Взлом Bybit индустрия перенесла спокойно, но он оставил после себя множество вопросов. О том, ждать ли регуляции в секторе DeFi, а также об атаках в целом и в частности, в интервью FLMonthly рассказал эксперт по внедрению инструментов криптобезопасности HAPI Ираклий Дизенко.
ForkLog: Взлом Bybit стал одним из самых масштабных инцидентов в истории: технически сложная атака, критический объем выведенных средств. Многие считают, что после этого индустрия оказалась в новой реальности. Как вы оцениваете последствия этого взлома?
Ираклий: Индустрия восприняла это спокойно и быстро пошла дальше. Конечно, реакция случилась — сумма действительно беспрецедентная. Возможно, крупнее было только при взломе Bitfinex — и то уже после значительного роста биткоина и эфира. А здесь, в моменте, это один из самых масштабных взломов.
Тем не менее рынок переварил его практически мгновенно. Реакция — буквально в течение нескольких часов, а затем просто общее падение крипторынка. Но, честно говоря, не факт, что эти события напрямую связаны. Мы, наоборот, ожидали более сильной реакции, особенно моментальной.
Первый вопрос, который возникает у всех: за чей счет будут покрыты убытки? Потому что сумма в районе миллиарда долларов — это очень сложно для одной компании. Хотя Bybit заявляет, что у них все под контролем, звучит это как минимум странно. Встает вопрос: сколько они зарабатывают? И это не праздное любопытство — просто трудно представить, чтобы частная компания могла единовременно покрыть такую потерю из-за собственной ошибки.
При этом, как ни удивительно, мы не видим проблем с выводом средств у пользователей — жалоб нет, все работает стабильно.
Что касается самого взлома — он действительно был сложным. Был атакован сервис, отвечающий за подписание транзакций. Насколько можно судить по открытой информации, использовалась социальная инженерия: взломали сотрудника или его ноутбук. Точные детали неизвестны, но они явно выжидали подходящий момент, чтобы внедрить вредоносное ПО.
Сегодня взломы становятся все более изощренными. Это уже не просто поиск уязвимостей в смарт-контрактах. С 2000-х по 2025 год индустрия проделала колоссальный путь. Сейчас в фокусе не столько аудит, сколько внедрение инструментов криптобезопасности и — шире — стандартов безопасной разработки.
Как ни парадоксально, взлом произошел именно на стыке этих решений. Там, где ты понимаешь, что нужно внедрить дополнительную защиту, именно там и происходит взлом.
Это напоминает нам, что мы по-прежнему уязвимы. Как только мы делегируем кому-то часть процессов — появляется лазейка. Возможно, команда Bybit недостаточно четко выстроила внутренние процедуры: да, они подписывают транзакции, используют ключи, но, возможно, не всегда проверяют, что именно подписывают. Это проблема.
И наконец — более глобальный аспект. По имеющимся данным, за атакой стоит хакерская группировка из Северной Кореи. И тут возникает серьезный вопрос: если существуют юрисдикции, где хакерская деятельность не просто не пресекается, а поощряется, значит, по-настоящему в безопасности мы быть не можем.
Говорят, там есть целые этажи, где сотрудники круглосуточно ищут уязвимости в системах. Это уже не про энтузиастов, случайно нашедших баг в смарт-контракте. Это работа. Люди объединяются в группы, действуют системно и, возможно, финансируются государствами.
И вот это, пожалуй, самое тревожное — не технические уязвимости, а то, что хакерство становится организованной индустрией.
ForkLog: Хакер, взломавший Curve, публично заявил, что возвращает украденные средства, оставляя себе 10% в качестве «вознаграждения». Тогда это сопровождалось рассуждениями о том, что эпоха крупных ончейн-взломов уходит: все отслеживается, средства не спрячешь, а попытка отмыть — себе дороже. Но кейс Bybit, похоже, опроверг эту уверенность. Как вы это оцениваете? Насколько сегодня возможны эффективные атаки, несмотря на прозрачность блокчейнов?
Ираклий: Да, действительно, тогда казалось, что ончейн-взломы становятся слишком рискованными. Все прозрачно, все отслеживается, и вероятность сохранить награбленное стремится к нулю. Но случай с Bybit показывает, что это не совсем так.
Одно из проявлений высокого уровня подготовки хакеров — это то, насколько оперативно они смогли использовать инструменты DeFi. Практически сразу были задействованы мосты, использован THORChain и, насколько я знаю, еще ряд решений.
Украденные средства были мгновенно перераспределены по другим активам и, по сути, как будто прошли сквозь сито. Их не успели зафиксировать в блокчейне в удобной для мониторинга форме.
