" Основатели криптовалют любят громкие обещания: децентрализованные финансы, банковские услуги, не связанные с банками, и свободу от посредников. Затем происходят взломы. В некоторых случаях миллиарды исчезают за одну ночь.
21 февраля 2025 года северокорейская Lazarus Group украла 1,46 миллиарда долларов у Bybit. Они рассылали фишинговые электронные письма сотрудникам, которые имеют доступ к «холодному» кошельку. Скомпрометировав эти учетные записи, они получили доступ к интерфейсу Bybit и заменили контракт с кошельком с несколькими подписями на свою вредоносную версию. Когда Bybit предпринял попытку обычной передачи, хакеры перенаправили 499 000 ETH на адреса, которые они контролировали.
Это была не просто человеческая ошибка. Это был конструктивный сбой. Система, которая допускает человеческий фактор для хищения миллиардов долларов, не является инновационной - она безответственна.
Люди не защищены
Всего за 10 дней хакеры превратили все 499 000 ETH в средства, которые невозможно отследить, используя THORChain в качестве основного канала. Децентрализованная биржа обработала рекордные свопы на сумму 4,66 миллиарда долларов за неделю, но не внедрила никаких мер защиты от подозрительной активности.
Криптовалютная индустрия создала систему, которая не может защитить пользователей даже после того, как они обнаружат кражу. На самом деле некоторые сервисы извлекли выгоду из этого преступления, собрав миллионные сборы за отмывание украденных средств.
В феврале 2025 года следователи ZachXBT и Tanuki42 выяснили, что пользователи Coinbase ежегодно теряли более 300 миллионов долларов из-за атак социальной инженерии. В их отчете указано, что в декабре 2024 и январе 2025 года было украдено 65 миллионов долларов с помощью фишинга и других методов манипулирования социальными сетями. По мнению исследователей, Coinbase не смогла устранить известные уязвимости в своих API-ключах и системах проверки, которые делают успешными атаки, нацеленные на людей.
ZachXBT прямо раскритиковал биржу за то, что у нее есть «бесполезные агенты поддержки клиентов» и они не сообщают об адресах кражи в инструменты мониторинга блокчейна, что затрудняет отслеживание украденных средств. Один мошенник даже признался, что нацелился на состоятельных пользователей, утверждая, что зарабатывает не менее пятизначной суммы в неделю.
Это не единичные случаи. Федеральное бюро расследований США сообщило, что в 2023 году обычные пользователи криптовалют потеряли более 5,6 миллиардов долларов из-за мошенничества, а по меньшей мере половина из этих схем была связана с социальной инженерией. Только американцы теряют примерно от 2 до 3 миллиардов долларов в год из-за атак на уязвимости человека. С учетом того, что во всем мире насчитывается более 600 миллионов пользователей криптовалют, по самым скромным оценкам, в 2024 году индивидуальные потери от социальной инженерии составят от 6 до 15 миллиардов долларов.
Препятствие для внедрения
В настоящее время проблемы безопасности признаны основным препятствием для внедрения 37% пользователей криптовалют по всему миру. Тем временем индустрия продолжает продвигать высокорисковые спекулятивные активы, такие как мемкоины, где обычные пользователи часто теряют деньги, в то время как инсайдеры получают прибыль.
В то время как основатели предлагают финансовую свободу, миллионы реальных людей теряют свои сбережения из-за уязвимостей, которые индустрия отказывается устранять. Это симптомы фундаментальной проблемы: разработчики криптовалют предпочитают маркетинг безопасности.
Когда случаются катастрофы и проекты сталкиваются с давлением из-за сбоев в системе безопасности, лидеры криптовалют прячутся за принципом блокчейна «код - это закон» и выдвигают философские аргументы о суверенитете и личной ответственности. Криптовалютная индустрия любит обвинять обычных пользователей:
«Не храните ключи онлайн. Проверяйте адреса перед отправкой. Никогда не открывайте подозрительные файлы».
