Децентралізовані протоколи є вразливими цілями для північнокорейських хакерів

Північнокорейські хакерські групи роками націлюються на криптоактиви. Експлуатація мосту Ronin на суму $625 мільйонів у 2022 році була раннім сигналом тривоги — але загроза лише еволюціонувала.

У 2025 році лише північнокорейських пов’язаних зловмисників пов’язують із низкою кампаній, спрямованих на виведення цінностей та компрометацію ключових гравців у Web3: Вони націлилися на активи вартістю $1,5 мільярда на Bybit через кампанії зі збору облікових даних, мільйони вже відмили. Вони запустили атаки з використанням шкідливого ПЗ проти користувачів MetaMask та Trust Wallet, намагалися проникнути на біржі через фейкових претендентів на роботу, і створили фіктивні компанії у США, щоб націлитись на крипто-розробників.

І хоча заголовки частіше зосереджені на масштабних крадіжках, реальність простіша — і суворіша. Найслабшою ланкою Web3 є не смарт-контракти, а люди.

Атаки з боку держав-акторів більше не потребують пошуку zero-day у Solidity. Вони націлюються на операційні вразливості децентралізованих команд: погане управління ключами, відсутність процедур адаптації, неперевірені учасники, які впроваджують код із особистих ноутбуків, та управління казначейством через голосування у Discord. Незважаючи на численні заяви нашої індустрії про стійкість і нечутливість до цензури, багато протоколів залишаються легкою здобиччю для серйозних противників.

В Oak Security, де ми провели понад 600 аудитів у основних екосистемах, ми постійно бачимо цю прогалину: команди активно інвестують у аудит смарт-контрактів, але ігнорують базову операційну безпеку (OPSEC). Результат передбачуваний. Недостатні безпекові процеси призводять до компрометації акаунтів учасників, захоплення управління та запобіжних втрат.

Ілюзія смарт-контракту: безпечний код, небезпечні команди

Попри величезні кошти та таланти, вкладені в безпеку смарт-контрактів, більшість DeFi-проєктів не дотримуються базових принципів операційної безпеки. Припускається, що якщо код пройшов аудит, протокол безпечний. Це переконання не просто наївне — воно небезпечне.

Реальність така, що експлойти смарт-контрактів вже не є улюбленим способом атаки. Легше — і часто ефективніше — впливати на людей, які керують системою. Багато DeFi-команд не мають спеціальних фахівців з безпеки, обираючи керувати великими казначействами без формальної відповідальності за OPSEC. Це саме по собі має викликати занепокоєння.

Важливо, що помилки OPSEC не обмежуються атаками з боку державних груп. У травні 2025 року Coinbase розкрив, що закордонний агент підтримки — підкуплений кіберзлочинцями — незаконно отримав доступ до даних клієнтів, спричинивши компенсацію в розмірі 180–400 мільйонів доларів та період вимушеного затишшя щодо викупу. Зловмисники робили подібні спроби на Binance та Kraken. Ці інциденти не були спричинені помилками коду — вони виникли внаслідок підкупу інсайдера та людських помилок на передовій.

Вразливості носять системний характер. У галузі учасників часто приймають через Discord або Telegram без перевірки особи, структурованого забезпечення та без надійних пристроїв. Зміни коду часто публікуються з неперевірених ноутбуків, без захисту кінцевих точок або управління ключами. Чутливі обговорення управління відбуваються в незахищених інструментах, таких як Google Docs та Notion, без аудиторських слідів, шифрування чи належного контролю доступу. І коли щось неминуче йде не так, більшість команд не мають плану реагування, призначеного керівника інциденту чи структурованого протоколу комунікації — тільки хаос.

Це не децентралізація, це операційна недбалість. Існують DAO, які управляють $500 мільйонами, але не пройшли б базового аудиту OPSEC. Казначейства захищені лише форумами управління, голосуваннями у Discord та мультипідписами на вихідних — відкриті запрошення для зловмисників. Поки безпеку не почнуть розглядати як всюповний обов’язок — від управління ключами до адаптації учасників — Web3 продовжить втрачати цінність через свої найм’якші ланки.

Чого DeFi може навчитися у культури безпеки TradFi

Інституції TradFi часто стають мішенню для атак з боку північнокорейських хакерів та інших — і внаслідок цього банки та платіжні компанії щороку втрачають мільйони. Але рідко можна побачити традиційну фінансову установу, що зазнає краху або призупиняє діяльність через кібератаку. Ці організації діють, виходячи з припущення, що атаки неминучі. Вони створюють багатошаровий захист, який зменшує ймовірність атак і мінімізує збитки у випадку їх реалізації, керуючись культурою постійної пильності, якої DeFi ще значною мірою бракує.

У банку працівники не отримують доступ до торговельних систем зі своїх особистих ноутбуків. Пристрої захищені та постійно моніторяться. Контроль доступу та розподіл обов’язків гарантують, що жоден співробітник не може одноособово перемістити кошти або розгорнути продуктивний код. Процеси прийому на роботу та звільнення структуровані; облікові дані видаються і відкликаються обережно. І коли щось іде не так, реакція на інцидент координується, відпрацьовується та документується — а не імпровізується у Discord.

Web3 потрібно прийняти подібну зрілість, але адаптовану до реалій децентралізованих команд.

Це починається з впровадження OPSEC-інструкцій з першого дня, проведення симуляцій червоної команди для тестування фішингу, компрометації інфраструктури та захоплення управління — а не лише аудитів смарт-контрактів — і використання мультипідписних гаманців, підкріплених індивідуальними апаратними гаманцями або управлінням казначейством. Команди повинні перевіряти учасників і здійснювати бекграунд-чек на всіх, хто має доступ до продуктивних систем або контролю казначейства — навіть у командах, які вважають себе повністю «децентралізованими».

Деякі проєкти вже починають провідну роль тут, інвестуючи в структуровані програми безпеки та інструменти корпоративного рівня для управління ключами. Інші використовують передові інструменти Security Operations (SecOps) і залучають спеціалізованих консультантів із безпеки. Але ці практики залишаються винятком, а не нормою.

Децентралізація не є виправданням для недбалості

Час зіткнутися з реальною причиною, чому багато команд Web3 відстають у операційній безпеці: це складно впровадити в децентралізованих, географічно розподілених організаціях. Бюджети обмежені, учасники тимчасові, а культурний спротив до принципів кібербезпеки, які часто помилково сприймаються як «централізація», залишається сильним.

Але децентралізація не є виправданням для недбалості. Противники-держави розуміють цю екосистему. Вони вже в воротах. А світова економіка все більше залежить від on-chain інфраструктури. Web3-платформи терміново мають застосовувати й дотримуватися дисциплінованих практик кібербезпеки, інакше ризикують стати постійним джерелом фінансування для хакерів і шахраїв, які прагнуть їх підірвати.

Сам код не захистить нас. Захистить культура.