135 постов с тегом "Безопасность"

Сто северокорейских оперативников. Пятьдесят три криптопроекта. Шесть месяцев кропотливой разведывательной работы — и неутешительный вывод: самая опасная атака КНДР на Web3 — это не очередной эксплойт, а инженер, который уже внедрил код в вашу ветку main в прошлом квартале.

Таков основной результат проекта Ketman — инициативы, поддерживаемой Ethereum Foundation и реализуемой в рамках программы безопасности ETH Rangers. Раскрытие данных в апреле 2026 года описывает не хакерскую атаку. Оно описывает рабочую силу — долгосрочный кадровый канал, который незаметно выкачивал доходы КНДР из крипто-зарплат, одновременно обеспечивая тот вид инсайдерского доступа, который делает возможными такие события, как кража 1,5 миллиарда долларов у Bybit.

Для индустрии, привыкшей считать риски со стороны КНДР чем-то, что происходит на уровне мультисигов, это качественный сдвиг. Угроза больше не звучит как «они взломают нас». Она звучит как «они уже внутри, и они сами написали скрипт сборки».

22 марта 2026 года злоумышленник внес около 100 000 $в USDC в протокол стейблкоинов, о котором большинство в криптосообществе никогда не слышало. Семнадцать минут спустя они ушли с примерно 25 миллионами$ в ETH. К концу недели фактический ущерб составил не 25 миллионов $. Он превысил **500 миллионов$**, распределившись по кредитным рынкам, которых сам эксплойт даже не коснулся.

Добро пожаловать в проблему «теневого заражения» DeFi: системный риск, который никто не закладывает в цену, потому что ни у кого нет карты «трубопровода».

Ночью 14 февраля 2025 года Хавьер Милей — самопровозглашенный «анархо-капиталистический» президент Аргентины — опубликовал ссылку на мемкоин под названием $LIBRA для своих миллионов подписчиков в X. В течение часа рыночная капитализация токена превысила 4,5 миллиарда долларов. К следующему утру она обвалилась на 96 %, что стерло примерно 251 миллион долларов из кошельков около 114 000 розничных трейдеров. В течение четырнадцати месяцев Милей настаивал на том, что он не имел прямого отношения к происходящему, утверждая, что просто «поделился информацией» о проекте, который не проверил должным образом.

Судебные документы, опубликованные в этом месяце, рассказывают другую историю. Согласно записям телефонных разговоров, полученным федеральной прокуратурой Аргентины и впервые опубликованным в The New York Times, Милей совершил семь телефонных звонков крипто-лоббисту Маурисио Новелли — ключевой фигуре, стоявшей за запуском LIBRA — именно в тот вечер, когда проводилась рекламная кампания. Звонки происходили как до, так и после того, как Милей нажал кнопку «опубликовать». Прокуроры также обнаружили в телефоне Новелли проект соглашения, предусматривающий выплату в размере 5 миллионов долларов, связанную с рекламной поддержкой президента.

Что, если бы вы могли защитить свой биткоин от квантовых компьютеров уже сегодня — без хардфорка, без софтфорка и не дожидаясь семь лет достижения консенсуса управления — при условии, что вы готовы платить около $ 200 за транзакцию?

Именно такое предложение содержится в новой статье от StarkWare, которая незаметно стала одним из самых важных исследовательских документов по биткоину в 2026 году. 9 апреля исследователь StarkWare Авиху Леви (Avihu Levy) опубликовал работу «QSB: Quantum Safe Bitcoin Transactions Without Softforks», и в течение 24 часов CoinDesk, The Quantum Insider и Bitcoin Magazine представили ее как потенциальный путь спасения для примерно 4 миллионов BTC — более $ 280 миллиардов по ценам апреля — которые уже находятся на квантово-уязвимых адресах.

Подвох реален. Но и облегчение тоже. Вместе они меняют представление о том, как серьезные держатели биткоина должны относиться к «Дню Q» (Q-Day).

7 апреля 2026 года министр финансов Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл собрали генеральных директоров Citigroup, Morgan Stanley, Bank of America, Wells Fargo и Goldman Sachs на экстренное совещание в штаб-квартире Министерства финансов. Предметом обсуждения был не крах банка, не решение по ставкам и не режим санкций. Речь шла об одной ИИ-модели, созданной исследовательской лабораторией из Сан-Франциско — Anthropic Claude Mythos Preview — которая незаметно обнаружила тысячи критических уязвимостей в каждой крупной операционной системе и каждом популярном веб-браузере, причем более 99 % из них до сих пор не исправлены.

Тремя днями ранее Anthropic анонсировала Project Glasswing: выделение до 100 млн долларов в виде кредитов на использование Mythos закрытой коалиции из двенадцати технологических, защитных и финансовых гигантов — AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks — а также более чем 40 ключевым мейнтейнерам программного обеспечения с открытым исходным кодом. Все остальные, включая Coinbase и Binance, остались вести переговоры за пределами этого периметра.

Для криптоиндустрии последствия глубже, чем запуск обычного инструмента безопасности. Glasswing — это первый случай, когда частная ИИ-лаборатория фактически определила двухуровневую экономику обнаружения уязвимостей, и криптоиндустрия, потерявшая более 3 млрд долларов из-за эксплойтов только в первой половине 2025 года, должна решить, находится ли она внутри или снаружи этого периметра.

Что на самом деле делает Mythos​

Формулировки самой Anthropic необычайно жестки. В ходе внутренних тестов Mythos выявила 27-летнюю ошибку в OpenBSD, которую не обнаружил ни один человек-аудитор, а затем выстроила цепочку последовательных уязвимостей для выхода из современных «песочниц» браузеров. Традиционный аудит смарт-контрактов занимает недели. Mythos генерирует эффективные пути атаки за секунды.

Эта асимметрия и есть главная новость. Модель не просто помечает потенциальные ошибки; она автоматически генерирует рабочий код эксплойта и координирует многоэтапные цепочки атак. В Anthropic сочли эти возможности «крайне опасными» для неконтролируемого публичного релиза, поэтому Mythos Preview недоступна через обычный API. Вместо этого доступ к ней ограничен рамками Glasswing.