Tether сейчас, конечно, пытается что-то блокировать, но большая часть средств продолжает свободно обращаться. Проблема в том, что если эти токены начинают участвовать в рыночной торговле, обменах, движении по кошелькам — становится почти невозможно отследить их источник и применить к ним ограничения. Центральные контрагенты вроде централизованных бирж (CEX) уже не могут просто так их остановить.
Некоторые, как Hyperliquid, вообще заявляют, что «ничего не могут сделать». Это выглядит как уход от ответственности.
ForkLog: А как, на ваш взгляд, можно было бы решать такие кейсы на уровне архитектуры блокчейнов и платформ?
Ираклий: Тут мы как раз подходим к важному различию. У централизованных бирж есть преимущество: неважно, с какого аккаунта или через какой чейн поступили средства, — если есть признаки, что они скомпрометированы, аккаунт просто блокируется. Вы не сможете вывести эти активы, пока не проведется разбирательство.
Например, если вы получили эфир и хотите вывести его в Solana, сделав бридж и, по сути, обелив средства, CEX может это остановить.
В DeFi-сегменте все иначе. Если активы были украдены или имеют высокий риск-профиль (например, связаны с мошенничеством или гэмблингом — в некоторых юрисдикциях это уже считается основанием для блокировки), то достаточно прогнать их через бридж — и они «очищаются».
Хотя провайдеры обладают всеми техническими возможностями отслеживать кроссчейн-транзакции, на практике они этим почти не занимаются. Проблема в том, что архитектура блокчейнов устроена так, что один чейн не доверяет другому.
Если транзакция прошла в Ethereum и отправлена в Solana через мост — для Solana она по умолчанию невалидна. Нужны внешние оракулы или сервисы, которые передают информацию из одного чейна в другой. Но большинству блокчейнов это не интересно — они фокусируются только на собственной экосистеме, и то не всегда эффективно.
Это напоминает историю с мобильными операторами в 1990-х в СНГ. Тогда они не блокировали SIM-карты: если телефон был украли, им было важно просто получить нового абонента. У блокчейнов похожая логика: если пользователь пришел с активом — пусть даже отмытым — ничего страшного, это просто еще один юзер.
Идея отслеживания и ответственности переложена на плечи конечных протоколов, а у них просто не хватает инструментов. Плюс — им самим невыгодно отсеивать пользователей, это ограничивает рост.
Ну и наконец, если мы посмотрим на эффективность KYC/AML во всем мире — статистика там совсем не радужная. Все эти глобальные процедуры в сумме выявляют около 0,05% подозрительных средств. А страдают от них 100% пользователей. То есть на проверку тратятся миллиарды, а результат — мизерный.
ForkLog: Вы говорите о системах AML в традиционных финансах?
Ираклий: Да. Отсутствие AML в крипте, конечно, сильно упрощает жизнь пользователям. Мы, например, в рамках своего проекта внедряли протокол, который позволяет DEX-платформе проверять, не находится ли адрес под подозрением. Проблема в том, что это требует затрат на газ — каждую транзакцию приходится дополнительно проверять. А по нашей выборке подозрительной оказывается примерно одна из десяти тысяч.
Но тут все как с полицией: если полиция просто присутствует в городе, это уже снижает уровень преступности. Хотя кажется, что она ничего не делает. Так и здесь — само наличие инструмента, способного фильтровать подозрительные транзакции, уже оказывает эффект. А многим кажется, что безопасность — это что-то само собой разумеющееся. И вот это тонкий момент.
ForkLog: Наверное, в DeFi-сегменте стоит заранее подумать о собственных защитных механизмах — до того, как в игру всерьез вступят регуляторы.
Ираклий: Да, это звучит разумно. Все ждут регулирования сверху, а может, стоит подумать о чем-то снизу?
Это может звучать немного утопично, но представьте: DEX-платформы на одном чейне объединяются в экосистему и договариваются об общих правилах. Да, в DeFi все децентрализовано и разрозненно, но это не мешает сформулировать минимальный свод принципов — ради честной конкуренции. Мы по-прежнему боремся за пользователя, но могли бы делать это в рамках единых условий.
Тем более что еще год-два назад мало кто верил, что DEX-сегмент вообще переживет криптозиму. А он не только выжил, но и трансформировался, начал перетягивать трафик.
Сейчас, пока идет активный рост, всех больше интересует масштабирование, чем безопасность. И это нормально для стадии роста. Но факт остается фактом: ни пользователи, ни сами протоколы не готовы платить за безопасность — до тех пор, пока не случится что-то серьезное.
