Криптоіндустрія має розвиватися, щоб відповідати реальним ризикам безпеки

Ваші ключі, ваші монети.

Це одна з основоположних обіцянок біткоїна та інших криптовалют, які усувають посередників між вами та вашими грошима. Але ця фраза також містить приховане припущення, від якого компаніям Web3 варто було б відмовитися: що будь-які проблеми з безпекою є проблемою власника, а не їхньою. Такий підхід міг бути прийнятним, коли криптовалюти були експериментальними. Однак він не працює, коли йдеться про трильйони доларів і мільйони людей.

Простір дизайну криптовалют значно розширився з моменту створення Bitcoin понад 15 років тому. Існують додатки та протоколи, криптовалютні біржі, стейблкойни та десятки стандартів токенів, які всі взаємопов’язані між собою. Це вже не просто децентралізовані гроші, це екосистема вартістю трильйони доларів. Ризики безпеки стали складнішими, а ставки – вищими. Самоконтроль все ще має свою роль, так – але дизайнери Web3 не повинні перекладати більшість тягаря безпеки на користувачів.

Для того, щоб успішно стати масовою технологією, криптоіндустрія повинна розвиватися, відповідаючи реальним загрозам безпеці — соціальній інженерії, людській помилці та фізичному примусу — не порушуючи при цьому інших ключових цінностей, таких як анонімність та псевдонімність.

Що нам кажуть цифри

Багато десятиліть особистих комп’ютерів надали нам безліч даних про кібергігієну людей. Коротко кажучи: вона далека від ідеалу.

Освітні кампанії, такі як Місяць підвищення обізнаності з кібербезпеки, що відбувається прямо зараз, допомагати, але загрози, такі як фішинг, підроблені QR-коди та шкідливе програмне забезпечення, залишаються постійно ефективними. Вони не зникнуть. Насправді вони розвиваються швидше за наші засоби захисту.

Згідно з дані, зібрані CoinLaw, криптофішинг-атаки зростають, збільшившись на 40% на початку 2025 року та спричинивши збитки користувачів на суму 410 мільйонів доларів. Ще більше поганих новин: глибокі підробки з використанням ШІ посилюють проблему; їх кількість зросла більш ніж на 450% між серединою 2024 і серединою 2025 року, згідно з даними CoinLaw.

Ще тривожніше: зростання кількості насильницьких атак, пов’язаних з криптовалютою, коли організовані злочинні групи фізично змушують власників з великими статками передавати свої реквізити. За даними компанії з відстеження блокчейну Chainalysis, було понад 30 задокументованих “атак за допомогою гаечного ключа” у 2024 році, а 2025 рік має всі шанси подвоїти цю суму.

Коротко кажучи, проблеми з безпекою не є аномаліями. Вони передбачувані.

Ми не ігноруємо землетруси в Сан-Франциско чи Японії; ми будуємо будівлі, стійкі до землетрусів. Така сама логіка повинна застосовуватися до безпеки криптовалют.

Що потрібно змінити

Хороша новина: у сфері Web3 ведеться багато роботи для підвищення безпеки користувачів та захищеності продуктів.

Просто подивіться на гаманці. Питання безпеки історично робили користувацький досвід роботи з гаманцями жахливим, але завдяки інноваціям, таким як розподілені гаманці з різними ключами, делегування та мультигаманці, ситуація покращується. Однак, на мій досвід, балансування між зручністю використання та безпекою залишається складним завданням.

Отже, як ми можемо краще обслуговувати користувачів?

По-перше, нам потрібно сприймати проблеми безпеки як зворотний зв’язок. Кожне порушення розповідає нам щось про дизайн, а не лише про поведінку. Візьмімо вкрадений пароль. Однією з реакцій може бути: «Це вина користувача, що він потрапив на фішинг; він не повинен був на це вестися». Можливо, це правда, можливо, й ні. Але що є істина полягає в тому, що коли це трапляється мільйони разів на рік з вашою клієнтською базою, це свідчить про те, що ваша система не розроблена для реальних людей. Відкоригуйте відповідно.

По-друге, нам потрібно інтегрувати успішні приклади з позавеб3-простору.

Розглянемо проблему автентифікації. Використання криптографічного ключа для доступу є потужним, але не підтверджує, що користувач є законним власником. Саме тому більш широка інтернет-спільнота давно впровадила такі рівні захисту, як багатофакторна автентифікація та поведінкові сигнали, а нещодавно — підтвердження людяності (proof-of-human) — методи, які автоматично захищають користувачів без потреби постійного контролю. Криптовалюти можуть і повинні наслідувати цей приклад.

Нарешті, ми повинні визнати, що ризики безпеці більше не обмежуються лише методами соціальної інженерії.

Керівники криптовалютної сфери та великі власники зазнали численних фізичних нападів, оскільки злочинці намагаються отримати доступ не шляхом дешифрування силою, а за допомогою звичайної грубої сили. Якщо ми розробляємо системи, які не передбачають можливості фізичного насильства, то ми не виконуємо нашу роботу як розробники цих систем. Вектори атак будуть еволюціонувати, і нам доведеться еволюціонувати разом із ними.

Що далі

Жорсткий принцип криптовалютної спільноти особистої відповідальності мав сенс, коли це був експеримент. Однак зараз, коли на кону стоять трильйони активів — та людські засоби до існування — нам потрібні системи, розроблені для ризиків реального світу, а не для ранніх користувачів.

Не існує універсальних засобів: криптографічні ключі залишатимуться вразливими до фішингу, біометрія зробить користувачів уразливими до фізичних атак, а люди й надалі залишатимуться недосконалими. Але, підбиваючи підсумки Місяця обізнаності з кібербезпеки, давайте пам’ятати, для кого ми працюємо. Коли ми створюємо продукти для реальних людей, а не для ідеальних користувачів, наші рішення можуть зміцнити життя, захищаючи від їхніх вразливостей. Безпека більше не є проблемою користувача; це проблема всієї галузі.