OCCIP Минфина США вводит криптовалюты в федеральный периметр киберзащиты

Впервые в истории США Министерство финансов относится к криптовалютным компаниям так же, как к банкам — по крайней мере, в вопросе того, кто получает доступ к информации о входящих угрозах. 10 апреля 2026 года Управление по кибербезопасности и защите критической инфраструктуры (OCCIP) объявило, что имеющие на это право компании, занимающиеся цифровыми активами, будут бесплатно получать те же оперативные данные по кибербезопасности, которые федеральное правительство исторически резервировало для банков, застрахованных FDIC, и других традиционных финансовых учреждений.

Это всего лишь одна строка в пресс-релизе. Но она также знаменует собой тихий, но глубокий сдвиг: Вашингтон перестал рассматривать криптосферу как периферийный технологический сектор и начал относиться к ней как к части критической инфраструктуры финансовой системы.

Политика, построенная на ущербе в 578 миллионов долларов

Время выбрано не случайно. Апрель 2026 года стал, по некоторым меркам, худшим месяцем для безопасности DeFi со времен инцидента с Bybit — около 606 миллионов долларов было выведено в результате двенадцати отдельных эксплойтов всего за восемнадцать дней. Только Lazarus Group переместила 578 миллионов долларов за этот период.

Две атаки составили большую часть ущерба:

• Drift Protocol — 285 миллионов долларов, 1 апреля 2026 года. Злоумышленники, приписываемые связанной с КНДР группе UNC4736 (также отслеживаемой как AppleJeus, Citrine Sleet и Gleaming Pisces), завершили шестимесячную операцию по социальной инженерии. Они выдавали себя за фирму, занимающуюся количественным трейдингом, завоевали доверие участников Drift и злоупотребили функцией Solana «durable nonces», чтобы обманом заставить членов Совета безопасности заранее подписать неактивные транзакции, которые тайно передали административный контроль. С того момента, как был совершен «rug pull», хранилище опустело примерно за двенадцать минут.
• KelpDAO — 292 миллиона долларов, 18 апреля 2026 года. Одно поддельное сообщение LayerZero опустошило кроссчейн-мост KelpDAO на 116 500 rsETH, что стало крупнейшим одиночным DeFi-эксплойтом года.

По данным TRM Labs, на долю Северной Кореи сейчас приходится примерно 76% всех потерь от крипто-хаков в 2026 году, а совокупный объем краж с 2017 года превысил 6 миллиардов долларов. Это больше не проблема отдельного сектора. Это вопрос национальной безопасности.

Программа OCCIP, по сути, является первым федеральным признанием того, что атаки в стиле КНДР на платформы цифровых активов перекликаются с поддерживаемыми государством атаками на банковские переводы, системы ACH и SWIFT — и что криптооператоры заслуживают тех же каналов раннего предупреждения.

Что на самом деле получают криптокомпании

Заголовок гласит: «бесплатные разведданные по кибербезопасности». Суть еще интереснее. Имеющие право на участие американские фирмы, работающие с цифровыми активами, теперь могут запрашивать доступ к тем же потокам разведывательной информации об угрозах, которые Минфин использует для того, чтобы банковский сектор опережал злоумышленников. На практике это включает в себя многоуровневый набор фидов:

• Каталог известных эксплуатируемых уязвимостей (KEV) от CISA. Федеральные гражданские агентства уже обязаны в соответствии с Обязательной оперативной директивой 22-01 устранять уязвимости CVE, внесенные в список KEV, в установленные сроки. Список является общедоступным, но ценность нахождения внутри федерального канала заключается в оперативности — операторы узнают о том, что именно используется в качестве оружия «в дикой природе», до того, как это станет публичным бюллетенем.
• Уведомления FBI Flash и Private Industry Notifications. Они охватывают активные кампании, часто с техническими индикаторами компрометации (IOC) и методами работы (tradecraft) противника, которые никогда не появляются в открытой прессе.
• Специфические для Минфина индикаторы компрометации (IOC) финансового сектора. Кластеры кошельков, паттерны подготовки мостов, поведение миксеров и «отпечатки пальцев» транзакций, которые аналитики OCCIP собирают на основе межбанковских отчетов — и которые до сих пор могли видеть банки, но не централизованные биржи или DeFi-протоколы.
• Отраслевые рекомендации по субъектам, связанным с КНДР, Ираном, и операторам программ-вымогателей. Это тот уровень, который наиболее наглядно подчеркивает хронология расследования Drift. Паттерны кошельков Lazarus и активность по подготовке мостов были идентифицируемы в ретроспективе; обмен данными уровня OCCIP предназначен для выявления этих паттернов до вывода средств.

Подходящие фирмы подают заявку, связавшись с OCCIP-Coord@treasury.gov. Критерии «соответствия» намеренно не определены в объявлении — Минфин оставляет за собой право формировать пул участников, что является одновременно и преимуществом, и фактором неопределенности.

