä on erittäin tärkeää turvallisen toteutuksen kannalta.
Asiakkaiden tunnistautuminen (KYC) sekä rahanpesulait (AML) ovat todella laaja osa-alue. Finanssivalvonnalta tulee myös selkeät pelisäännöt tälle osastolle. Sekä Northcryptolla että Coinmotionilla on erillinen compliance-tiimi, joka toimii viranomaisten kanssa yhteistyössä.
Coinmotionin Pasi Matilainen kuvaa osaston toimintaa seuraavasti:
Compliance-tiimi varmistaa toimintamme pysymisen maksulaitoksen ja virtuaalivaluuttojen tarjoajan toimilupiemme sekä muun regulaation mukaisena. Se toimii myös aktiivisesti väärinkäytösten ja muiden riskien ehkäisemiseksi.
Matilaisen mukaan regulaation vaatimukset ovat hyvä vähimmäistaso. Lisääntynyt regulaatio on aiheuttanut Coinmotionin prosesseihin verrattain vähäisiä muutoksia, sillä turvallisuuteen on kiinnitetty yhtiössä huomiota jo vuosia ennen regulaatiota. Viranomaisvaatimukset myös ylitetään monin paikoin.
Suomalaiset toimijat seuraavat siis tarkasti Finanssivalvonnan vaatimuksia. Tulevina vuosina regulaatio muuttuu koko EU-tasolla MiCa- ja TFR-kokonaisuuksien myötä. Uutisoimme aiheesta tarkemmin 5.7. uutiskatsauksessa.
Asiakkaiden varat säilytetään erillään
Artikkelin alussa käytiin läpi kesän 2022 tapahtumia. Miljardien dollareiden suuruiset yhtiöt ovat menneet konkurssiin yksi toisensa jälkeen. Luvassa on monia konkurssioikeudenkäyntejä, joiden lopputulos on harvemmin suotuisa tavallisten asiakkaiden kannalta.
Ovatko asiakasvarat paremmin turvassa suomalaisilla palveluntarjojajilla? Voiko Northcrypto sijoittaa asiakkaiden varoja korkean riskin DeFi-palveluihin Celsiuksen tyyliin? Ville Runola tyrmää ajatuksen täysin.
Asiakasvarat ovat kirjanpidossamme varallisuutta, joihin yrityksellä (Northcrypto Oy) ei ole oikeutta. Nämä varat myös auditoidaan joka vuosi tilintarkastusten yhteydessä. Emme käytä myöskään kolmatta osapuolta korkotuoton hankkimiseen.
Asiakasvarojen hallinta on kriittinen asia konkurssitilanteessa. Tämä on tullut esiin Celsiuksen sekä muiden kesällä 2022 romahtaneiden palveluiden tapauksessa. Jos asiakasvaroja ei ole eritelty, yhtiö voi käyttää niitä konkurssitilanteessa velkojen maksuun. Asiakkaiden varoista on tullut konkurssipesän varoja.
Coinmotion toimii samoilla periaatteilla kuin Northcrypto.
Coinmotion ei luovuta asiakasvaroja kolmansien osapuolien haltuun eikä käytä niitä muuhun liiketoimintaan.
Suomalaisten asiakkaiden varat ovat siis turvassa. Sekä Coinmotion että Northcrypto erottaa asiakkaiden talletukset yhtiön omista varoista. Vaikka palvelut ajautuisivat jostain syystä konkurssiin, jokaisen asiakkaan varallisuus on aina tallessa.
Hakkereilta suojaudutaan multisig-lompakoilla
Kryptopörssien hakkeroinnit ovat piinanneet alaa jo kymmenen vuotta. Se on kuitenkin todettava, että palveluiden turvallisuus on kehittynyt valtavasti edeltävän viiden vuoden aikana. Asiakasvaroja on menetetty lähinnä konkurssitilanteissa tai pienempien pörssien exit-scammeissa.