ForkLog: Старый принцип «не твои ключи — не твои деньги» по-прежнему справедлив. Но, похоже, по мере того как криптовалюты становятся массовыми мы входим в новую фазу, и одних только дежурных напоминаний уже недостаточно. Кажется, сами платформы должны взять на себя часть ответственности. Есть ли здесь какое-то инженерное решение? Может, вы сами над этим работаете?
Ираклий: Да, таких разработок много. Каждая команда предлагает что-то свое. У нас, например, есть HAPI-протокол — наш флагманский продукт. Он работает ончейн и содержит базу адресов, замеченных в хранении украденных или связанных с мошенничеством активов.
Любой разработчик может подключить HAPI и ограничить доступ таких адресов к своему протоколу или продукту. У нас все открыто, решение полностью ончейновое. У многих это сделано офчейн — просто базы, где нет нежелательных адресов.
Но вопрос не только в технологии, а в подходе. Все больше пользователей хотят прозрачных и понятных правил.
Люди, которые давно в крипте, все еще стоят на позиции полной ответственности: ты сам хранишь свои активы, ты за них отвечаешь. И в этом заключается преимущество — никто не может их заблокировать.
Но при этом мы входим в противоречие: хотим полной свободы и полной безопасности одновременно. А это все сложнее совмещать, особенно в условиях массового принятия.
Проблема в том, что все мы пользуемся Tether и при этом фактически соглашаемся с тем, что наши токены могут быть в любой момент заблокированы. Обычно речь идет о достаточно крупных кошельках — самый «маленький» заблокированный, который я видел — на $100 000. И то он был привязан к пулу, то есть, скорее всего, просто участвовал в разбивке более крупной суммы.
Пока мы не видим блокировок на депозиты по $100–200, вероятно, в обозримом будущем их и не будет. Тем не менее сам факт остается: техническая возможность блокировки есть, и она используется.
Что касается регулирования: европейский закон MiCA вводит лимиты на платежи. Если сумма превышает установленный порог, необходимо проходить сложную процедуру подтверждения — с документами, бюрократией и всем сопутствующим.
Мы сейчас наблюдаем, как централизованные платформы начинают заново осваивать нишу платежных сервисов. Они воспринимают MiCA как возможность вернуться в бизнес: разрабатывают собственные программные надстройки поверх блокчейна, начинают кластеризовать адреса и выстраивать зоны доверия. Логика такая: в пределах этих адресов можно обмениваться активами, и за этим ведется наблюдение.
С технической точки зрения все это выглядит довольно спорно. Но если регуляция требует — скорее всего, это реализуют. Это шаг назад, безусловно. Но, похоже, он произойдет.
Альтернативный и, на наш взгляд, более технологически обоснованный путь — это MPC-кошельки. Речь идет о кошельках с многосторонним вычислением, в которых добавляются новые уровни взаимодействия: их можно привязывать, менять, защищать, передавать. По сути, обычный кошелек превращается в полноценный инструмент обмена.
Это действительно выглядит перспективно, потому что речь идет не о нормативных ограничениях, а о конкретных технологических решениях.
Но пока подобные кошельки используются очень ограниченно. Чтобы они стали массовыми, потребуется значительный объем работы. Хотя их преимущества очевидны, большинству пользователей они просто не нужны.
В реальности пользователей интересует совсем другое: закинуть $500 на Solana, купить токен и крутить мемы.
ForkLog: Про MPC-кошельки действительно говорят мало. Расскажите подробнее: что это такое и как они могут быть полезны?
Ираклий: Да, эта тема обсуждалась более активно около года назад, сейчас она немного отошла в тень. Но суть остается актуальной. MPC-кошелек позволяет вам, используя одну и ту же сид-фразу, создавать внутри нее структуру аккаунтов.
У вас появляется дополнительная аутентификация — например, через почту или номер телефона. Это дает возможность восстанавливать доступ или более гибко управлять хранением.
Появляется внутреннее пространство ваших кошельков, которое дает дополнительные возможности. Например, если вы создаете адрес в Solana, для нее вы новый пользователь. Но если связать этот адрес с существующим кошельком в Ethereum, то для экосистемы вы уже становитесь пользователем с историей.
Таким образом, фактически появляется сущность криптоаккаунта. Это можно рассматривать как зачаток цифрового паспорта пользователя в блокчейне.
Уже есть сервисы, которые развивают эту идею, в том числе и мы. Смысл в том, чтобы объединять данные в кластеры — именно этим мы и занимаемся HAPI: стараемся находить пользователей и объединять их в такие кластеры — естественно, не нарушая анонимность.