Почему это важнее, чем новый список рассылки по электронной почте

Если читать объявление OCCIP узко, это звучит так, будто Минфин просто добавил новый список рассылки. Но структурная интерпретация гораздо значимее.

На протяжении десятилетия политика США рассматривала криптокомпании как технологические компании, которые по воле случая работают с деньгами. Стандартный аппарат обмена информацией — FS-ISAC (Центр обмена и анализа информации финансовых услуг) — ограничивает членство наличием банковских лицензий или платными отраслевыми уровнями. FS-ISAC объединяет более 5 000 фирм-участниц в 75 странах, но в его составе исторически доминируют банки, страховщики, платежные системы и фирмы, работающие с ценными бумагами. Крипто-нативные биржи и DeFi-протоколы редко были полноправными участниками.

Новый канал OCCIP не заменяет FS-ISAC. Он работает параллельно. И работая параллельно, он фактически провозглашает: даже если фирма не может или не хочет платить за вступление в возглавляемый банками ISAC, федеральное правительство все равно будет рассматривать ее как часть критически важной финансовой инфраструктуры, которую Соединенные Штаты обязаны защищать.

В этом и заключается сдвиг в политической парадигме. На той же неделе Coindesk и The Record отметили, что эта инициатива делает криптокомпании партнерами, «включенными в цикл» (loop-in) для получения предупреждений о хакерах наравне с традиционными фирмами — формулировка, которая была бы немыслима в любом официальном заявлении Минфина США еще пять лет назад.

Что меняется для операторов

Для бирж, кастодианов, мостов и DeFi-протоколов, готовых подать заявку, открываются три возможности, которые ранее были недоступны:

Ускоренные циклы исправления критических CVE. Команде протокола, использующей стандартные облачные инструменты и DevOps, больше не нужно ждать уведомления от вендора или публичного описания CVE, чтобы узнать о наличии эксплойта. Каналы Министерства финансов (Treasury), как правило, выявляют сигналы эксплуатации раньше, чем появляется публичная запись в NVD.

Оповещение о паттернах кошельков КНДР. Это самое конкретное изменение. История расследования Drift показала, что подготовительные действия Lazarus были видны в данных блокчейна за несколько дней до взлома, но ни у одной команды не было достаточного контекста для принятия мер. Федеральный канал, который агрегирует данные от множества фирм и передает их в операционные центры, дает DeFi тот же сигнал — «ваш коллега только что заметил проверку этим адресом своего процесса хранения» — который банки давно получают в отношении подозрительных ACH-переводов.

Индикаторы инсайдерских рисков и процессов найма. Кейс Drift стал хрестоматийным примером того, как КНДР месяцами инвестирует в социальную инженерию — подставные квантовые фирмы, фейковые сотрудники, подставные контрагенты. Минфин располагает агрегированной отчетностью о мошенничестве при найме в финансовом секторе, с которым крипто-операторы только начинают сталкиваться в больших масштабах.

Обратная сторона заключается в том, что отношения по обмену разведданными двусторонние. Чтобы оставаться в канале, от компаний ожидают отчетности об инцидентах и IOC (индикаторах компрометации). Этот культурный сдвиг — от «наша система безопасности является проприетарной» к «то, что видим мы, видит федеральное правительство и наши коллеги» — самая сложная часть.

Политика: Критическая инфраструктура, а не казино

Здесь есть регуляторный подтекст, о котором стоит заявить прямо. На протяжении большей части последних пяти лет политика США в области криптовалют была враждебной: SEC, CFTC и FinCEN продвигали разные теории о том, что такое криптоактивы и как их следует контролировать. Шаг OCCIP исходит от другой части федерального правительства — той, что отвечает за кибербезопасность и критическую инфраструктуру, — и основывается на иной предпосылке.

Банки получают поддержку OCCIP не потому, что Минфин одобряет каждую строку в их балансах, а потому что в случае отказа их киберзащиты пострадает платежная система страны. Неявный аргумент в заявлении от 10 апреля заключается в том, что то же самое теперь применимо и к криптовалютам. Если рельсы, по которым проходят потоки стейблкоинов на 300 миллиардов долларов, RWA на сумму более 19 миллиардов долларов и растущая доля трансграничных расчетов, сломаются под кибератакой, это шокирует всю финансовую систему.

Именно поэтому данное объявление важно даже для тех компаний, которые никогда не подадут заявку. Официальное признание федеральным агентством компаний, занимающихся цифровыми активами, как «регулируемой критической инфраструктуры» меняет политическую базу для любого будущего противостояния. Будущие дебаты в Конгрессе о регулировании DeFi, лицензировании стейблкоинов и платежах ИИ-агентов теперь будут проходить на фоне того, что собственное подразделение Минфина по кибербезопасности уже признало криптоиндустрию частью системы, заслуживающей защиты.

