«Стає дедалі складніше довести, що ви — це справді ви». Ця заява, висловлена Федеріко Варіолою, генеральним директором біржі Phemex, об’єктивно відображає зростаючий виклик для всієї криптовалютної індустрії — питання, що виходить за рамки уразливостей смартконтрактів чи інфраструктурних помилок.
Під час нещодавньої експертної панелі за участі Іана Роджерса, Chief Experience Officer компанії Ledger, а також Дмитра Будоріна, співзасновника й керівника Hacken, Варіола деталізував сучасну практику протидії загрозам у сфері криптобезпеки. Інструменти змінює штучний інтелект, проте найслабшою ланкою залишаються люди: комунікації, імпульсивні дзвінки, процедура прийняття рішень щодо довіри до співрозмовників.
Переважно все впирається у щоденні операційні звички. Як серед користувачів бірж, так і при роботі з гаманцями, усталено розуміють: рутинна поведінка формує ризики інцидентів. Для Варіоли це трансформується у конкретні протоколи — формування процедур, створення контрольованої складності, управління взаємодією через гаманці, цифрові платформи та ончейн-ідентифікатори.
Більше цінності та амбітніші цілі
На початку дискусії Федеріко поставив класичне запитання, що періодично виникає в індустрії: рівень захищеності криптовалют знижується чи зростає ефективність атак?
«Можна констатувати: цей рік — найгірший для кіберзлочинності, а наступний майже напевно буде гіршим. Причина не в падінні стандартів захисту. Справа у зростанні вартості активів. Коли вартість зростає — привабливість винагороди зростає ще швидше. Це, у свою чергу, стимулює наплив нових акторів, що намагаються її освоїти».
Зростання капіталізації цифрових активів супроводжується збільшенням стимулів для атак. Варіола зазначає: ця диспропорція стає хронічною, оскільки інструменти атак розвиваються динамічніше за стандартні захисні заходи, особливо в періоди бичачої фази ринку.
«Ми фактично перебуваємо у проміжному періоді, коли інструментарій атак розвивається швидше, ніж технології захисту. Кожна наступна бичача хвиля ринку супроводжується схильністю ігнорувати безпекові протоколи — як щодо самостійного зберігання активів, так і в обслуговуванні платформ. Завжди це завершується однаково».
Роджерс навів лаконічний приклад для ілюстрації проблеми. Навіть фахівці, безпосередньо залучені до розробки гаманців, потрапляли у пастки під час переходу за посиланнями, поширеними у Discord чи в розширеннях для браузера. Досвід не гарантує абсолютної захищеності — потрібна системна обачність.
Ідентифікація як слабка ланка безпеки
Найбільший зрушення, на думку Варіоли, відбувається саме у практиці реалізації атак.
«Багато атак організовують добре фінансовані структури, нерідко — за підтримки державних гравців. Вони маневрують з такою швидкістю, що наздоганяти їх вкрай складно. Інструменти, які ми всі застосовуємо — ШІ, автоматизація — мають подвійну природу: їх використовують як захисники, так і злочинці. Соціотехнічні атаки ускладнюються. Відомі випадки, коли використовували моє обличчя у відеодзвінках, щоб ошукати інвесторів або бізнес-партнерів».
Іан Роджерс підтвердив це спостереження на прикладі апаратних гаманців: нині значна частина атак спирається вже не лише на технологічні засоби, а на вразливості людської психології. Варіола погоджується: у реальності платформ простіше схилити людину до помилки через маніпулювання, ніж зламати інфраструктуру напряму.
Як зазначив Роджерс: ризику піддається буквально кожний. Навіть досвідчені криптофахівці, партнерські команди, — комбінація терміновості, знайомого середовища й майстерної соціальної інженерії часто нівелює навіть жорсткі регламенти кібербезпеки.
Біржа: холодна, гаряча та людська реальність
З позиції біржі Варіола чітко розмежовує технологічні гарантії та робочі припущення.
«Єдиний елемент, у якому ми гарантуємо цілісність для користувачів — холодний гаманець. Це принципово. Онлайн-гаманці (hot wallets) за визначенням залишаються вразливими — адже вони підключені до мережі постійно».
У фази пікової ринкової активності рівень цих ризиків істотно підвищується.
«Під час бичачого ринку користувачі очікують, що гарячі гаманці будуть наповненими й працюватимуть без затримок. Транзакції все частіше виконуються значними сумами, зокрема в альткойнах. Вимоги з боку клієнтів стають крайнє наполегливими».
Цей тиск неминуче генерує конфлікт очікувань: швидкість і доступність проти безпеки.
