70 постов с тегом "Безопасность"

Каждый кошелек Ethereum, подпись валидатора и доказательство с нулевым разглашением опираются на одно и то же математическое допущение: факторизация больших чисел и вычисление дискретных логарифмов практически невыполнимы для любого компьютера. Квантовые машины со временем разрушат это допущение. Когда это произойдет, примерно 25% всех биткоинов по стоимости — и сопоставимая доля Ethereum — могут быть скомпрометированы всего за один день.

Ethereum Foundation не ждет наступления этого дня. 25 марта 2026 года организация запустила pq.ethereum.org — специализированный хаб постквантовой безопасности, который объединяет годы исследований в единую практическую дорожную карту. Более 10 команд разработчиков клиентов уже запускают еженедельные девнеты для проверки совместимости, а целевая дата обновлений основного уровня (Layer 1) намечена на 2029 год.

Это самая амбициозная криптографическая миграция, которую когда-либо предпринимала любая децентрализованная сеть, — и она уже идет.

Самая дорогая строка кода в истории криптовалют не была багом. Это была фишинговая ссылка.

В феврале 2025 года разработчик Safe{Wallet} кликнул по сообщению, которое казалось рутинным. В течение нескольких часов северокорейские оперативники захватили сессионные токены AWS, обошли многофакторную аутентификацию (MFA) и вывели $ 1,5 млрд из Bybit — крупнейшая кража в истории криптовалют. Ни одна уязвимость смарт-контракта не была использована. Ончейн-логика не дала сбоя. С кодом все было в порядке. С людьми — нет.

Отчет TRM Labs о криптопреступности за 2026 год подтверждает то, что предвещало это ограбление: эра эксплойтов смарт-контрактов как основной угрозы для криптоиндустрии закончена. Противники поднялись «выше по стеку», оставив поиски новых уязвимостей в коде ради компрометации операционной инфраструктуры — ключей, кошельков, сайнеров и панелей управления облаком, которые окружают в остальном безопасные протоколы.

Что, если бы вы могли доказать, что зарабатываете более 100 000 долларов в год, имеете действующий загранпаспорт или кредитный рейтинг FICO 800 — и все это без предъявления единого документа? Это обещание zkTLS, и в 2026 году эта технология стремительно переходит из области криптографической теории в производственную инфраструктуру.

Протокол Zero-Knowledge Transport Layer Security (zkTLS) расширяет возможности шифрования, которое уже защищает практически каждый веб-сайт, который вы посещаете. Вместо того чтобы просто защищать данные при передаче, zkTLS генерирует математические доказательства того, что определенные данные поступили из проверенного источника, — при этом сама исходная информация не раскрывается. Результатом является мост между закрытыми хранилищами данных Web2 и компонуемым, безразрешительным миром Web3.

Одна пропущенная проверка авторизации. Семнадцать дней незамеченной активности. Семьдесят восемь NFT уровня «голубых фишек» — включая работы Art Blocks, Doodles и Beeple — выведены из кошельков, владельцы которых даже не инициировали транзакцию. Эксплойт Gondi от 9 марта 2026 года — это наглядный пример того, как «функции для удобства» могут стать вектором атаки, и почему сектор кредитования NFT сталкивается с проблемами безопасности, с которыми DeFi на базе взаимозаменяемых токенов никогда не сталкивался.

12 марта 2026 года одна транзакция Ethereum превратила 50,4 млн долларов в USDT в 327 токенов AAVE стоимостью примерно 36 000 долларов. Потеря средств не была вызвана взломом, эксплойтом или багом в смарт-контракте. Каждый задействованный протокол — Aave, CoW Swap, SushiSwap — работал именно так, как было задумано. Пользователь подтвердил предупреждение о 99,9 % ценовом воздействии на мобильном устройстве, поставил галочку и наблюдал, как почти пятьдесят миллионов долларов испарились в MEV-ботах менее чем за тридцать секунд.

Этот инцидент стал самым дорогостоящим провалом UX в истории DeFi, и он заставляет задать неудобный вопрос: если системы без разрешений (permissionless), «работающие как задумано», могут уничтожить столько ценности, кто несет ответственность за предотвращение подобного?

Восемь вей (wei). Это примерно 0,000000000000000008 токена — количество настолько малое, что оно не имеет значимой долларовой стоимости. Тем не менее, 3 ноября 2025 года злоумышленник превратил ошибки округления такого масштаба в 128 миллионов долларов похищенных активов, опустошив пулы Composable Stable Pools протокола Balancer в девяти блокчейнах менее чем за тридцать минут.

Эксплойт Balancer V2 теперь является крупнейшим в истории мультичейн-взломом DeFi, вызванным одной уязвимостью. За одну ночь он уничтожил 52% от общего объема заблокированных средств (TVL) Balancer, прошел более десяти аудитов безопасности от ведущих фирм отрасли и вынудил одну сеть — Berachain — провести экстренный хардфорк, чтобы вернуть средства. Уязвимость? Всего одна строка кода, которая выполняла округление в неверном направлении.

Это заняло менее часа. 31 января 2026 года злоумышленник обнаружил, что в одной функции смарт-контракта в инфраструктуре моста CrossCurve отсутствует критическая проверка валидации — и планомерно вывел 3 миллиона долларов из сетей Ethereum, Arbitrum и других, прежде чем кто-либо успел среагировать. Никаких сложных уязвимостей нулевого дня. Никаких компрометаций ключей инсайдеров. Просто сфабрикованное сообщение и вызов функции, который мог выполнить любой желающий в блокчейне.

Инцидент с CrossCurve — это суровое напоминание о том, что кроссчейн-мосты остаются самой опасной поверхностью для атак в децентрализованных финансах — и что даже протоколы, обладающие многослойной архитектурой безопасности, могут рухнуть, когда один-единственный контракт оказывается уязвимым.

ИИ-агенты, которые могут автономно торговать токенами, ребалансировать DeFi-позиции и оплачивать собственные вычисления, звучат революционно — до тех пор, пока один из них не подвергнется промпт-инъекции, в результате которой ваши сбережения будут отправлены злоумышленнику. Недавно опубликованный фреймворк безопасности MCP Web3 от Google Cloud решает именно этот кошмарный сценарий, предлагая план корпоративного уровня для защиты агентов Model Context Protocol, взаимодействующих с блокчейнами.

Вот что рекомендует фреймворк, почему это важно и как он соотносится с конкурирующими подходами от Coinbase, Ledger и развивающимся стандартом платежей x402.

Аудит безопасности указал на конкретный вектор атаки еще несколько месяцев назад. Команда отклонила это замечание. В воскресенье злоумышленник скрылся с 3,7 млн $.

Venus Protocol, доминирующая лендинговая платформа на BNB Chain с общей заблокированной стоимостью (TVL) около 1,47 млрд $, пострадала от разрушительного эксплойта с манипуляцией ценой 15 марта 2026 года. Злоумышленник нацелился на THE — нативный токен децентрализованной биржи Thena — подняв его цену с 0,27$ до почти 5 $с помощью тщательно спланированного цикла депозитов, займов и покупок. Результат: более 3,7 млн$ было выведено в BTC, CAKE, USDC и BNB, при этом примерно 2,15 млн $ остались в виде невозвратного «плохого» долга.

Что делает эту атаку примечательной, так это не только ее масштаб, но и стоящее за ней терпение — а также тот факт, что уязвимость была на виду у всех.