Vähäiset hakkeroinnit on korvattu asiakkaille suurempien pörssien toimesta. Pienen palveluntarjoajan kohdalla tilanne voi olla huomattavasti kriittisempi, kun kassassa ei ole satoja miljoonia euroja extraa. Miten suomalaiset palveluntarjoajat pitävät asiakkaidensa kryptovaluutat tallessa? Pasi Matilainen kertoo Coinmotionin käytännöistä:
Suurin osa asiakasvaroista on erillisessä multisig-kylmäsäilytyksessä. Coinmotion-palvelussa pidetään vain asiakkaiden kaupankäyntiin ja päivittäisiin siirtoihin tarvittavia varoja.
Tämä on varsin yleinen toimintamalli alalla. Turvallisuus rakentuu useista eri kerroksista, joista ns. hot wallet sisältää lyhyen ajan kotiutuksiin tarvittavat varat. Jykevämmin suojattu multisig cold wallet eli kylmälompakko pitää sisällään suurimman osan kryptotalletuksista.
Multisig tarkoittaa sitä, että transaktion vahvistamiseen tarvitaan useamman henkilön kuittaus. Näin voidaan eliminoida riskiä myös yksittäisen työntekijän kavallukseen liittyen. Kylmälompakko on puolestaan offlinessa oleva fyysinen lompakko. Sijoittajien suosima tuote on Ledger Nano X.
Northcrypto toimii Ville Runolan mukaan vastaavalla periaatteella.
Säilytämme kryptovaluuttoja kolmella eri tavalla. Hot wallet sisältää vain pienen määrän varoja asiakkaiden kotiutuksia varten. Jos kotiutus on suurempi mitä hot walletissa on varoja, se voidaan täyttää nopeasti erillisestä kylmälompakosta.
Kaksi ylintä tasoa sisältävät Runolan mukaan vain pienen määrän talletuksista. Suurin osa kryptovaluutoista on Coinmotionin tavoin multisig-kylmälompakossa.
Kryptovaluutat ovat siis hyvässä turvassa molemmissa palveluissa. Aivan kaikkia detaljeja ei luonnollisesti paljasteta tietoturvasyistä.
Kaksivaiheinen autentikointi tuo lisäturvaa
Kun puhutaan palveluntarjoajien tietoturvasta, se sisältää aina kaksi tasoa: asiakkaan sekä palvelun tietoturva. Vaikka palveluntarjoajan prosessit olisivat kunnossa, asiakas voi silti hävittää varansa heikon tietoturvan vuoksi.
Ensimmäinen askel on palvelussa käytetty salasana. Käytä aina uniikkia salasanaa, joka on riittävän pitkä. Edes numeroiden ja erikoismerkkien käyttö ei muuten auta.
Otetaan esimerkki salasanasta, joka sisältää isoja & pieniä kirjaimia, numeroita sekä symboleja. Kuuden merkin mittainen salasana voidaan murtaa brute forcella viidessä sekunnissa. Yhdeksän merkin mittainen kolmessa viikossa. Mutta 10 merkin mittainen vasta viidessä vuodessa. (Kuvan lähde: Irontechsecurity).
Vahvan salasanan lisäksi on hyvä ottaa käyttöön kaksivaiheinen autentikointi (2FA). Tämä optio löytyy molemmista palveluista. Coinmotioniin on tulossa vuoden 2022 lopulla myös tuki hardware-avaimille. Pian esimerkiksi Yubikeytä tai hardware-lompakkoa voi käyttää kaksivaiheiseen tunnistautumiseen.
Sekä Coinmotion että Northcrypto käyttävät myös sähköpostivahvistuksia kotiutusten yhteydessä. Sellaista vaaditaan myös kirjautumisessa, jos käyttämäsi IP-osoite on muuttunut.
