Ключ от квартиры, где деньги лежат — только без слесаря и полиции. Как в крипте воруют самое ценное

4139
Ключ от квартиры, где деньги лежат — только без слесаря и полиции. Как в крипте воруют самое ценное

Математика осталась надёжной, но корпоративная рутина дала слабину.

image

В криптоиндустрии самые дорогие взломы всё чаще начинаются не с ошибки в коде, а с чужого доступа к ключу, который открывает кошелёк. По данным DeFiLlama, блокчейн-проекты потеряли из-за атак, DeFi-эксплойтов и взломов мостов $16,69 млрд, причём около 40% ущерба связано с кражей приватных ключей, а не с уязвимостями смарт-контрактов или самой блокчейн-инфраструктуры.

Приватный ключ работает как пароль к банковскому счёту, но без привычной системы восстановления. Публичный ключ можно передавать другим людям для получения средств, а приватный подтверждает право распоряжаться активами. При потере такого ключа нельзя обратиться в банк, сбросить доступ или оспорить перевод. Кто владеет ключом, тот управляет средствами.

По данным DeFiLlama, основную часть таких инцидентов делят на два сценария. В одном злоумышленники подбирают ключ или получают доступ методом перебора, в другом ключ утекает хакерам тем или иным образом (фишинг, стилеры, взлом облачных учётных записей, заражённые зависимости и т. д.). Специалисты по Web3-безопасности связывают рост подобных атак с тем, что проекты вложились в аудит смарт-контрактов, но оставили слабее защищёнными серверы, облачные учётные записи, сторонние инструменты и рабочие процессы команд.

Проблема усиливается, когда приватный ключ постоянно нужен для подписания транзакций. Такой ключ хранится в рабочей инфраструктуре, рядом с зависимостями, сервисами и людьми, которые управляют проектом. Достаточно взломать окружение вокруг ключа, чтобы обойти стойкую криптографию и заставить систему выполнить вредоносное действие.

Один из показательных случаев произошёл с Bybit в феврале 2025 года. Злоумышленники скомпрометировали цепочку поставок стороннего инструмента для разработки, внедрили вредоносный код в веб-интерфейс кошелька и заставили руководителей невольно подписать вывод $1,5 млрд в Ethereum. Инцидент показал, что атака может идти не через блокчейн, а через инструменты, которыми пользуется команда.

Индустрия уже меняет подход, но внедряет защиту неравномерно. Среди рабочих мер называют MPC-кошельки и пороговую подпись, где полный ключ не существует в одной точке, а также абстракцию учётной записи с лимитами, списками разрешённых адресов и резервными участниками восстановления. Дополнительно снижают риск аппаратные кошельки, вход по ключам доступа, строгие правила работы с ключами, обучение команд и постоянная проверка процессов, а не разовый аудит перед запуском.