58 постов с тегом "Безопасность"

В декабре 2025 года исследователи из Anthropic направили ИИ-агента на 405 реально взломанных смарт-контрактов. Агент создал рабочие эксплоиты для 207 из них — 51% — выведя 550 миллионов долларов в симулированных средствах. Стоимость одного успешного эксплоита? Всего 1,22 доллара.

Этот единственный статистический показатель отражает экзистенциальный кризис, с которым децентрализованные финансы столкнутся в 2026 году. Потеря 3,4 миллиарда долларов в результате крипто-хаков в 2025 году не была следствием отсутствия усилий — большинство атакованных протоколов прошли аудит, некоторые даже несколько раз. Это был провал парадигмы. И теперь a16z Crypto предлагает радикальную замену: отказаться от принципа «код — это закон» и принять «спецификация — это закон», где математически доказанные свойства безопасности и защитные механизмы времени выполнения (runtime guardrails) делают большинство эксплоитов структурно невозможными.

Совместный whitepaper от ARK Invest и Unchained сделал то, что никому ранее не удавалось в таком масштабе: в нем приводится точное число биткоинов, подверженных атакам квантовых вычислений. Ответ — 34,6 % от общего предложения, что составляет примерно 240 миллиардов долларов по текущим ценам — одновременно и тревожен, и обнадеживает. Тревожен, потому что он количественно оценивает то, от чего раньше просто отмахивались как от отдаленной гипотезы. Обнадеживает, потому что отчет также демонстрирует, что остальные 65,4 % BTC находятся в безопасности за криптографическим хешированием, которое квантовые компьютеры не могут взломать, и что у индустрии, скорее всего, есть десятилетие на подготовку.

27 декабря 2025 года злоумышленник воспользовался уязвимостью в уровне исполнения Flow, выпустил 87,4 миллиарда поддельных токенов и вывел 3,9 миллиона долларов через кроссчейн-мосты, прежде чем валидаторы успели нажать на тормоза. То, что произошло дальше, не было просто техническим анализом инцидента — это стало одним из самых показательных кризисов управления в истории блокчейна, заставив индустрию столкнуться с вопросом, который она избегала со времен форка DAO в Ethereum в 2016 году: когда блокчейн ломается, кто имеет право переписывать историю?

ИИ-агент, созданный инженером OpenAI, случайно отправил токены на сумму 450 000 $незнакомцу в X, который попросил SOL на 310$. Никакого взлома. Никаких эксплойтов. Просто сброс сессии, отсутствие защитных барьеров и необратимая блокчейн-транзакция. Инцидент с Lobstar Wilde в феврале 2026 года стал тревожным сигналом: если автономные агенты собираются распоряжаться реальными деньгами, индустрии нужна принципиально иная модель безопасности.

13 марта 2026 года MoonPay представила решение. Её CLI-кошелек теперь поставляется с нативной поддержкой аппаратного подписания Ledger — это делает MoonPay Agents первой платформой ИИ-агентов, где каждая ончейн-транзакция должна проходить через физическое устройство перед исполнением. Приватные ключи никогда не касаются среды выполнения агента. Агент предлагает — человек одобряет.

Каждый доллар, украденный в криптовалюте, создает спрос на тех, кто может его отследить. В 2025 году преступники перевели рекордные 158 млрд $через незаконные криптовалютные каналы — это на 145$.

В феврале 2026 года TRM объявила о раунде серии C на сумму 70 млн $под руководством Blockchain Capital при участии Goldman Sachs, Galaxy Ventures, Bessemer Venture Partners, DRW Venture Capital, Citi Ventures и Y Combinator. Этот сбор средств довел общий объем финансирования до 220 млн$ и позволил оценить компанию более чем в 1 млрд $ — статус «единорога» в индустрии, где продуктом является превращение преступности в нерентабельное занятие.

Ошибка копирования и вставки стоила одному криптотрейдеру 50 миллионов долларов в декабре 2025 года. Ни один смарт-контракт не был взломан. Ни один закрытый ключ не был скомпрометирован. Жертва просто скопировала адрес кошелька из своей истории транзакций — адрес, который выглядел почти идентично настоящему, но принадлежал злоумышленнику. Добро пожаловать в «отравление адресов» (address poisoning), самый коварный и недооцененный вектор атак в сфере DeFi.

В глубине кода смарт-контракта Balancer, прямо над функцией, которая в итоге привела к потере 128 миллионов долларов, находился комментарий разработчика: "ожидается, что влияние этого округления будет минимальным". Они ошиблись — на девять знаков.

3 ноября 2025 года злоумышленник воспользовался микроскопической ошибкой округления в Composable Stable Pools протокола Balancer V2, выведя средства из девяти блокчейн-сетей менее чем за 30 минут. Это не была эффектная атака повторного входа (reentrancy) или компрометация закрытого ключа. Это была арифметика — тип бага, который находится на виду, проходит через многочисленные аудиты и терпеливо ждет того, кто окажется достаточно умен, чтобы превратить его в оружие.

21 февраля 2025 года северокорейская группировка Lazarus Group совершила крупнейшую кражу криптовалюты в истории — 1,5 млрд долларов в Ethereum были выведены из холодного кошелька Bybit за одну транзакцию. Год спустя цифры рассказывают отрезвляющую историю: в то время как фирмы по блокчейн-аналитике изначально отследили 88,87 % украденных средств, заморожено было всего 3,54 %. Остальное распределено по тысячам кошельков в ожидании.

Это не просто история об ограблении. Это тематическое исследование того, как хакерская операция на государственном уровне переиграла инфраструктуру безопасности всей индустрии, и чему криптомир научился — или не смог научиться — за прошедшие двенадцать месяцев.

Когда один фишинговый звонок от лица службы поддержки Trezor стоил инвестору 284 миллиона долларов в январе 2025 года — что составило 71% всех скорректированных убытков от криптомошенничества за месяц — стало невозможно игнорировать криптоскам как проблему исключительно розничных пользователей. Отчет Chainalysis о криптопреступности за 2026 год подтверждает опасения исследователей безопасности: искусственный интеллект поставил мошенничество с криптовалютами на поток, и цифры поражают воображение.