«Для збереження активів платформам доводиться цілеспрямовано впроваджувати захисні бар’єри, не дивлячись на реакцію користувачів. Фактично доводиться організовано протидіяти власному ком’юніті».
Ця дилема для бірж є об’єктивною: захист довгострокової стабільності переважає короткострокову лояльність аудиторії.
Досвід і його уроки
У рамках дискусії Варіола згадав один з кейсів — внутрішній інцидент безпеки на Phemex минулого року.
«Головним усвідомленням стало: ми більша мішень, ніж самі собі уявляли».
Визначальним стала роль людського чинника.
«Ми недооцінили масштаб фішингових і соціоінженерних атак, а також те, що перший цільовий вектор — найнижчі рівні ієрархії: стажери, дизайнери, співробітники, які не вважають себе критичними для безпеки. Далі — рух вгору до керівних позицій».
Дмитро Будорін використав лаконічну метафору: фішинг — як риболовля. Якщо «рибина» не клюне на звичайну приманку, періодичної неуважності достатньо для атаки. Саме це і робить небезпеку невідворотною.
Ця логіка цілком збігається з підходом Варіоли до протиманіпулятивної безпеки.
«Недостатньо ретельності від інженерів чи керівництва. Кожен член організації повинен бути інформований щодо ризиків, які на нього спрямовано. Навіть стажер повинен орієнтуватися у масштабі загрози».
Будорін підкреслив, що нерідко ціллю стає не лише молодший персонал, а й перші особи компанії. Засновники, управлінці, публічні представники індустрії піддаються цілеспрямованим атакам через свою видимість і вплив.
Після випадку безпеки Phemex посилила захист по всій вертикалі організації, але найбільш фундаментальні зміни відбулися саме всередині корпоративної структури.
Соціальні шари та фінансові шари несумісні
«Криптовалютний сектор має виразно соціальний характер. NFT, соціальні мережі, Telegram – усі ці платформи створюють точки потенційної атаки.»
Федеріко Варіола особливо критично відгукується про недбале поводження з конфіденційною інформацією у просторах, для яких питання безпеки ніколи не були ключовими при проєктуванні.
«Telegram, зокрема, залишається одним із найслабших майданчиків з огляду на захист даних, проте саме він фактично став галузевим стандартом для комунікацій.»
Варіола також підкреслює дискомфорт щодо поширення практик відстеження гаманців та публічної ідентифікації власників.
«Тенденція індентифікації гаманців із конкретними особами суперечить основам криптовалют. З іншого боку, зростання впливу в галузі автоматично збільшує рівень загроз та обсяги ресурсів, необхідних для захисту.»
Децентралізація змінює економіку атак
За прогнозом Варіоли, зміцнення децентралізації та поширення self-custody (самостійного зберігання активів) ведуть до трансформації парадигми кібербезпеки у цифрових фінансах.
«Чим більш типовою стає архітектура децентралізації, тим рівномірніше перерозподіляється навантаження ризиків: з’являється безліч точок відмови. Замість одного централізованого вектора атаки зловмисники змушені діяти диференційовано, поступово, адресно.»
Однак це не знімає ризики – просто міняє їх розподіл.
«Децентралізовані біржі та подібні платформи висувають власні вимоги до безпеки. Діє принцип “code is law”. Зупинити ланцюг неможливо. Виникає якісно новий спектр ризиків. Утім, у сукупності ефект для галузі швидше конструктивний.»
Для централізованих бірж це скоріше питання адаптації, а не боротьби з неминучим.
«Централізовані платформи залишаються учасниками ринку, але модель захисту має трансформуватися згідно зі зміною моделей поведінки.»
Криптовалюти, які продовжать боротьбу через 5 років
Федеріко Варіола уникає спрощених підходів, не подає проблему безпеки як тимчасовий виклик, який цифрові активи невдовзі долають остаточно.
«Штучний інтелект стане головним викликом для криптовалют. Пізніше, з появою квантових обчислень, до ризиків додасться принципово новий вимір.»
На уточнення щодо співвідношення користі AI для захисників і атакуючих, відповідь має характер лаконічної заяви: «На жаль, штучний інтелект сильніше посилює потенціал зловмисників, аніж підвищує стійкість захисту.»
На теперішньому етапі галузь демонструє ознаки зрілості. До сектору залучаються технічні спеціалісти високого рівня; питання безпеки стають невід’ємною частиною рутинних бізнес-процесів і комунікації. У системах, створених для мінімізації довіри, дедалі важливішим стає питання локалізації залишків цієї самої довіри та уважного, раціонального управління нею.