Коалиция не является исследовательским сотрудничеством в академическом смысле. Участники получают живой доступ к Mythos для поиска уязвимостей в своих собственных системах — реализациях TLS, примитивах AES-GCM, демонах SSH, коде ядра, а в случае с JPMorgan — во внутренних стеках платежей и трейдинга, через которые ежедневно проходят триллионы долларов. Anthropic обязалась опубликовать публичный отчет в начале июля 2026 года, в котором будут подведены итоги исправлений, внесенных в рамках Glasswing за 90 дней.

Почему Coinbase и Binance теперь ведут переговоры за пределами периметра​

Директор по безопасности Coinbase Филип Мартин публично подтвердил, что компания находится в «тесном контакте» с Anthropic, формулируя цель как создание «ИИ-иммунной системы» — использование Mythos в оборонительных целях для сканирования собственных систем до того, как кто-то с сопоставимыми возможностями использует её для атаки. CSO Binance описал аналогичную оценку, сославшись как на преимущества для защиты, так и на расширение поверхности угроз.

Проблема асимметрии для криптобирж критична. Централизованная биржа хранит ключи горячих кошельков, балансы пользователей и кастодиальный стек, за проверку которых любой умеренно мотивированный злоумышленник заплатил бы семизначную сумму. Если Mythos — или модель эквивалентной мощности, утекшая от сотрудника, государственного актора или будущего конкурента с открытыми весами — попадет в руки злоумышленников до того, как биржи укрепят свои системы, окно эксплойта будет измеряться часами, а не кварталами.

В этом суть дилеммы Glasswing. Биржи, не входящие в коалицию, не могут использовать Mythos для предварительного аудита собственного кода. Они могут использовать инструменты второго уровня, но разрыв в возможностях имеет значение. Ошибка, которую Mythos находит за 30 секунд, может занять у человека-аудитора три недели, а противник с сопоставимым доступом к ИИ может обнаружить её за считанные минуты.

Контекст в 3 млрд долларов: почему асимметрия скорости — это экзистенциальная угроза для DeFi​

В первой половине 2025 года убытки платформ Web3 превысили 3 млрд долларов. Только на эксплойты контроля доступа пришлось 1,63 млрд долларов — ведущая категория в OWASP Smart Contract Top 10 того периода. В отчете FailSafe за 2025 год зафиксированы убытки в размере 2,6 млрд долларов в результате 192 инцидентов. Immunefi выплатила более 115 млн долларов в качестве вознаграждений за обнаруженные баги в более чем 400 протоколах и утверждает, что предотвратила потенциальные потери на сумму более 25 млрд долларов.

Теперь наложите возможности класса Mythos на эту модель угроз. Протокол с TVL в 500 млн долларов, который полагается на ежеквартальный аудит от топовой фирмы, уже проигрывал гонку хорошо оснащенным злоумышленникам. Когда одна сторона может автоматически генерировать цепочки эксплойтов за секунды, темп аудита, определявший безопасность DeFi с 2020 по 2025 год, перестает работать.

Оборонительный эквивалент существует, но отстает. AI Auditor от CertiK, выпущенный в открытый доступ после шести месяцев внутреннего тестирования, достигает совокупного показателя обнаружения в 88,6 % в 35 реальных инцидентах безопасности Web3 2026 года. Он запускает параллельные специализированные сканеры через многоэтапный валидатор для фильтрации дубликатов и неэксплуатируемых находок. За свою восьмилетнюю историю CertiK выявила более 180 000 уязвимостей и обеспечила безопасность цифровых активов на сумму более 600 млрд долларов.

Но 88,6 % — это не 100 %, а опенсорсный аудитор, работающий минуты, — это не то же самое, что передовая модель, рассуждающая о новых классах уязвимостей за секунды. Разрыв между тем, что получают партнеры Glasswing, и тем, что предоставляют публичные инструменты, является структурным.

Три конкурирующие архитектуры безопасности​

Криптоиндустрия теперь должна выбирать между тремя несовместимыми моделями безопасности в эпоху ИИ:

Публичные программы вознаграждения за ошибки (Immunefi). Децентрализованные, экономически согласованные, проверенные временем — выплачено 115 млн $, спасено 25 млрд$. Но структура стимулов предполагает, что атакующие и защитники действуют примерно с одинаковой скоростью. Mythos разрушает это предположение. «Белый» хакер, охотящийся за вознаграждением в 50 000 $, не может перебить ставку спонсируемого государством актора, платящего 5 млн$ за уязвимость нулевого дня в протоколе на 10 млрд $.

Аудит ИИ с открытым исходным кодом (CertiK, Sherlock, Cyfrin). Демократичный доступ к возможностям ИИ среднего уровня, 88,6 % попаданий, интеграция в рабочие процессы разработчиков. Сохраняет крипто-нативный этос, согласно которому инструменты безопасности должны быть публичными. Однако потолок возможностей ниже того, что получают партнеры Glasswing, и этот разрыв увеличивается по мере совершенствования передовых моделей.

Передовой ИИ с ограниченным доступом (Glasswing). Лучший в своем классе поиск уязвимостей, но только для участников частной коалиции, в которую в настоящее время не входит ни одна крипто-нативная компания. Создает четкие уровни киберзащиты, где внутри «стены» безопаснее, чем снаружи.

Эти три модели не исключают друг друга — биржа может запускать аудитор CertiK при каждом развертывании контракта, поддерживать программу вознаграждений на Immunefi и лоббировать партнерство с Glasswing — но они подразумевают совершенно разные структуры индустрии. Если Glasswing станет уровнем по умолчанию для «системно значимой» инфраструктуры, крупнейшие криптокастодианы столкнутся с давлением, требующим вступления, а протоколы, которые не смогут туда попасть, столкнутся с ценовым штрафом на их премию за риск.

Системный подход меняет всё​

Что сделало встречу Бессента и Пауэлла 7 апреля знаменательной, так это не тот факт, что регуляторы говорили с руководителями банков о киберрисках. Это происходит регулярно. Примечателен сам подход: кибервозможности уровня ИИ теперь рассматриваются как потенциальный катализатор системных финансовых событий, наравне с кризисом суверенного долга или крахом крупной клиринговой палаты.

Такая постановка вопроса имеет вторичные последствия для криптосферы. Эмитенты стейблкоинов, владеющие десятками миллиардов резервов, кастодианы, хранящие институциональные BTC и ETH, и механизмы сопоставления ордеров на биржах, обрабатывающие сотни миллиардов ежемесячного объема, — все они подпадают под определение «системно значимых», которое регуляторы начинают применять к киберрискам ИИ. Если следующая встреча в стиле Пауэлла-Бессента состоится, а руководство криптоиндустрии не будет за столом переговоров, это станет одновременно и сигналом, и проблемой.

