Прекратите отделять технические и человеческие уязвимости

Мнение: Андрей Сергеенков, исследователь, аналитик и писатель

Основатели криптопроектов обещают многое: децентрализованные финансы, банковские услуги для не имеющих доступа к банкам и свободу от посредников. А затем происходят взломы. Иногда миллиарды исчезают за одну ночь. 

21 февраля 2025 года северокорейская группа Lazarus украла 1,46 миллиарда долларов у Bybit. Они отправили фишинговые письма сотрудникам с доступом к холодным кошелькам. Получив контроль над этими аккаунтами, они получили доступ к интерфейсу Bybit и заменили контракт мультиподписи на свой вредоносный вариант. Когда Bybit попыталась провести обычный перевод, хакеры перенаправили 499 000 эфиров (ETH) на свои адреса.

Это была не просто ошибка человека. Это был провал в дизайне. Система, которая позволяет человеческим факторам привести к краже на миллиарды долларов, не является инновацией — это безответственно.

Люди не защищены

Всего за 10 дней хакеры конвертировали все 499 000 ETH в нефондируемые средства, используя THORChain в качестве основного канала. Децентрализованный обмен обработал рекордные 4,66 миллиарда долларов в свопах за неделю, но не внедрил никакие меры безопасности против подозрительной активности.

Криптоиндустрия создала систему, которая не может защитить пользователей даже после обнаружения кражи. Некоторые сервисы на самом деле извлекали выгоду из этого преступления, собирая миллионы в виде комиссий за обработку отмывания украденных средств.

Недавнее: SafeWallet выпустила отчет о результатах расследования взлома Bybit

В феврале 2025 года следователи ZachXBT и Tanuki42 выявили, что пользователи Coinbase теряют более 300 миллионов долларов в год из-за атак социальной инженерии. Их отчет показал кражу на 65 миллионов долларов через фишинговые атаки и другие методы социальной манипуляции в декабре 2024 года и январе 2025 года. По словам следователей, Coinbase не сумела устранить известные уязвимости безопасности в их API-ключах и системах верификации, которые делают эти атаки, направленные на людей, успешными. 

ZachXBT прямо критиковал биржу за наличие «бесполезных агентов службы поддержки» и неспособность правильно сообщать адреса краж в инструменты мониторинга блокчейна, что делает украденные средства сложными для отслеживания. Один из мошенников даже признался, что нацелен на состоятельных пользователей, утверждая, что зарабатывает не менее пятизначных сумм в неделю.

Эти случаи не единичны. Федеральное бюро расследований США сообщило, что обычные криптопользователи потеряли более 5,6 миллиарда долларов в 2023 году из-за мошенничества, и как минимум половина этих схем использовала социальную инженерию. Только американцы теряют примерно 2–3 миллиарда долларов ежегодно из-за атак на человеческие уязвимости. С более чем 600 миллионами пользователей криптовалют по всему миру, консервативные оценки ставят индивидуальные потери от социальной инженерии в размере от 6 до 15 миллиардов долларов в 2024 году. 

Препятствие для принятия

Теперь вопросы безопасности признаны основной преградой для внедрения 37% криптопользователей во всем мире. Между тем, индустрия продолжает продвигать высокорисковые спекулятивные активы, такие как мем-коины, где обычные пользователи обычно теряют деньги, в то время как инсайдеры получают прибыль.

В то время как основатели говорят о финансовой свободе, миллионы реальных людей теряют свои сбережения из-за уязвимостей, которые индустрия отказывается решать. Это симптомы фундаментальной проблемы: создатели криптопроектов выбирают маркетинг вместо безопасности.

Когда случаются катастрофы, и они сталкиваются с давлением по поводу сбоев в безопасности, криптолидеры скрываются за принципом блокчейна «код — это закон» и предлагают философские аргументы о самосуверенитете и личной ответственности. Криптоиндустрия любит обвинять обычных пользователей: «Не храните ключи онлайн», «Проверяйте адреса перед отправкой», «Никогда не открывайте подозрительные файлы».