Где остаются пробелы

Эта инициатива не является панацеей. Остаются три реальных пробела.

Непрозрачность критериев отбора. Минфин не опубликовал критерии участия. Пока список участников — или хотя бы критерии — не станет публичным, у небольших DeFi-протоколов и офшорных платформ нет четкого пути для вступления.

Ограниченность только США. Криптовалюты глобальны; крупнейшие CEX, обслуживающие пользователей из США, не всегда имеют штаб-квартиру в Штатах. Международная координация — с NCSC Великобритании, каналами MAS-CSA Сингапура и ENISA в Европе — не входит в заявленный объем работ.

Отсутствие решения проблем на уровне протоколов. Разведка угроз помогает SOC поймать злоумышленника раньше, но она не исправит баг в мосту, который доверяет непроверенному формату сообщений. Инциденты с Drift и KelpDAO были связаны с уязвимостями (подписание durable-nonce, верификация кроссчейн-сообщений), которые не исправит никакая рассылка по электронной почте. OCCIP повышает планку операционной защиты, но не меняет математику проектирования протоколов.

Последствия для поставщиков инфраструктуры

Для уровня компаний, находящихся между протоколами и конечными пользователями — RPC-провайдеров, кошельков, кастодианов, индексеров, сетей оракулов — программа OCCIP меняет формат переговоров о покупке. Институциональные клиенты, особенно новое поколение эмитентов регулируемых стейблкоинов и менеджеров токенизированных RWA, начнут спрашивать вендоров инфраструктуры, участвуют ли они в обмене информацией уровня OCCIP. Этот вопрос станет входным барьером при закупках.

Общий сигнал: кибербезопасность переходит из разряда проблем отдельного протокола в разряд общесекторальных инфраструктурных задач. Вендоры, которые переживут волну взломов 2026 года, — это те, кто относится к получению данных об угрозах, обмену IOC и федерально-согласованному реагированию на инциденты как к базовым необходимым услугам, а не как к необязательному «театру безопасности».

BlockEden.xyz управляет RPC-инфраструктурой и индексерами промышленного уровня для разработчиков в сетях Sui, Aptos, Ethereum и других чейнах. Команды, работающие в ландшафте угроз, согласованном с OCCIP, могут изучить наш маркетплейс API для доступа к инфраструктуре, созданной для институциональной эры.

Анализ перспектив на 2026 год

Взломы Drift и KelpDAO запомнятся как катализатор — но именно ответная реакция OCCIP может незаметно изменить облик следующего десятилетия. Распространив федеральный «киберзонтик» на компании, работающие с цифровыми активами, Министерство финансов США сделало две вещи одновременно: признало, что спонсируемые государством атаки на DeFi в стиле КНДР являются вопросом национальной безопасности, и признало, что криптофирмы больше не могут рассматриваться как находящиеся за пределами защищенного периметра финансовой системы.

Это тот тип регуляторных сдвигов, который не вызывает заголовков, пропорциональных его значимости. Тем не менее, это изменит то, как каждый институциональный аллокатор, регулятор и контрагент воспринимает операционные риски в криптосфере. К тому времени, когда закон CLARITY, нормотворчество по стейблкоинам в рамках закона GENIUS и руководство OCC по хранению криптовалют банками сформируют единую регуляторную архитектуру в 2027 году, тихое расширение OCCIP в апреле 2026 года может оказаться фундаментом для них всех.

Поле зрения дозорной башни только что расширилось.

Источники

• Минфин США запускает инициативу по обмену информацией о кибербезопасности для индустрии цифровых активов — Министерство финансов США
• Минфин дебютирует с попыткой обмена разведданными о киберугрозах с криптофирмами — Nextgov/FCW
• Министерство финансов объявляет об инициативе по обмену информацией о киберугрозах в криптоиндустрии — The Record
• Минфин США подключит криптосектор к предупреждениям о хакерах, которыми обмениваются с традиционными фирмами — CoinDesk
• Минфин предоставит криптофирмам те же данные о кибербезопасности, что и банкам — PYMNTS
• На Северную Корею приходится 76 % потерь от криптовзломов в 2026 году — The Block
• Долгая игра: Как северокорейские шпионы потратили месяцы на личное общение, чтобы вывести 285 миллионов долларов из Drift — CoinDesk
• Взлом Drift на 285 миллионов долларов отслежен до шестимесячной операции социальной инженерии КНДР — The Hacker News
• Взлом протокола Drift: Как привилегированный доступ привел к потере 285 млн долларов — Chainalysis
• Северная Корея похитила 292 млн долларов у KelpDAO — DeFi организует крупнейшую операцию по спасению — Spoted Crypto
• Каталог известных эксплуатируемых уязвимостей — CISA
• Официальный сайт FS-ISAC