Все остается приватным, это принципиально. Мы не выясняем, кому принадлежит конкретный адрес, но анализируем, как кошельки связаны друг с другом. Это не наше ноу-хау, а достаточно распространенная практика.
ForkLog: Вы сказали «ждем регуляции». А что именно вы имеете в виду? Что она неизбежна? Или что она действительно нужна?
Ираклий: Скорее, и то и другое. Мы как индустрия уже давно вышли из статуса маргинального эксперимента — это полноценная отрасль, и она что-то значит. И да, регуляция нужна, но не сверху, а снизу.
То есть не хотелось бы, чтобы нас просто подвели под правила, например, ценных бумаг, как это раньше делала SEC, желая загнать все под одну нормативную базу с акциями. А это не совсем правильно. Потому что криптоактивы — это не производные финансовые инструменты, а скорее что-то ближе к деньгам.
По поводу MiCA — хорошо, что об этом вообще начали думать, но в европейском законе есть положения, которые кажутся чрезмерными. Например, вы не можете ограничить блокчейн лимитом на перевод — это технически невозможно.
Важно не забывать, что криптовалюта — лишь одно из применений блокчейна. По сути, у нас есть публичная база данных, и криптоассеты — лишь популярное, но производное использование этой базы.
Так что да, регуляция нужна. Но не сверху в виде приказов от чиновников, а снизу, когда индустрия сама договаривается об общих принципах. И тогда эти принципы уже могут быть оформлены в нормативную базу.
ForkLog: Ждем, когда на DEX начнут проверять паспорта.
Ираклий: Да, но DEX вряд ли будут делать это сами. Это будут делать провайдеры, которые оборачивают такие функции. Это как с цифровыми платформами — есть крупные игроки вроде Revolut, а есть мелкие команды, которые разрабатывают свои решения.
И вот такие команды будут предлагать надстройки: оборачивать кошельки в аккаунты, добавлять формы идентификации. По сути, это то же самое, что делает MPC-кошелек, но не обязательно создавать для этого целую компанию. Это может быть просто приложение или протокол.
Хотя, если подумать, криптостартап и есть цифровое решение, просто в более легкой, гибкой форме.
Есть еще один момент, который стоит упомянуть — не столько про DeFi, сколько про более широкую идею, которая, как нам кажется, становится все более актуальной. Речь о том, что мир движется от глобализации к расщеплению, к формированию отдельных кластеров.
Например, Северная Корея. Централизованно ворует деньги, имеет свое видение активов, которое заключается в том, что любой актив хороший, если его можно утащить себе в карман.
С другой стороны — Европа и Америка, у которых сейчас явно начинают расходиться подходы. Боюсь, через год они будут оценивать платежи по своей системе риска. То есть, условно, платеж из США может считаться более рискованным — и наоборот.
И тогда получится, что единой системы оценки активов, возможно, уже не будет. И это вызов для всех команд, потому что технически мы все еще работаем в рамках единого мирового пространства, но на практике и пользователи, и платформы начнут по-разному оценивать риск-профили активов, кошельков, транзакций.
Пока это еще не наступило, но мы явно движемся в эту сторону. И это тема, которую можно развивать и развивать.
ForkLog: Не очень понятно, как это вообще можно реализовать ончейн.
Ираклий: Ончейн — вряд ли. Но все, кто занимается безопасностью, так или иначе используют большие офчейн-базы.
Возьмем, например, историю с Bybit. Там заблокировали кошелек, якобы потому, что он использовался в Trust Wallet. Реальная причина совсем другая.
Была большая дискуссия: можно ли вообще определить, каким кошельком пользуется конкретный человек? На самом деле можно. Это достаточно сложная методика, но в ее основе — анализ комиссий и другой метаинформации, которую кошельки оставляют в чейне.
Да, стопроцентной метки нет, но при большом массиве данных можно с высокой вероятностью определить, откуда пришел платеж.
И вот это уже начало фильтрации пользователей по их кошелькам. Эта методика пока не используется напрямую как повод для блокировок, но данные уже собираются.
ForkLog: Напоследок несколько вопросов по прикладной безопасности. Сначала — для бизнесов. Где они чаще всего ошибаются сейчас? Есть ли какой-то типовой набор уязвимостей?
Ираклий: С бизнесами все плюс-минус стабильно. Мы уже прошли этап дырявых смарт-контрактов и взломов фронтендов. Тут видно, что и отдельные команды, и все сообщество проделали большую работу — обмениваются опытом, делятся решениями. Крупных инцидентов стало заметно меньше, хотя мелкие, конечно, продолжают случаться.
