Криптоиндустрия должна развиваться, чтобы соответствовать реальным рискам безопасности

Ваши ключи, ваши монеты.

Это одно из основополагающих обещаний биткойна и других криптовалют, которые устраняют посредников, стоящих между вами и вашими деньгами. Но эта фраза также содержит скрытое предположение, от которого компаниям Web3 было бы разумно отказаться: что любые проблемы с безопасностью — это проблема держателя, а не их. Такой подход мог работать, когда криптовалюта была экспериментальной. Он не работает, когда задействованы триллионы долларов и миллионы людей.

Пространство для разработки криптовалют значительно расширилось с момента создания Биткоина более 15 лет назад. Существуют приложения и протоколы, криптовалютные биржи, стейблкоины и десятки стандартов токенов, которые все взаимосвязаны. Это уже не просто децентрализованные деньги, а триллионный экосистема. Риски безопасности стали более сложными, а ставки — выше. Самостоятельное хранение по-прежнему играет свою роль, безусловно, но дизайнеры Web3 не должны возлагать основную нагрузку по безопасности на пользователей.

Чтобы добиться успеха в качестве мейнстримовой технологии, криптоиндустрия должна эволюционировать, чтобы соответствовать реальным угрозам безопасности — социальная инженерия, человеческий фактор и физическое принуждение — без ущерба для таких ключевых ценностей, как анонимность и псевдонимность.

Что нам говорят цифры

Многолетний опыт персональных вычислений предоставил нам обширные данные о кибергигиене пользователей. Проще говоря: она далека от совершенства.

Образовательные кампании, такие как Месяц осведомленности по кибербезопасности, происходящее прямо сейчас, помогает, но угрозы, такие как фишинг, поддельные QR-коды и вредоносное ПО, остаются по-прежнему эффективными. Они никуда не исчезнут. Фактически, они развиваются быстрее, чем наши меры защиты.

Согласно данные, собранные CoinLaw, криптовалютные фишинговые атаки находятся на подъёме, увеличившись на 40% в начале 2025 года и приведя к потерям пользователей на сумму в 410 миллионов долларов. Ещё одна плохая новость: созданные с помощью ИИ дипфейки усугубляют проблему; их количество выросло более чем на 450% с середины 2024 до середины 2025 года, согласно данным CoinLaw.

Ещё более тревожно: рост числа насильственных атак, связанных с криптовалютой, когда организованные преступные группы физически вынуждают держателей крупных состояний выдать свои учетные данные. По данным компании по отслеживанию блокчейнов Chainalysis, было более 30 зарегистрированных «атак гаечным ключом» в 2024 году, и 2025 год имеет все шансы удвоить эту сумму.

Кратко говоря, проблемы с безопасностью не являются аномалиями. Они предсказуемы.

Мы не игнорируем землетрясения в Сан-Франциско или Японии; мы строим здания, устойчивые к землетрясениям. Та же логика должна применяться к безопасности криптовалют.

Что необходимо изменить

Хорошая новость: в сфере Web3 ведётся множество работ по обеспечению безопасности пользователей и повышению надёжности продуктов.

Посмотрите на кошельки. Соображения безопасности исторически делали пользовательский опыт работы с кошельками ужасным, но ситуация улучшается благодаря таким инновациям, как разделённые кошельки с разными ключами, делегация и мультикошельковые аккаунты. Однако, по моему опыту, балансировка удобства и безопасности по-прежнему остаётся сложной задачей.

Итак, как мы можем улучшить сервис для пользователей?

Во-первых, необходимо рассматривать вопросы безопасности как обратную связь. Каждое нарушение безопасности сообщает нам что-то о дизайне, а не только о поведении. Возьмём, к примеру, украденный пароль. Одним из ответов может быть: «Это вина пользователя, что он попался на фишинг; им не следовало на это вестися.» Возможно, это так, возможно, и нет. Но что является правда в том, что когда это происходит миллионы раз в год с вашей клиентской базой, это означает, что ваша система не предназначена для реальных людей. Соответственно скорректируйте её.

Во-вторых, нам необходимо интегрировать успешные примеры из не веб3-сферы.

Рассмотрим проблему аутентификации. Использование криптографического ключа для доступа является мощным инструментом, но не подтверждает, что пользователь является законным владельцем. Именно поэтому более широкий интернет уже давно внедрил такие уровни защиты, как многофакторная аутентификация и поведенческие сигналы, а недавно — доказательство человечности (proof-of-human) — методы, которые автоматически защищают пользователей без необходимости постоянной бдительности. Криптосфера может и должна последовать этому примеру.

Наконец, необходимо признать, что риски безопасности больше не ограничиваются лишь методами социальной инженерии.

Руководители криптовалютных компаний и состоятельные держатели подверглись серии физических нападений, при которых воры пытаются получить доступ не через грубое взлом шифрования, а посредством обычного физического воздействия. Если мы разрабатываем системы, не учитывая возможность физического насилия, мы не выполняем свою работу как создатели этих систем. Векторы атак будут эволюционировать, и нам также придется развиваться.

Что дальше

Железный этический принцип криптовалюты, основанный на индивидуальной ответственности, имел смысл, когда это было экспериментом. Однако теперь, когда на кону триллионы активов — и судьбы людей, — нам нужны системы, разработанные для реального риска, а не для ранних пользователей.

Панацеи не существует: криптографические ключи останутся уязвимыми к фишинговым атакам, биометрия сделает владельцев уязвимыми к физическим атакам, а люди продолжат оставаться несовершенными. Но по мере завершения Месяца осведомленности о кибербезопасности давайте помнить, для кого мы создаём. Когда мы разрабатываем для реальных людей, а не для идеальных пользователей, наши продукты могут укреплять жизнь, одновременно защищая от их слабостей. Безопасность уже не проблема пользователей; это проблема отрасли.