Регуляторный сигнал важен, потому что в 90-дневном публичном отчете Glasswing в июле 2026 года будет опубликовано как то, что исправили партнеры, так и то, чему должна научиться отрасль в целом. Если в этом отчете будут задокументированы классы уязвимостей, которые Mythos обнаружил в критически важной инфраструктуре, а криптопротоколы не проделали эквивалентную работу, этот разрыв станет очевидным для регуляторов, страховщиков и институциональных аллокаторов, оценивающих риск контрагента.

Что это значит для провайдеров инфраструктуры​

Наступательный ИИ, работающий на машинной скорости, меняет периодичность аудита, необходимую для защиты рабочих систем. Протоколу или провайдеру инфраструктуры, которые полагались на ежегодные аудиты, квартальные тесты на проникновение и реактивное реагирование на инциденты, необходимо перейти к непрерывному имитационному моделированию атак (red-teaming) с помощью ИИ. Это дорого, и расходы распределяются по стеку неравномерно.

Для RPC-провайдеров, инфраструктуры API и сервисов нод, которые находятся между агентами и блокчейнами, задача состоит в том, чтобы укрепить поверхность, на которой завершается трафик, инициированный машинами. Объем транзакций, генерируемых агентами, уже создает иной профиль угроз, чем dApps, управляемые людьми: резкие всплески, предсказуемые графики и детерминированные графы вызовов, которые злоумышленник может смоделировать точнее, чем рассредоточенную базу пользователей-людей.

BlockEden.xyz управляет RPC и API инфраструктурой корпоративного уровня для Sui, Aptos, Ethereum, Solana и других крупных сетей, обеспечивая безопасность и надежность как для разработчиков-людей, так и для нагрузок автономных агентов. Изучите наши услуги, чтобы строить на инфраструктуре, разработанной для работы в условиях угроз, ускоренных ИИ.

Открытый вопрос в преддверии июля 2026 года​

90-дневный отчет Glasswing — это точка поворота. Если в нем будет задокументировано большое количество серьезных уязвимостей, исправленных в системах AWS, Google, Microsoft, Apple и JPMorgan, аргументы в пользу расширения коалиции станут сильнее, а на Anthropic усилится давление с целью добавления крипто-нативных участников или лицензирования доступа, эквивалентного Mythos, через официальные отношения с поставщиками. Если отчет не оправдает ожиданий — завысит количество находок CVE, задокументирует в основном ошибки низкой степени серьезности или выявит проблемы, которые уже фиксировались существующими сканерами — модель Glasswing потеряет часть своего регуляторного ореола, а альтернатива криптоиндустрии с открытым исходным кодом будет выглядеть относительно сильнее.

В любом случае, статус-кво 2020–2025 годов остался в прошлом. Сочетание экстренной встречи Бессента и Пауэлла, обязательств Anthropic на 100 млн $, 99$ означает, что безопасность в эпоху ИИ больше не является вопросом исследований. Это вопрос рыночной структуры, и ответ криптоиндустрии определит, будет ли следующий 100-миллиардный капитал на блокчейне находиться внутри защищенного периметра или за его пределами.

Источники​

• Представляем Claude Opus 4.7 — Anthropic
• Anthropic запускает Claude Opus 4.7 — CNBC
• Проект Glasswing: Обеспечение безопасности критически важного ПО в эпоху ИИ — Anthropic
• Превью Claude Mythos — red.anthropic.com
• Anthropic представляет превью новой мощной модели ИИ Mythos — TechCrunch
• Anthropic предоставляет некоторым фирмам ранний доступ к Claude Mythos — Fortune
• Coinbase и Binance стремятся получить доступ к Anthropic Mythos — Crypto Briefing
• «Слишком опасно»: Anthropic Mythos вызывает опасения по поводу криптовзломов — CoinGape
• Mythos от Anthropic не угрожает биткоину — CNBC
• Бессент и Пауэлл созывают руководителей банков на срочную встречу — Bloomberg
• Пауэлл и Бессент обсудили киберугрозу ИИ Mythos от Anthropic — CNBC
• ФРС и Казначейство предупреждают банки — CryptoSlate
• Статистика вознаграждений за обнаружение багов в смарт-контрактах 2026 — CoinLaw
• Программы Bug Bounty от Immunefi
• CertiK представляет ИИ-аудитора с показателем точности 88,6 % — CCN
• CertiK расширяет нативную ИИ-безопасность — CertiK
• О превью Anthropic Mythos и проекте Glasswing — Schneier on Security

12 марта 2026 года ориентированный на сообщество лаунчпад на Solana, обрабатывающий сотни тысяч долларов ежедневных комиссий, на короткое время превратился в ловушку для опустошения кошельков — при этом смарт-контракты, обеспечивающие его работу, остались нетронутыми. Bonk.fun, платформа мем-коинов под брендом letsBONK, поддерживаемая Raydium и BONK DAO, столкнулась с захватом домена, внедрением поддельного окна подписи «Условий обслуживания» во фронтенд и опустошением примерно 35 кошельков до того, как команда обнаружила взлом. Злоумышленникам не требовалась уязвимость нулевого дня. Им нужно было имя хоста.

Этот единственный час хаоса отражает то, о чем службы безопасности в сфере DeFi шептались с 2023 года и во весь голос заявляли после кражи 1,4 миллиарда долларов у Bybit: код на Solidity больше не является легкой мишенью. Ею стал фронтенд. И коллективное слепое пятно индустрии обходится пользователям дороже, чем любой эксплойт смарт-контракта в истории.

Что, если рынок стейблкоинов объемом 200 миллиардов долларов вот-вот выберет победителя, основываясь не на скорости, комиссиях или ликвидности, а на криптографии, которой еще нет в промышленной эксплуатации нигде больше?

Именно на это только что сделала ставку компания Circle. В апреле 2026 года эмитент USDC опубликовал полнофункциональную поэтапную дорожную карту квантовой безопасности для Arc, своего грядущего блокчейна первого уровня (Layer-1). Arc дебютирует в основной сети с опциональными квантово-устойчивыми кошельками и подписями на основе стандартизированной NIST решеточной криптографии. Ни одна другая крупная L1-сеть — ни Bitcoin, ни Ethereum, ни Solana — на данный момент не предлагает такого при запуске. Arc стремится стать первой цепочкой, где «постквантовая защита» — это готовая функция, а не дискуссия об управлении, отложенная на годы.

