Децентрализованные протоколы являются уязвимыми целями для северокорейских хакеров

Группы северокорейских хакеров нацеливаются на криптовалюту уже многие годы. Взлом Ronin bridge на сумму 625 миллионов долларов США в 2022 году стал ранним сигналом тревоги — но угроза только эволюционировала.

Только в 2025 году атаки, связанные с Северной Кореей, были связаны с серией кампаний, направленных на выкачивание средств и компрометацию ключевых участников Web3: они нацелились на активы на сумму 1,5 миллиарда долларов США через Bybit с использованием кампаний по сбору учетных данных, при этом миллионы уже отмыты. Они запускали атаки с использованием вредоносного ПО на пользователей MetaMask и Trust Wallet, пытались проникнуть в криптобиржи через фальшивых соискателей работы, и создавали фиктивные компании в США, чтобы нацеливаться на разработчиков криптовалюты.

И хотя заголовки часто сосредоточены на крупных кражах, реальность проще — и более обвинительна. Самым слабым звеном Web3 являются не смарт-контракты, а люди.

Атакующим из государств уже не нужно искать zero-day уязвимости в Solidity. Они целятся в операционные уязвимости децентрализованных команд: плохое управление ключами, отсутствие процессов адаптации, ненадежные контрибьюторы, которые пушат код с личных ноутбуков, и управление казной через опросы в Discord. Несмотря на все разговоры индустрии о стойкости и сопротивлении цензуре, многие протоколы по-прежнему остаются легкой мишенью для серьезных противников.

В Oak Security, где мы провели более 600 аудитов различных экосистем, мы постоянно наблюдаем этот пробел: команды интенсивно инвестируют в аудит смарт-контрактов, но игнорируют базовую операционную безопасность (OPSEC). Результат предсказуем. Недостаточные процессы безопасности приводят к компрометации аккаунтов контрибьюторов, захвату управления и предотвратимым убыткам.

Иллюзия смарт-контрактов: безопасный код, небезопасные команды

Несмотря на огромные вложения денег и талантов в безопасность смарт-контрактов, большинство DeFi-проектов по-прежнему не соблюдают основы операционной безопасности. Имеется убеждение, что если код прошел аудит, протокол безопасен. Это убеждение не просто наивно — оно опасно.

Реальность такова, что эксплойты смарт-контрактов уже не являются предпочтительным методом атаки. Проще и часто эффективнее атаковать людей, управляющих системой. Многие команды DeFi не имеют выделенных специалистов по безопасности, предпочитая управлять большими казнами без формально назначенных ответственных за OPSEC. Это само по себе должно вызывать тревогу.

Ключевой момент: сбои в OPSEC не ограничиваются атаками со стороны государственно поддерживаемых групп. В мае 2025 года Coinbase раскрыла, что иностранный сотрудник службы поддержки — получавший взятки от киберпреступников — незаконно получил доступ к данным клиентов, что привело к затратам на восстановление от 180 до 400 миллионов долларов США и неопределенности с выкупом. Злоумышленники пытались аналогично на Binance и Kraken. Эти инциденты не были вызваны ошибками в коде — причиной стали взятки инсайдеров и человеческие ошибки на передовой.

Уязвимости носят системный характер. По всей индустрии контрибьюторов часто принимают через Discord или Telegram без проверки личности, структурированной выдачи доступов и проверенных устройств. Изменения кода часто вносятся с непроверенных ноутбуков, при минимальной или отсутствующей безопасности конечных точек и управлении ключами. Чувствительные обсуждения управления проходят в небезопасных инструментах, таких как Google Docs и Notion, без аудиторских следов, шифрования и адекватного контроля доступа. А когда что-то неизбежно идет не так, большинство команд не имеют плана реагирования, назначенного руководителя инцидента и структурированного протокола коммуникации — лишь хаос.

Это не децентрализация. Это операционная халатность. Есть DAO, управляющие 500 миллионами долларов США, которые не смогли бы пройти базовый аудит OPSEC. Есть казны, защищённые форумами управления, опросами в Discord и уикенд-мультиподписями — это открытые приглашения для злоумышленников. Пока безопасность не станет комплексной ответственностью — от управления ключами до адаптации контрибьюторов — Web3 будет продолжать терять средства через свои самые уязвимые слои.

Чему DeFi может научиться у культуры безопасности TradFi

Институты TradFi часто становятся мишенью атак северокорейских хакеров и других — в результате банки и платежные компании ежегодно теряют миллионы. Но редко можно увидеть, чтобы традиционный финансовый институт обрушился или приостановил деятельность из-за кибератаки. Эти организации работают исходя из предположения, что атаки неизбежны. Они создают многоуровневую защиту, которая снижает вероятность атак и минимизирует ущерб, когда эксплойты случаются, подкрепленную культурой постоянной бдительности, которой DeFi пока во многом не хватает.

В банках сотрудники не получают доступ к торговым системам с личных ноутбуков. Устройства укреплены и постоянно мониторятся. Контроль доступа и разделение функций гарантируют, что ни один сотрудник не может единолично переводить средства или деплоить продуктивный код. Процессы приема и увольнения структурированы; учетные данные выдаются и аннулируются с особой осторожностью. И когда что-то идет не так, реагирование на инциденты координируется, отрабатывается и документируется — а не импровизируется в Discord.

Web3 должен достичь подобной зрелости, но адаптированной к реалиям децентрализованных команд.

Это начинается с внедрения OPSEC-инструкций с первого дня, проведения красных командных симуляций, тестирующих фишинг, компрометацию инфраструктуры и захват управления — не только аудитов смарт-контрактов — и использования мультиподписных кошельков, поддержанных индивидуальными аппаратными кошельками или управлением казной. Команды должны проверять контрибьюторов и проводить проверку благонадёжности всех, кто имеет доступ к продуктивным системам или контролю казны — даже в командах, считающих себя полностью «децентрализованными».

Некоторые проекты начинают лидировать в этом направлении, инвестируя в структурированные программы безопасности и корпоративные инструменты для управления ключами. Другие используют продвинутые инструменты Security Operations (SecOps) и нанимают специализированных консультантов по безопасности. Но такие практики остаются исключением, а не нормой.

Децентрализация — не оправдание халатности

Пора признать настоящую причину отставания многих Web3-команд в операционной безопасности: её трудно внедрять в децентрализованных, географически распределённых организациях. Бюджеты ограничены, контрибьюторы переходящие, а культурное сопротивление принципам кибербезопасности, часто ошибочно воспринимаемым как «централизация», остается сильным.

Но децентрализация не снимает ответственности за халатность. Государственные противники понимают эту экосистему. Они уже внутри ворот. А мировая экономика всё больше зависит от on-chain инфраструктуры. Web3-платформам срочно необходимо применять и придерживаться дисциплинированных практик кибербезопасности, иначе они рискуют стать постоянным источником финансирования для хакеров и мошенников, пытающихся подорвать их.

Один только код нас не защитит. Защитит культура.