Если вы были в web3 больше пяти минут, вы либо попали на мошенничество, почти попали на мошенничество, или находитесь в одном неправильном клике от того, чтобы вступить в клуб. Не говоря уже о крупных rug pull, которые попадают в заголовки. Подумайте о обычных вещах, таких как поддельные всплывающие окна MetaMask, ссылки на обмен на децентрализованной бирже, которые выглядят законно, но таковыми не являются, или случайные страницы моста, которые Google охотно выдвигает на вершину вашего поиска.

Резюме

• Мошенничества возрастают — убытки от крипто-мошенничества достигли как минимум 9,9 миллиарда долларов в 2024 году, с всё более изощрёнными фишингами и фальшивыми DeFi-сайтами, подрывающими доверие даже у опытных пользователей.
• Безопасность рассматривается как необязательная — несмотря на доступные инструменты, защита от фишинга не встроена в основную инфраструктуру, что оставляет принятие на месте из-за опасений по поводу безопасности.
• Квантовый риск надвигается — к 2030 году системы должны перейти на постквантовую криптографию; без нее, в сочетании с фишингом, web3 столкнется с кризисом доверия.
• Срочность действий в отрасли — безопасность должна быть приоритетом, как масштабирование или доходы DeFi, иначе будущие хакерские атаки на миллиарды долларов заставят вносить исправления слишком поздно.

В 2024 году криптовалютные мошенничества принесли не менее 9,9 миллиарда долларов незаконного дохода, при этом Chainalysis предупреждает, что общая сумма может достичь рекорда в 12,4 миллиарда долларов по мере поступления новых данных. Мошенничество в секторе становится все более изощренным, мошенники используют более убедительные фишинговые сайты, поддельные платформы децентрализованных финансов и тактики социального инженерства. Это усложняет обнаружение и увеличивает потери, подрывая доверие пользователей. Даже опытные трейдеры попадают в ловушку.

И всё же, более широкое крипто-сообщество часто считает это ценой ведения бизнеса, что безумно. Представьте, если бы каждый раз, когда вы входите в онлайн-банкинг, был шанс один к десяти, что это фальшивый сайт. Люди бы восстали. В web3, однако, всё воспринимается с плечами; люди твитят "оставайтесь в безопасности, аноним" и надеются на лучшее.

Это исправимая проблема

Технология уже существует для обнаружения фишинговых сайтов, поддельных смарт-контрактов и вредоносных мостов до того, как вы с ними взаимодействуете. Проблема в том, что это рассматривалось как дополнительная опция, а не как основная часть стека. Люди теряют тысячи долларов еженедельно, обменивая токены на том, что выглядело как законный интерфейс биржи. Единственное, что их спасает, это часто инструмент безопасности на базе браузера, который отмечает страницу за секунды до того, как они нажмут "Подтвердить".

Представление фишинга как проблемы личной безопасности крайне недооценивает его влияние на более широкий рынок. Розничное принятие не останавливается, потому что технология недостаточно масштабируема. Оно останавливается, потому что люди не доверяют, что их деньги в безопасности. Хотя некоторые будут утверждать, что уровни безопасности — это всего лишь центральные точки отказа, уже существует значительная зависимость от поставщиков инфраструктуры, индексаторов, узлов удаленных процедурных вызовов, кошельков и десятков других узких мест. Притворяться, что добавление надежной защиты от фишинга каким-то образом компрометирует этику, — это слабое оправдание, учитывая высокие ставки.

Квантовая вычислительная бомба замедленного действия

Существует еще одна проблема, о которой большинство людей недостаточно задумываются: безопасность в постквантовом мире. Правительство США уже установило крайние сроки: все системы должны перейти на постквантовую криптографию к 2030 году, а старые алгоритмы должны быть полностью выведены из обращения к 2035 году, что означает, что многие блокчейн-инфраструктуры находятся на borrowed time. В сочетании с неконтролируемыми фишинговыми атаками это создает идеальные условия для разрушения доверия. Web3 не будет восприниматься всерьез в постквантовом мире, если он по-прежнему теряет миллиарды на фальшивых ссылках.