Время выбрано не случайно. За шесть дней до анонса Circle компания Google Quantum AI опубликовала исследование, в котором количество кубитов, необходимых для взлома криптографии на эллиптических кривых Биткоина, сократилось в двадцать раз. Теперь Google утверждает, что индустрии необходимо перейти на новые стандарты к 2029 году. Для блокчейна стейблкоинов, ориентированного на BlackRock, Visa, HSBC и десятилетние обязательства институциональных игроков, ответ «мы разберемся с этим позже» не является убедительным.

Нативный блокчейн для стейблкоинов с тяжеловесным трафиком в тестовой сети​

Arc — это не типичный «блокчейн крипто-венчурных капиталистов». Это операционная система для стейблкоинов, созданная компанией, выпускающей второй по величине регулируемый стейблкоин в мире.

Рыночная капитализация USDC составляет около 77,5 миллиардов долларов, уступая только Tether. Тестовая сеть Arc, запущенная в октябре 2025 года, уже насчитывает в качестве участников BlackRock, Visa, HSBC, AWS и Anthropic. Visa оценивает платежные рельсы на базе стейблкоинов для трансграничных расчетов. Команда цифровых активов BlackRock изучает варианты использования токенизированных фондов для ончейн-FX и рынков капитала. Это не просто примечания к пилотным программам — это институты, которые определяют, что на самом деле означает «корпоративный блокчейн» в 2026 году.

Технический стек сети настроен именно на эту аудиторию:

• USDC как нативный газ. Нет волатильного нативного токена для расчетов. Комиссии деноминированы в долларах и предсказуемы — функция, которую финансовые отделы требовали с 2017 года.
• Консенсус Malachite. Созданный командой, которую Circle приобрела у Informal Systems, Malachite — это формально верифицированный механизм византийской отказоустойчивости (Byzantine Fault Tolerant). Тесты показывают финальность около 780 миллисекунд со 100 валидаторами на блоках размером 1 МБ.
• Встроенный FX-движок. Система RFQ институционального уровня для круглосуточных расчетов PvP (платеж против платежа) между различными стейблкоинами.
• Опциональная конфиденциальность. Выборочно скрытые балансы и транзакции — реверанс в сторону предприятий, которые не могут публиковать каждую ведомость по зарплате в публичном обозревателе.

Генеральный директор Circle Джереми Аллер подтвердил на мероприятии в Сеуле 14 апреля 2026 года, что возможность создания нативного токена Arc активно рассматривается, прежде всего для управления, стимулирования валидаторов и экономического выравнивания, но не для газа. Газом остается USDC.

Суть предложения ясна: Arc — это сеть, на которой вы строите, если ваш отдел комплаенса читает раздел о криптографии.

Почему квантовая угроза внезапно стала насущной проблемой​

На протяжении большей части последнего десятилетия «квантовая угроза для Биткоина» была лишь темой для светских бесед. Все изменилось в марте 2026 года.

Google Quantum AI опубликовала исследование, показывающее, что взлом криптографии ECDSA, защищающей Bitcoin, Ethereum и практически все основные криптовалюты, теперь требует примерно в двадцать раз меньше кубитов, чем предполагали предыдущие оценки. В частности: менее 500 000 физических кубитов при времени выполнения, измеряемом минутами.

Более впечатляющая цифра в документе — риск в окне транзакции. В идеализированных условиях Google оценивает вероятность в 41%, что подготовленный квантовый компьютер сможет извлечь закрытый ключ из открытого ключа до того, как транзакция Биткоина будет подтверждена. Это атака на мемпул в реальном времени, а не многолетний взлом постфактум.

Google сопроводила это открытие конкретным дедлайном. В последующей статье, подхваченной Bloomberg, компания заявила, что её собственные системы — и, как следствие, более широкая финансовая инфраструктура, использующая те же эллиптические кривые — должны перейти на постквантовые схемы к 2029 году. Google осторожно отмечает, что это не прогноз взлома криптографии квантовыми компьютерами к 2029 году. Это позиция, согласно которой компания планирует быть готовой до того, как это произойдет.

Три месяца, три крупных статьи о квантовых вычислениях, одно последовательное направление: сроки сжимаются.

Реакцией Биткоина стало слияние BIP 360, вводящего квантово-устойчивый формат адресов под названием Pay-to-Merkle-Root, в официальный репозиторий улучшений. Но «слито» не значит «развернуто». Миграция подписей на уровне ядра для Биткоина, по реалистичным прогнозам, дело многих лет. В Ethereum ведутся активные обсуждения EIP, но нет согласованного графика. У Solana вообще нет официальной квантовой дорожной карты.

Arc запускается в основной сети уже сейчас.

Расшифровка постквантовой дорожной карты Arc​

Апрельская дорожная карта Circle 2026 года намечает четыре фазы, рассчитанные до 2030 года.

Фаза 1: Запуск основной сети — квантово-устойчивые кошельки и подписи. Arc внедрит CRYSTALS-Dilithium (теперь стандартизированный как ML-DSA) и Falcon в качестве основных постквантовых схем подписи. Обе были финализированы NIST в августе 2024 года в рамках FIPS 204. Обе основаны на решетках, что означает, что их безопасность опирается на вычислительную сложность структурированных задач на решетках — класса задач, для которых неизвестен эффективный квантовый алгоритм. Важно отметить, что Фаза 1 запускает их как опциональные, а не обязательные. Разработчики могут перенести свои кошельки, когда будут готовы; сеть не ломает существующий инструментарий в первый же день. Это осознанный выбор в пользу совместимости, признающий реалии экосистем разработчиков: сеть, которая блокирует все существующие библиотеки в день запуска, не получит институционального признания, независимо от того, насколько продвинута её криптография.

Фаза 2: Шифрование приватного состояния. Следующий уровень оборачивает открытые ключи в симметричное шифрование для защиты балансов и данных транзакций от слежки в квантовую эпоху. Это решает проблему «собирай сейчас, дешифруй позже» (harvest now, decrypt later): злоумышленник, который перехватывает сегодняшние данные блокчейна, сможет расшифровать исторические графики транзакций после появления криптографически значимого квантового компьютера. Для финансов на стейблкоинах, где метаданные платежей являются коммерческой тайной, это не теория.

