Цель хакеров №2 - пользователи криптовалюты

За последние десять лет криптовалюта прошла путь от маргинального эксперимента до полноценного финансового слоя глобальной экономики. Она больше не является игрушкой для энтузиастов или средством расчёта в даркнете. Криптовалюта - это актив, инвестиционный инструмент, расчётная единица и способ хранения капитала. С другой стороны не надо забывать, что ядром ликвидности того же биткоина всегда был криминал - хакеры, наркокартели, оружейники, шпионы и разведки, ну и остальная нечесть, что тоже создаёт вполне большой ВВП экосистемы криптовалют.

Было бы глупо если бы при таком сосредоточении криминального элемента крипта сама не стала одной из главных целей киберпреступников. Не первой, где уверенно лидирует сфера APT кибершпионажа со взятием под контроль телекоммуникаций финдиректоров (ранний доступ к отчётности даёт доступ к долгому инсайдерскому трейдингу - безопасно и очень доходно) и операционная бухгалтерия/казначеи (те что доступы к интернет-банкингу имеют), но второй по доходности и стабильности. Кроме того, украденное - практически сразу отмыто.

Не большое обращение - кто столкнулся с подобными проявлениями, пишите в личку (в комменты кейсы оставлять не рекомендую, тк существует масса падальщиков, предлагающих возвраты украденного, что редко заканчивается успехом), перманентно я участвую в большом исследовании бизнес-школы RSM и её CAS community - мы собираем кейсы различных методов хищений цифровых активов.

В традиционных финансах пользователь - это клиент. В криптовалюте он сам себе и банк, и служба безопасности.

Ключевая причина - тотальный дисбаланс между ответственностью и компетенцией. Криптовалюта перекладывает всю ответственность за сохранность средств на пользователя, но не даёт ему инструментов и навыков, сопоставимых с этой ответственностью.

Большинство пользователей не являются институциональными игроками. Это частные лица, трейдеры, инвесторы, фрилансеры, разработчики, люди, пришедшие за доходностью или удобством. У них нет отделов информационной безопасности, регламентов, многоуровневых проверок, антифрод-систем и юридической защиты. При этом они управляют активами, эквивалентными банковским счетам или инвестиционным портфелям.

На другом конце спектра находятся крупные участники рынка - фонды, биржи, DeFi-проекты, DAO. У них есть специалисты, аудиторы, багбаунти и формальные процедуры. Однако и у них возникает другая крайность - самоуверенность. История крупнейших взломов показывает, что самые дорогие инциденты почти никогда не происходят из-за полного отсутствия знаний. Они происходят из-за убеждённости, что "мы всё учли", что "команды bug bounty говорили им чушь" (корпоративная ревность) и так далее.

В результате и частные пользователи, и крупные игроки оказываются уязвимыми, но по разным причинам. Первые - из-за незнания. Вторые - из-за переоценки собственных возможностей и большой степени влияния техперсонала на финальные решения в своих компаниях, что свойственно Web 3.0 проектам.

Хищения в криптовалюте - это не редкие инциденты, а фоновый процесс, происходящий постоянно. Каждый день фиксируются десятки атак - от мелких пользовательских краж на несколько тысяч долларов до крупных эксплойтов на десятки и сотни миллионов.

Официальная статистика отражает лишь верхушку айсберга. В неё попадают громкие кейсы, взломы известных протоколов и расследования аналитических компаний. Огромное количество пользовательских инцидентов никогда не становится публичным. Люди не заявляют о потерях, не понимают, что именно произошло, или просто не хотят признавать собственную ошибку.

Кроме того, значительная часть краж выглядит как "обычные транзакции". С точки зрения блокчейна ничего необычного не произошло - пользователь подписал разрешение, токены были переведены, контракт сработал корректно. Технически - всё по правилам. Фактически - средства украдены.

Это и есть фундаментальная проблема - блокчейн не различает легитимное действие и обман. Он исполняет то, что подписано.

Страх пользователя криптовалюты отличается от страха банковского клиента. Это не страх ошибки системы или отказа сервиса. Это страх безвозвратности.

Когда средства уходят с кошелька, нет кнопки отмены, нет службы поддержки, нет возможности "заморозить операцию" (не то чтобы это срабатывало и в обычном банкинге, но тем не менее иногда получается). Даже если вы понимаете, что произошло, и видите адрес злоумышленника, это знание почти бесполезно.

Отдельный страх - сид-фраза. Пользователи часто декларируют понимание её важности, но на практике относятся к ней как к паролю. Скриншоты, заметки, облачные хранилища, пересылка в мессенджерах - всё это воспринимается как допустимое, пока не становится причиной полной потери средств.

Наконец, есть страх подписания транзакций. Интерфейсы кошельков и dApps создают иллюзию безопасности, скрывая сложность происходящего. Пользователь видит кнопку «Sign» или «Approve», не понимая, что именно он разрешает и на каких условиях. Для злоумышленника же это самый удобный момент - потому что всё происходит легально.

Несмотря на разнообразие техник, большинство атак на пользователей криптовалюты укладываются в один и тот же сценарий. Он хорошо отработан и масштабируем.

Ключевое здесь - инициатива всегда исходит от атакующего, а пользователь реагирует, зачастую в условиях давления или срочности.

Современные атаки на пользователей криптовалют почти никогда не выглядят, как взлом. Это не перебор ключей и не сложные эксплойты. Это работа с доверием, вниманием и эмоциями.

Фишинг в Web3 давно перестал быть примитивным. Поддельные сайты выглядят идентично оригиналам, используют HTTPS, корректные домены с минимальными отличиями и актуальный дизайн. Пользователь не чувствует угрозы, потому что всё выглядит как обычно.

Wallet drainers (дренаж для потока денег, так сказать слив в переводе) стали индустрией. Это не единичные скрипты, а готовые сервисы с партнёрскими программами, панелями управления и автоматическим распределением украденных средств. Их эффективность основана на том, что пользователь сам выдаёт разрешения, не осознавая последствий.

Вредоносное ПО, замаскированное под обновления, кошельки или утилиты, играет на желании пользователя быть в безопасности. Люди скачивают то, что, по их мнению, должно их защитить, и именно этим открывают доступ к своим средствам.

Социальное инженерия или по-русски "впаривание" остаётся самым надёжным инструментом. Ни один смарт-контракт не защитит пользователя, если его убедили, что он общается с поддержкой или разработчиком проекта.

Эти сценарии повторяются тысячами раз. Меняются только декорации.

Чем сложнее становится экосистема Web3, тем больше точек входа для атак. L2, bridges, rollups, cross-chain - всё это увеличивает поверхность атаки. При этом пользовательский опыт развивается быстрее, чем пользовательская грамотность.

Регулирование не решает проблему. Даже в юрисдикциях с жёсткими правилами ответственность за self-custody остаётся на пользователе. Блокчейн не знает понятия "обманули".

Пользователи криптовалюты стали целью №2 для хакеров не случайно. Это сочетание реальных денег, высокой автономии и низкой дисциплины безопасности.

В криптовалюте нет понятия взломали систему. Есть только ситуация, когда человек подписал то, что не понял. Пока это не станет частью массового осознания, Web3 будет оставаться одной из самых прибыльных экосистем не только для разработчиков, но и для злоумышленников.