Серьезная проблема возникает в моменты взрывного роста пользовательской активности — например, как это было недавно с мемами. Тема уже на спаде, но тогда был реальный наплыв. Команды резко расширялись, нанимали людей, и возникал вопрос доверия.
Бывает, что ключи от продакшена лежат у программиста, которого никто даже лично не знает. И вот вы ему доверили половину платформы. Да, пусть у него нет доступа к кошелькам, но доступ к бизнес-логике или админке есть. Это риск.
Второй уязвимый канал — соцсети. Мы до сих пор наблюдаем взломы аккаунтов, фейковые розыгрыши, публикации от имени проектов. Медийная инфраструктура остается слабым звеном.
Раньше у централизованных платформ была большая проблема: когда у тебя десятки блокчейнов, сложно поддерживать все в актуальном и безопасном состоянии. Сейчас ситуация изменилась: новых чейнов почти не появляется, растет количество протоколов внутри существующих сетей. Поэтому эта проблема сейчас не так остро стоит.
ForkLog: А что насчет пользователей? С 2024 года в DeFi пришло много неподготовленных юзеров. Особенно с началом роста мемов и массового захода в Solana.
Ираклий: Если говорить про скам — большая часть пользователей теряет деньги не из-за классического мошенничества, а на самих торговых операциях.
Что интересно: в истории с Pump.fun мы как раз увидели некоторый позитив. То есть скама в виде «невозможно продать токен», rug pull и откровенных технически негодных контрактов стало меньше.
Почему? Потому что централизованные платформы вроде Pump.fun предоставляют один контракт и базовую проверку. То есть пользователи запускают токены через платформу, которая гарантирует хотя бы техническую пригодность.
До этого все было более хаотично — на Raydium и других агрегаторах выкладывали что угодно, и было непонятно, что ты вообще покупаешь. Сейчас хотя бы техническая фильтрация появилась.
Но все равно поведение пользователей стало ближе к казино. Мы видим, что многие воспринимают это как игру — угадать, вырастет ли токен. Если не повезло, цена упала до нуля, ну, значит, не повезло.
Это уже воспринимается как общее правило игры. И кажется, что аудитория с этим просто смирилась.
Самая большая угроза для пользователей — переход из Web 2.0 в Web3 без понимания, как именно устроено хранение данных в криптовалютах.
Поразительно, но с уязвимостями сталкиваются как пользователи с очень базовой интернет-грамотностью, так и те, кто обладают высоким уровнем технической информации. Все снова упирается в социальную инженерию.
ForkLog: Вы имеете в виду классические атаки вроде подмены адреса в буфере?
Ираклий: Да, это тоже есть — хоть и нечасто, но периодически всплывает. Есть и другие, более продвинутые схемы. Например, старая история, особенно характерная для TRON: за кошельками с высокой активностью целенаправленно следят и организуют атаки.
Один из приемов — вам дублируют транзакцию, подделывая адрес: первые и последние символы совпадают, а середина — другая. Еще может быть обратная транзакция с той же суммой, но в несуществующем токене.
Пользователь заходит в блокчейн-эксплорер, видит там «последний» адрес, копирует его, и отправляет средства мошенникам.
ForkLog: То есть это тоже можно считать социальной инженерией?
Ираклий: Да, по сути, это и есть социальная инженерия, просто более высокого уровня. Вы не общаетесь с пользователем напрямую, через мессенджеры или соцсети — вы общаетесь с ним через эксплорер. Инструмент, который изначально задумывался как средство повышения прозрачности и безопасности.
Сейчас эксплореры начали размечать подозрительные адреса с помощью внешних провайдеров. Но делают это, к сожалению, медленно.
ForkLog: К чему вы готовитесь в 2025–2026 годах? Какие направления кажутся вам перспективными?
Ираклий: Первое — мы по-прежнему готовимся к тому, что глобальный мир может окончательно разбиться на кластеры. Очень бы этого не хотелось, но тренд, кажется, идет именно туда.
Второе — мы продолжаем развивать направление с MPC-кошельками. Нам кажется, это точка, где можно сделать максимальный вклад и принести реальную пользу пользователю.
Кроме того, мы видим рост интереса со стороны криптопроектов к детализации взаимодействий. Пока сами пользователи до этого не дошли, но платформы уже активно интересуются не просто одним провайдером данных, а несколькими. Это важно — полагаться на одного поставщика риск-профилей недостаточно, потому что в разных юрисдикциях одна и та же активность может восприниматься по-разному.
После кейса Bybit всплеск интереса к безопасности усилился. Платформы все больше интересует не только защита хранения, но и оценка активов, с которыми они взаимодействуют.