Фаза 3: Безопасность валидаторов. Сообщения консенсуса, аттестации и связь между валидаторами получают постквантовые подписи. Это закрывает брешь, в которой злоумышленник мог бы нацелиться на уровень консенсуса, а не на транзакции отдельных пользователей.

Фаза 4: Оффчейн-инфраструктура. Финальная фаза распространяет защиту на протоколы связи, облачные среды, аппаратные модули безопасности (HSM) и средства контроля доступа. Полный стек означает полный стек.

Поэтапная структура дорожной карты сама по себе является отличительной чертой. Arc не претендует на то, чтобы быть «квантово-безопасным с первого дня», как это часто преувеличивают в маркетинговых презентациях. Он претендует на роль первого L1-блокчейна, где квантовая устойчивость является первостепенной осью проектирования, внедряемой поэтапно и по надежному графику.

Институциональная премия — и конкурентное позиционирование​

Вот аргумент, который Arc приводит участникам своего тестнета: криптографическая гибкость теперь является отдельной строкой в оценке рисков институциональных игроков.

Аллокатор масштаба BlackRock, оценивающий, какую сеть использовать для токенизированного фонда денежного рынка с десятилетним горизонтом планирования, не может предполагать, что подписи ECDSA, защищающие этот фонд, по-прежнему будут считаться безопасными в 2035 году. Консервативное решение о выборе платформы — это выбор сети, у которой уже есть дорожная карта, а не той, которая будет искать решение на ходу.

Это создает динамику «квантовой премии», которой не существовало в предыдущих соревнованиях L1-сетей. Прямыми конкурентами Arc в сфере расчетов по институциональным стейблкоинам являются:

• Tempo — строится вокруг соответствия стандарту ISO 20022 для обмена сообщениями в сфере традиционных финансов.
• Pharos Network — ориентирована на коммерческие финансы с KYC на уровне блокчейна, недавно привлекла 44 млн $в рамках Серии A при оценке в 1 млрд$.
• Ethereum mainnet + L2-решения — действующий лидер с самой глубокой ликвидностью, но и с самыми старыми криптографическими допущениями.
• Solana, Aptos, Sui — высокопроизводительные сети общего назначения с большим объемом операций в стейблкоинах, но без специфических дорожных карт по переходу к квантовой устойчивости.

У каждой из них есть реальные сильные стороны. Но ни одна из них на данный момент не соответствует сочетанию характеристик Arc: нативный газ в USDC, банковская и финтех-дистрибуция Circle (Visa, Stripe, Coinbase), завершенность транзакций менее чем за секунду и квантовая устойчивость как фундаментальное проектное требование. Для институтов, оптимизирующих криптографические риски наряду с производительностью и соблюдением нормативных требований, это уникальный набор преимуществ.

Скептический взгляд также имеет право на жизнь. Квантовые атаки на ECDSA сегодня остаются гипотетическими. Сеть, запущенная в 2023 году со стандартной криптографией, не была взломана и не будет взломана завтра. Ставка Arc на квантовую защиту может стать актуальной только в 2030 году — если она вообще будет иметь значение в те сроки, которые сейчас прогнозируют исследователи квантовых технологий. Добровольная миграция (opt-in) означает, что безопасность реальна только для тех пользователей, которые сами ее выберут, по крайней мере на первом этапе (Phase 1).

Контраргумент проще: криптографическая миграция — это запаздывающий индикатор. К тому времени, когда необходимость в ней станет очевидной, будет слишком поздно проводить тихую модернизацию. Arc закладывает в цену риски экстремальных событий из «толстого хвоста» распределения.

Что это значит для разработчиков и инфраструктуры​

Для разработчиков практическое значение заключается в том, что постквантовые примитивы кошельков — когда-то бывшие лишь академическим любопытством — вот-вот станут функцией основной сети с реальным трафиком.

Дизайн Arc с возможностью добровольного выбора означает, что инструментарий должен развиваться: SDK, которые представляют выбор схемы подписи как первоклассный параметр; эксплореры, которые корректно отображают подписи ML-DSA; HSM, поддерживающие ключи Dilithium; и API, которые обслуживают как классические, так и постквантовые транзакции без фрагментации опыта разработчиков. Командам, создающим продукты на Arc, нужно будет учитывать, какой класс подписи ожидает пользователь или смарт-контракт, и как мигрировать пользователей между ними, не нарушая существующие балансы или потоки авторизации.

Для поставщиков инфраструктуры блокчейна — RPC, индексации и сервисов данных — сдвиг менее драматичен, но все же реален. Операторы узлов должны поддерживать новые пути проверки подписей. Индексаторы должны распознавать типы постквантовых транзакций. Потребители API, пишущие агентов или DeFi-бэкенды, должны быть готовы к миру, где не каждая подпись представляет собой объект ECDSA одной и той же формы.

Более широкий вывод заключается в том, что криптографическое разнообразие приходит на прикладной уровень. В течение десятилетия разработчики могли исходить из допущения «secp256k1 или Ed25519». В следующем десятилетии поверх них будут наслоены постквантовые схемы, и те сети, которые сделают этот переход плавным для разработчиков, привлекут институциональные рабочие нагрузки.

BlockEden.xyz предоставляет RPC- и API-инфраструктуру корпоративного уровня для Sui, Aptos, Ethereum, Solana и более чем 20 других сетей. Поскольку ориентированные на стейблкоины сети, такие как Arc, внедряют постквантовые примитивы в mainnet, надежный доступ к данным через различные схемы подписи и механизмы консенсуса становится обязательным требованием. Изучите наш маркетплейс API, чтобы строить на инфраструктуре, готовой к будущему.

Q&A: Вопросы, которые на самом деле задают институциональные аллокаторы​

Является ли Arc первым квантово-устойчивым блокчейном? Не первым, кто заговорил об этом — QANplatform, Algorand и некоторые другие уже представили частичные постквантовые функции. Arc — это первая крупная L1-сеть со значительной институциональной поддержкой, которая рассматривает квантовую устойчивость как проектное требование на уровне основной сети, с поэтапной дорожной картой до 2030 года и использованием схем, стандартизированных NIST (ML-DSA, Falcon).