Tästä päästäänkin toiseen tärkeään salasanaan eli sähköpostiin. Sen suojaaminen voi olla jopa kryptopörssinkin tiliäkin tärkeämpää. Jos käytät sähköpostiasi heikolla salasanalla ilman kaksivaiheista varmennusta, asetat kaikki muutkin käyttäjätilisi vaaraan.
Erilaiset phishing-hyökkäykset ovat verkkorikollisten suosiossa. Niiden avulla henkilö huijataan kirjautumaan oikealta näyttävään palveluun, joka on todellisuudessa hakkereiden rakentama kopio. Tämän jälkeen pahaa aavistamaton käyttäjä antaa tunnuksensa rikollisille.
Coinmotion on siirtynyt käyttämään sähköposteissa sekä tekstiviesteissä vain vahvistuskoodia klikattavan linkin sijaan. Tämä hyvä muutos tietoturvan lisäämiseksi.
Suomalaiset palvelut tarjoavat hyvät puitteet turvalliseen käyttöön. Asiakkaan on myös itse pidettävä huoli siitä, että käyttää riittävän turvallista sanaa tilillään ja sähköpostissaan. Myös 2FA kannattaa ottaa käyttöön välittömästi.
Yhteenveto suomalaisten palveluiden turvallisuudesta
Tämän artikkelin tarkoitus oli kertoa suomalaisten kryptopalveluiden turvallisuudesta. Bitcoinkeskuksen mielestä suomalaiset palvelut ovat alan kärkeä, mitä tulee luotettavuuteen. Finanssivalvonnan tiukka regulaatio varmistaa sen, että Coinmotion ja Northcrypto ovat toteuttaneet palvelunsa asianmukaisesti.
Kenties oleellisin tieto liittyy asiakasvarojen hallintaan. Asiakkaan kannalta on erittäin tärkeää, että yhtiön omat varat sekä asiakkaiden talletukset on eritelty toisistaan. Tämä takaa sen, että asiakkaiden talletukset ovat turvassa myös mahdollisessa konkurssitilanteessa.
Alalla tapahtuva pyörremyrsky ja konkurssiaalto eivät kosketa suomalaisia toimijoita. Pasi Matilaisen mukaan kansainvälisen kryptomarkkinan tapahtumat eivät ole vaikuttaneet Coinmotionin asiakasvaroihin tai yleiseen turvallisuuteen millään tavalla.
Myös toiminnan kehitys on tärkeää. Molemmat palvelut kehittävät riskiarvioitaan ja prosessejaan jatkuvasti. Myös henkilöstöä koulutetaan, minkä lisäksi tietoturvan tasoa testataan ja varoja auditoidaan säännöllisesti.
Bitcoinkeskus on aina suositellut kotimaisia palveluntarjoajia etenkin sellaisille käyttäjille, jotka haluavat säilyttää kryptovaluuttansa kauppapaikassa. Pidämme tämän suosituksen voimassa myös jatkossa. Suosittelemme tutustumaan molempiin palveluihin!
Avaa tili tästä Coinmotioniin | Avaa tili tästä Northcryptoon
Osa käyttäjistä haluaa hoitaa kryptovaluuttojen säilytyksen itse. Tämä on toki mahdollista tehdä, eli voit kotiuttaa kolikkosi omaan lompakkoon ja vastata itse säilytykseen liittyvistä riskeistä. Tuo valinta on jokaisen sijoittajan itse tehtävä. Bitcoinkeskuksesta löytyy kattava opas lompakoista sekä niiden hyvistä ja huonosta puolista, jos aihe kiinnostaa tarkemmin.
Photo by Christopher Gower on Unsplash, Photo by JESHOOTS.COM on Unsplash
Oletko jo tilannut Bitcoinkeskuksen uutiskirjeen? Jos et, niin klikkaa tästä ja liity postituslistalle! Tarjolla on joka viikko teknistä analyysia sekä katsauksia tärkeimpiin tapahtumiin!