Самый большой уклон — это то, что пользователи должны просто быть более осторожными. Пешеходы должны смотреть по сторонам перед тем, как перейти улицу, но у нас все равно есть светофоры, и на то есть причины. Ожидать, что каждый новый владелец кошелька мгновенно распознает фишинговую ссылку, нереалистично, особенно когда мошенники становятся все лучше в подражании легитимным платформам. Мы потратили годы на одержимость масштабированием, композируемостью и кросс-цепной ликвидностью. Тем временем, самая большая жалоба пользователей остается: "Я потерял свои монеты."

Ставки выше, чем люди думают

Крипто-родные мошенничества выходят далеко за пределы своих первоначальных границ. Они больше не ограничиваются биржами или яркими DeFi-протоколами; они постепенно проникают в смежные отрасли и подрывают доверие по всей экосистеме. Мосты и валидаторы остаются очевидными целями, но они далеко не единственные. Провайдеры телекоммуникаций, операторы энергетики, производители Интернета вещей, цепочки поставок и даже оборонные системы, взаимодействующие с компонентами на основе блокчейна, теперь являются потенциальными точками входа. Каждая новая интеграция создает еще одну поверхность для компрометации, еще одно отверстие для атаки и еще один множитель риска, подрывающий общественное доверие.

Если вы руководитель проекта, вы сталкиваетесь с двумя неприятными реалиями. Во-первых, безопасность, устойчивая к квантовым атакам, не является отдаленной академической целью; она стремительно приближается к тому, чтобы стать жестким регуляторным требованием менее чем через десятилетие. Во-вторых, каждая высокопрофильная фишинговая атака или кампания по сбору учетных данных между сейчас и этим сроком подрывает вашу базу пользователей, вашу репутацию и вашу общую заблокированную стоимость, ущерб, который накапливается без видимых последствий с течением времени и который гораздо труднее восстановить, чем предотвратить.

Теперь настало время направить такое же количество инноваций, финансирования и неустанной итерации в архитектуру безопасности, как это было сделано в таких областях, как доходное фермерство, выпуск невзаимозаменяемых токенов и кросс-цепочная ликвидность. Web3 не может достоверно называть себя будущим финансов и инфраструктуры данных, продолжая рассматривать фишинг лишь как проблему «ошибки пользователя». В какой-то момент экосистема должна взять на себя ответственность.

Оглядываясь назад, мы почти наверняка зададим себе вопрос, почему индустрия так долго терпела такие очевидные уязвимости и почему не решала проблемы фишинга в масштабах раньше. Обнадеживающая часть заключается в том, что эта проблема решаема при правильном расставлении приоритетов и выборах дизайна. Единственный реальный вопрос, который остается, заключается в том, возьмёт ли индустрия инициативу сейчас или будет ждать, пока следующий хак на миллиард долларов не заставит её действовать.

! Дэвид Карвальо

Дэвид Карвальо

Давид Карвальо является основателем, генеральным директором и главным ученым Naoris Protocol, первой в мире децентрализованной системы безопасности на основе постквантового блокчейна и распределенного ИИ, поддерживаемой Тимом Дрейпером и бывшим начальником разведки НАТО. Имея более 20 лет опыта в качестве глобального директора по информационной безопасности и этичного хакера, Давид работал как на техническом, так и на уровне C-suite в многомиллиардных организациях по всей Европе и в Великобритании. Он является доверенным советником для государств и критической инфраструктуры под эгидой НАТО, сосредоточив внимание на кибервойне, кибертерроризме и кибершпионаже. Пионер блокчейна с 2013 года, Давид внес свой вклад в инновации в области PoS/PoW майнинга и кибербезопасности следующего поколения. Его работа подчеркивает смягчение рисков, этичное создание богатства и ориентированные на ценности достижения в области криптовалют, автоматизации и распределенного ИИ.