Насколько близки квантовые компьютеры к тому, чтобы действительно взломать Биткоин? Точно неизвестно, но сроки быстро сокращаются. В статье Google от марта 2026 года оценочная потребность в кубитах была снижена до менее чем 500 000 физических кубитов. Текущие квантовые системы исчисляются несколькими тысячами кубитов. Большинство экспертов называют самой ранней заслуживающей доверия датой начало 2030-х годов, при этом 2029 год является рекомендованным Google крайним сроком для миграции.

Есть ли у Arc токен? На момент запуска — нет. Нативным газом является USDC. Генеральный директор Джереми Аллер подтвердил 14 апреля 2026 года, что Circle активно изучает возможность создания нативного токена Arc для управления и стейкинга, отдельно от газа.

Что на практике означает «добровольная» (opt-in) квантовая устойчивость? Пользователи и разработчики могут выбирать подписи ML-DSA или Falcon при создании кошелька. Существующие кошельки ECDSA продолжают работать. Миграция является добровольной на первом этапе (Phase 1), что сохраняет совместимость, но означает, что на первых порах преимущества безопасности получают только те пользователи, которые осознанно относятся к квантовым рискам.

Какие институты участвуют в тестнете? Публично названы BlackRock, Visa, HSBC, AWS и Anthropic, а также региональные эмитенты стейблкоинов. Каждый из них выполняет рабочие нагрузки промышленного масштаба: трансграничные платежи (Visa), операции с токенизированными фондами (BlackRock), банковские интеграции (HSBC).

Десятилетняя ставка​

Честная формулировка такова: Arc — это ставка на то, что предстоящее десятилетие будет определяться притоком институционального капитала в блокчейны и что эти институты будут все чаще оценивать криптографический риск так же, как они уже оценивают кредитный риск и риск контрагента.

Если эта ставка окажется верной, блокчейны, первыми внедрившие постквантовую криптографию — еще до того, как это стало кризисом, и до того, как возникли вопросы у директоров по информационной безопасности (CISO), — получат устойчивое конкурентное преимущество. Если же она окажется неверной, Arc все равно останется высокопроизводительным L1 для стейблкоинов с нативным газом в USDC и высочайшим уровнем институционального принятия. Риск здесь ограничен, а потенциал роста заключается в занятии структурной позиции в центре регулируемых ончейн-финансов.

В любом случае, вектор обсуждения сместился. Квантовая устойчивость больше не является теоретической проблемой 2030-х годов. Это пункт дорожной карты на 2026 год, вопрос в RFP на 2027 год и требование аудита вскоре после этого. Circle только что сделала этот вопрос главной темой обсуждения.

Источники​

• Circle защищает блокчейн Arc от квантовых угроз будущего (CoinDesk)
• Дорожная карта постквантовой безопасности блокчейна Arc
• Circle представляет дорожную карту квантовой устойчивости для блокчейна Arc (Cryptonews)
• «Базовое требование»: Circle заявляет, что будущий Layer 1 Arc будет квантово-устойчивым (The Block)
• Сеть Arc от Circle раскрывает планы по квантовой устойчивости на фоне угроз для Bitcoin и Ethereum (Decrypt)
• Представляем Arc: L1-блокчейн для финансов на базе стейблкоинов (Circle)
• Что такое Arc? Стейблчейн, созданный эмитентом USDC — Circle (CoinGecko)
• Circle (CRCL) запускает тестнет блокчейна Arc при участии Visa, BlackRock и HSBC (CoinDesk)
• Защита криптовалюты путем ответственного раскрытия квантовых уязвимостей (Google Research)
• Доклад Google предупреждает криптоиндустрию о квантовых рисках к 2029 году (Bloomberg)
• Вниманию разработчиков Bitcoin: Google заявляет, что переход на постквантовую защиту должен произойти до 2029 года (CoinDesk)
• «Больше не учения»: последний квантовый прорыв Google вызывает новые споры (The Block)
• NIST выпускает первые 3 финальных стандарта постквантового шифрования (NIST)
• Circle «изучает» запуск токена сети Arc и переход на Proof-of-Stake (Decrypt)

Что происходит, когда ИИ-агенту нужно за что-то заплатить? Раньше ответ был запутанным: встроить приватный ключ в код агента, надеяться, что модель его не утечёт, и вручную проверять каждую транзакцию. Agentic Wallet от Coinbase, запущенный в феврале 2026 года, предлагает принципиально иной ответ — и он может определить способ защиты следующих 100 миллиардов долларов в криптовалюте под управлением ИИ.

Ключевая идея обманчиво проста: агент никогда не должен касаться ключей. Но инженерные решения, необходимые для работы этого механизма в масштабе, представляют одно из самых важных архитектурных изменений в инфраструктуре Web3 со времён смарт-контрактов, разделивших логику и хранение ценности.

Когда северокорейские хакеры вывели 286 миллионов долларов из Drift Protocol 1 апреля 2026 года, почти никто не ожидал, что спасение придет от Tether. Тем не менее, шестнадцать дней спустя крупнейший в мире эмитент стейблкоинов объявил, что возглавит сотрудничество на сумму 150 миллионов долларов для восстановления крупнейшей биржи бессрочных фьючерсов на Solana — выделив до 127,5 миллионов долларов собственного капитала, кредитную линию на 100 миллионов долларов с привязкой к выручке и пообещав в конечном итоге полностью возместить убытки пользователей в размере около 295 миллионов долларов.

Эта сделка беспрецедентна. У Aave есть свой Модуль безопасности (Safety Module). У Compound есть резервные фонды, обеспеченные COMP. MakerDAO поддерживает избыточный буфер. Все три варианта представляют собой схемы самострахования, созданные на основе токенов протокола и казначейских резервов. То, что Tether только что сделал для Drift, структурно отличается: внешний коммерческий эмитент стейблкоинов выступает в качестве частного кредитора последней инстанции для DeFi-протокола, которым он не владеет, не управляет и который не контролирует. Это меняет системную архитектуру децентрализованных финансов так, как рынок только начинает осознавать.

Взлом, заставивший задаться вопросом​

Drift является — или являлся до 1 апреля — крупнейшей децентрализованной биржей бессрочных фьючерсов на Solana. Причиной его падения стал не баг в смарт-контракте или сбой оракула. Это было человеческое доверие, использованное как оружие на протяжении шести месяцев.