Никто не застрахован от подобных атак
Даже лидеры индустрии становятся жертвами таких же атак. В январе 2024 года сооснователь Ripple Крис Ларсен потерял 283 миллиона XRP из-за хранения закрытых ключей в онлайн-менеджере паролей. Основатель DeFiance Capital Артур 0x потерял 1,6 миллиона долларов в виде невзаимозаменяемых токенов (NFT) и криптовалюты, просто открыв фишинговый PDF-файл.
Эти люди не являются наивными новичками. Они являются создателями и экспертами той самой системы, которая не смогла защитить даже их самих. Они знают все правила безопасности, но человеческий фактор неизбежен. Если даже системные архитекторы теряют миллионы, каковы шансы у обычных пользователей?
Знание правил безопасности не обеспечивает полной защиты, поскольку лихорадка, стресс, недосыпание или эмоциональные расстройства серьезно влияют на способность принимать решения. Злоумышленники постоянно тестируют различные подходы, выжидая момент, когда пользователи станут уязвимы. Они постоянно совершенствуют свою тактику, создавая все более убедительные сценарии, выдавая себя за кого-то другого и создавая экстренные ситуации.
Неизменный характер блокчейн-транзакций требует исключительных мер предосторожности, а не их меньшего количества. Если пользователи не могут исправить ошибки или кражи, система должна предотвращать их в первую очередь. Настоящие инновации означают создание систем, которые работают на реальных людей, а не на теоретически идеальных пользователей. Банки усвоили этот урок за столетия. Строители криптовалют должны учиться этому быстрее.
Вместо этого лидеры отрасли, похоже, потеряли связь с реальностью из-за того, что на них так быстро свалилось огромное богатство. Они купились на свой пиар-нарратив, изображающий их гениями, и начали считать себя провидцами.
Призыв к действию
Виталик Бутерин читает лекции своей аудитории о голосовании на выборах и совершенствует свой манифест, в то время как Джастин Сан тратит 6,2 миллиона долларов на банан для «уникального художественного опыта» - и все это при создании среды, в которой легко совершать опасные ошибки. Такой подход в корне нечестен. Вы не можете утверждать, что произвели революцию в финансах, обеспечивая при этом меньшую безопасность, чем системы, которые вы заменяете.
Какое техническое совершенство присуще системам, которые с такой легкостью позволяют совершать кражи на миллиарды долларов и систематическое мошенничество с обычными пользователями? В качестве основной функции истинное техническое совершенство должно включать защиту пользователей от необратимых финансовых потерь. Финансовая система, которая не может защитить активы своих пользователей, технически несовершенна. А также несовершенна и в корне.
Пришло время прекратить писать манифесты и продвигать сомнительные пиар-трюки, которые призваны привлечь более широкую и уязвимую аудиторию. Начните создавать реальные средства защиты, которые соответствуют уровню риска, с которым сталкиваются ваши пользователи. Никакие инновации в области блокчейна не имеют значения, если обычные люди не могут использовать эти системы, не опасаясь мгновенных и необратимых финансовых потерь.
Все, что меньше, - это просто безрассудные эксперименты за счет пользователей, замаскированные под революцию, - схема, которая обогащает основателей и инсайдеров, в то время как обычные люди несут все риски.
Если отрасль не решит эту проблему, это сделают регулирующие органы, и вам не понравятся их решения. Ваши философские рассуждения о суверенитете не будут иметь значения, когда лицензии будут отозваны, а операции остановлены.
Перед разработчиками криптовалют стоит выбор: либо создавать по-настоящему безопасные системы, которые оправдывают их заявления о финансовых инновациях, либо наблюдать, как регулирующие органы превращают их «революционную технологию» в еще одну жестко регулируемую финансовую услугу. Время идет.
Об авторе
Андрей Сергеенков - независимый исследователь, аналитик и писатель в области криптовалют. Будучи убежденным сторонником технологии блокчейн и децентрализованного мира, он считает, что мир жаждет такой децентрализации в правительстве, обществе и бизнесе.
Эта статья носит информационный характер и не предназначена и не должна восприниматься как юридическая консультация или инвестиционный совет. Взгляды, мысли и суждения, выраженные в этой статье, принадлежат только автору.