Никто не в безопасности

Даже лидеры индустрии становятся жертвами таких элементарных атак. В январе 2024 года сооснователь Ripple Крис Ларсен потерял 283 миллиона XRP (XRP) из-за хранения приватных ключей в онлайн-менеджере паролей. Основатель DeFiance Capital Arthur_0x потерял 1,6 миллиона долларов в токенах NFT и криптовалюте, просто открыв фишинговый PDF-файл. 

Эти люди не наивные новички — они создатели и эксперты самой системы, которая не смогла защитить даже их. Они знают все правила безопасности, но человеческий фактор неизбежен. Если даже архитекторы системы теряют миллионы, какой шанс у обычных пользователей?

Знание правил безопасности не обеспечивает полной защиты, так как температура, стресс, недостаток сна или эмоциональное расстройство серьезно влияют на наши возможности принимать решения. Атакующие непрерывно испытывают различные подходы, ожидая моменты, когда пользователи становятся уязвимыми. Они постоянно развивают свои тактики, создавая всё более убедительные сценарии, маскировки и срочные ситуации. 

Неизменяемая природа блокчейн-транзакций требует необычайных мер безопасности — а не меньших. Если пользователи не могут отменить ошибки или кражи, система должна предотвращать их изначально. Истинная инновация означает построение систем, которые работают для реальных людей, а не идеализированных пользователей. Банки учились этому уроку на протяжении веков. Создатели криптопроектов должны учиться быстрее.

Вместо этого лидеры индустрии, похоже, потеряли связь с реальностью из-за грандиозного богатства, свалившегося на них внезапно. Они поверили в свой PR-образ, изображающий их гениями, и начали видеть себя как провидцев.

Призыв к действию

Виталик Бутерин читает лекции о голосовании на выборах и совершенствует свой манифест, в то время как Джастин Сан тратит 6,2 миллиона долларов на банан для «уникального художественного опыта» — всё это время они строят среду, где опасные ошибки легко сделалать. Этот подход является фундаментально нечестным. Нельзя утверждать, что вы революционизируете финансы, предоставляя меньше безопасности, чем системы, которые заменяете.

Какой технический гений существует в системах, которые допускают кражи на миллиарды долларов и систематическое мошенничество с обычными пользователями с такой легкостью? Подлинное техническое превосходство должно включать в себя защиту пользователей от постоянных финансовых потерь. Финансовая система, которая не может обеспечить безопасность активов своих пользователей, не является технически продвинутой — она фундаментально неполная.

Пора прекратить писать манифесты и рекламировать сомнительные PR-приемы, созданные для привлечения более широкой и уязвимой аудитории. Начните строить реальные защиты, которые соответствуют уровню риска, с которым сталкиваются ваши пользователи. Никакие инновации в области блокчейна не имеют значения, если обычные люди не могут использовать эти системы без страха мгновенных, постоянных финансовых потерь.

Всё остальное — это просто безрассудные эксперименты за счет пользователей, маскирующиеся под революцию — схему, обогащающую основателей и инсайдеров, в то время как обычные люди несут все риски.

Если индустрия не решит эту проблему, это за вас сделают регуляторы — и их решения вам не понравятся. Ваши философские аргументы о самосуверенитете не будут иметь значения, когда лицензии будут аннулированы и операции закрыты.

Это выбор, с которым сталкиваются создатели криптопроектов: либо создать действительно безопасные системы, оправдывающие ваши заявления об инновациях в области финансов, либо смотреть, как регуляторы превращают вашу «революционную технологию» в ещё одну строго регулируемую финансовую услугу. Время идет.

Мнение: Андрей Сергеенков, исследователь, аналитик и писатель.

Эта статья предназначена только для общих информационных целей и не предназначена как юридический или инвестиционный совет. Мнения, мысли и точки зрения, выраженные здесь, принадлежат исключительно автору и не обязательно отражают или представляют взгляды и мнения dc.finance.