Согласно отчетам The Block, Chainalysis и TRM Labs, атака началась осенью 2025 года, когда лица, выдававшие себя за представителей количественной торговой фирмы, обратились к контрибьюторам Drift на крупной криптоконференции. В течение последующих месяцев злоумышленники выстраивали отношения внутри команды, в конечном итоге получив достаточный доступ для выполнения необычного технического маневра с использованием функции Solana «durable nonces» (долговечные нонсы) — вспомогательного механизма, позволяющего подписывать транзакции заранее и выполнять их позже, иногда спустя недели.

Операторы использовали долговечные нонсы, чтобы заставить членов Совета безопасности Drift вслепую предварительно подписать спящие транзакции. Эти транзакции после запуска передали административный контроль над протоколом адресам, подконтрольным злоумышленникам. Оттуда атакующие внесли в белый список бесполезный поддельный токен под названием CVT в качестве залога, внесли 500 миллионов CVT по искусственно завышенной цене и взяли под него займ, чтобы вывести около 285 миллионов долларов в USDC, SOL и ETH.

Блокчейн-разведывательные фирмы Elliptic, Chainalysis и TRM Labs независимо друг от друга приписали инцидент субъектам угроз, связанным с Корейской Народно-Демократической Республикой. Это крупнейший эксплойт в сфере DeFi в 2026 году на данный момент и второй по величине инцидент в области безопасности в истории Solana, уступающий только взлому моста Wormhole на 326 миллионов долларов в 2022 году.

Как Tether структурировал план спасения​

16 апреля 2026 года Drift и Tether совместно объявили о пакете мер по восстановлению. Заявленная сумма составляет 150 миллионов долларов, но внутренняя архитектура важнее цифр.

• 127,5 миллионов долларов от Tether — основное обязательство, предоставленное через сочетание капитала и механизмов поддержки
• 20 миллионов долларов от партнеров по экосистеме — неназванных маркет-мейкеров и поставщиков ликвидности
• Кредитная линия на 100 миллионов долларов с привязкой к выручке — центральный элемент, структурированный таким образом, чтобы Drift погашал долг перед Tether из будущей торговой выручки, а не отдавал долю в капитале или контроль над управлением
• Грант экосистеме — безвозвратный капитал, предназначенный для операций по перезапуску
• Займы для маркет-мейкеров — отдельный механизм, расширяющий запасы USDT для назначенных маркет-мейкеров, чтобы обеспечить глубокую ликвидность с первого дня

Наиболее интересной с экономической точки зрения частью является кредитная линия с привязкой к выручке. Tether не покупает токены DRIFT, не занимает место в совете директоров и не приобретает долю в компании. Он предъявляет приоритетное требование на будущие торговые комиссии Drift. Этот выбор намеренно взвешен. Долевое участие создало бы регуляторные сложности — особенно в соответствии с правилами качества резервов закона GENIUS Act, которые теперь регулируют деятельность эмитентов стейблкоинов, имеющих отношение к США. Долю в выручке проще раскрыть, проще прекратить и проще охарактеризовать как коммерческое кредитование, а не как андеррайтинг ценных бумаг.

Пользователи не получат USDC или USDT напрямую из пула восстановления. Вместо этого Drift планирует выпустить специальный токен восстановления — отдельный от токена управления DRIFT — представляющий собой передаваемое требование к пулу. По мере накопления торговой выручки стоимость пула растет, и держатели токенов могут либо выкупить свои требования, либо продать их на вторичных рынках. Фактически это секьюритизированное требование по убыткам, деноминированное в будущих денежных потоках протокола.

Почему Tether сказал «да» — и почему это не альтруизм​

Очевидный вопрос заключается в том, зачем Tether ставить на кон 127,5 миллионов долларов ради протокола, проблемы которого он не вызывал, которым не управлял и который не может контролировать. Ответ кроется в одной строке пресс-релиза: Drift перейдет с USDC на USDT в качестве расчетного уровня при перезапуске.

Это единственное изменение стоит для Tether больше, чем обязательство в 127,5 миллионов долларов в любой разумной долгосрочной перспективе. До взлома Drift обрабатывал ежемесячные объемы бессрочных контрактов на миллиарды долларов, и почти все расчеты проводились в USDC. Перевод этого потока на USDT — в сети Solana, где исторически доминировал USDC — расширяет присутствие Tether на рынке, где он был структурно слаб.

Рыночная капитализация стейблкоина Tether в начале 2026 года составляет около 186,7 миллиарда долларов, что составляет примерно 58 % от общего рынка стейблкоинов в 317 миллиардов долларов. Но его доля на Solana годами отставала от USDC. Сделка с Drift — это прямая игра на объем расчетов в Solana, дополненная репутационным ореолом: стейблкоин, который «спас DeFi» в момент, когда экосистема была потрясена.

Существует также регуляторный аспект. Tether запустил USAT в начале 2026 года, чтобы соответствовать федеральным стандартам США в рамках режима качества резервов GENIUS Act. Репутация ответственного игрока во время крупного инцидента безопасности — фирмы, которая вмешалась там, где управление потерпело неудачу, — стоит значительного политического капитала, пока регуляторы определяют, как относиться к офшорным эмитентам.

Чем это отличается от всех предыдущих систем страхования DeFi​

DeFi уже видела восстановления после эксплойтов. Но ни одно из них не было похоже на это.

Safety Module от Aave опирается на держателей токенов AAVE, осуществляющих стейкинг в пул покрытия дефицита. В случае кризиса до 30 % застейканных активов могут быть слэшингованы (конфискованы) для покрытия убытков. Недавнее обновление Umbrella расширило покрытие на застейканные резервы GHO, USDC, USDT и WETH. Это самострахование — пользователи протокола, по сути, страхуют друг друга через токен.

Модель Compound исторически опирается на казначейство токенов COMP и управление сообществом для санкционирования поддержки в каждом конкретном случае. Автоматического механизма покрытия не существует.

Избыточный буфер MakerDAO со временем накапливает доходы протокола для поглощения безнадежных долгов, при этом эмиссия MKR является последним рубежом защиты при исчерпании буфера. Это также внутренний механизм — протокол платит сам себе.

Что общего у всех трех: капитал поддержки поступает изнутри протокола. Держатели нативных токенов первыми несут убытки. Управление одобряет механизм заранее. Протокол, в значительном смысле, является самозастрахованным.

Восстановление Drift — полная противоположность. Капитал поддержки поступает извне — от эмитента стейблкоинов, не имевшего ранее роли в управлении Drift. Токен DRIFT не принимал на себя первый убыток автоматически. Восстановление было предметом переговоров, а не срабатывания алгоритма. И оно произошло только потому, что Tether увидел в этом стратегическую ценность.

Это различие имеет значение, так как оно вводит новый шаблон: протоколы DeFi, потерпевшие неудачу, теперь потенциально могут быть спасены эмитентами стейблкоинов, но только если условия — миграция расчетной валюты, распределение доходов, обязательства по ликвидности — соответствуют коммерческим интересам эмитента.

Системные последствия, о которых никто не говорит​

Центральные банки существуют отчасти потому, что частные кредитные рынки периодически замирают и нуждаются в институте с достаточно крупным балансом и достаточно длинным горизонтом планирования, чтобы поглотить убытки, которые в противном случае вызвали бы каскадный эффект. «Дисконтное окно» ФРС, экстренная помощь в предоставлении ликвидности от ЕЦБ, механизмы маркет-мейкера последней инстанции Банка Англии — все это вариации на одну и ту же тему.

У DeFi никогда не было такого института. Ожидается, что протоколы будут самозастрахованы через свои токены, казначейства и управление. Когда самострахование терпит неудачу — как это неоднократно случалось от bZx до Iron Bank и бесчисленных более мелких инцидентов — пользователи просто теряют деньги. Иногда казначейство выплачивает частичную компенсацию. Иногда команда основателей восстанавливает проект и надеется на возвращение доброй воли сообщества. Чаще всего — ничего.

Сделка Drift-Tether предлагает иное равновесие: частный кредитор последней инстанции, действующий по своему усмотрению и движимый коммерческими мотивами, стоящий над уровнем протокола и готовый поглотить шок в обмен на преимущества в дистрибуции. Структурно это роль квазицентрального банка — только управляемого частной фирмой с балансом в 186 миллиардов долларов и собственными целями по извлечению прибыли.

Наблюдателям стоит быть осторожными и не радоваться этому слишком громко. Государственные центральные банки выступают в качестве кредиторов последней инстанции, потому что они подотчетны, прозрачны и юридически связаны мандатами системной стабильности. Tether не подотчетен никому, кроме своих владельцев и регуляторов в юрисдикциях, где он работает. Если баланс Tether станет де-факто страховкой DeFi, системная стабильность экосистемы станет зависимой от желания и способности одного офшорного эмитента вмешаться. Это другой вид централизации, отличный от того, от которого DeFi должен был уйти.

Существует также проблема отбора. Tether решил спасти Drift, потому что сделка имела смысл: конвертация USDC в USDT, доля рынка Solana, громкая победа. Не каждый взломанный протокол будет обладать такой стратегической привлекательностью. Небольшая DEX на небольшой сети, не имеющая значительного объема расчетов для конвертации, скорее всего, не получит ничего. Новый шаблон — это не «стейблкоины страхуют DeFi», а «стейблкоины выборочно спасают протоколы, восстановление которых служит их коммерческим интересам».

На что обратить внимание дальше​

Три сигнала покажут рынку, является ли это разовой акцией или началом новой закономерности.

Во-первых, будет ли пул восстановления действительно выплачивать средства. На бумаге структура элегантна, но она зависит от восстановления объема торгов Drift. Если пользователи не вернутся — если эксплойт, связанный с КНДР, навсегда повредит бренду Drift — механизм, привязанный к доходу, будет приносить мало наличности, и держатели токенов восстановления примут на себя дефицит. Первые двенадцать месяцев после перезапуска покажут, означает ли «выплата со временем» восемнадцать месяцев или десятилетие.

Во-вторых, ответит ли Circle. USDC потерял крупную площадку для расчетов на Solana. Если Circle не предпримет встречный шаг — возможно, объявит об аналогичном механизме поддержки после следующего эксплойта — неявный сигнал для DeFi-протоколов будет ясен: выбирайте партнера-эмитента стейблкоинов с учетом его возможностей по спасению.

В-третьих, будут ли регуляторы рассматривать это как коммерческое кредитование или нечто большее. Частный эмитент, открывающий кредитные линии взломанным протоколам, очень напоминает деятельность регулируемых банков, а банки сталкиваются с правилами в отношении капитала, концентрации и раскрытия информации, которых у эмитентов стейблкоинов в основном нет. Окно реализации закона GENIUS Act растягивается до 2026 года, и правоприменительные действия вокруг «коммерческой деятельности эмитентов стейблкоинов» являются одним из малоизученных рубежей этого свода правил.

Пока что Drift живет, у его пользователей есть путь к возмещению ущерба, а Solana избежала репутационной катастрофы. Это краткосрочная история, и она является настоящей победой. Долгосрочная история — о том, не утвердился ли Tether в роли неофициального центрального банка DeFi — только начинает разворачиваться.

---

BlockEden.xyz предоставляет RPC Solana корпоративного уровня и инфраструктуру индексации для бирж бессрочных фьючерсов, торговых площадок и DeFi-протоколов, строящихся на высокопроизводительных сетях. Изучите наш маркетплейс API, чтобы создавать проекты на фундаменте, рассчитанном на надежность промышленного уровня.

Источники​

• Tether возглавляет поддержку плана восстановления Drift на сумму 150 млн долларов США
• Drift получает финансирование в размере 148 миллионов долларов от Tether и партнеров (CoinDesk)
• Обновление по восстановлению после инцидента — 16 апреля 2026 г. (Drift)
• Протокол Drift взломан на 286 миллионов долларов в ходе атаки, предположительно связанной с КНДР (Elliptic)
• Взлом протокола Drift: как привилегированный доступ привел к потере 285 млн долларов (Chainalysis)
• Северокорейские хакеры атаковали протокол Drift, похитив 285 миллионов долларов США (TRM Labs)
• Инцидент с протоколом Drift: компрометация мультисиг-управления через эксплуатацию Durable Nonce (BlockSec)
• Drift связывает эксплойт на 280 миллионов долларов с шестимесячной операцией социальной инженерии (The Block)
• Документация модуля безопасности Aave (Safety Module)
• ФРС — Банки в эпоху стейблкоинов
• Риски стейблкоинов: тревожные сигналы (Bank Policy Institute)