109 постов с тегом "Безопасность"

Треть опрошенных экспертов по криптографии теперь считают, что существует 50 %-я или выше вероятность того, что квантовые компьютеры взломают сегодняшнее шифрование блокчейна к 2035 году. Федеральная резервная система опубликовала документ, предупреждающий, что транзакции Bitcoin, записанные сегодня, уже уязвимы для будущей расшифровки. А компания Google установила внутренний дедлайн до 2029 года для миграции своей собственной инфраструктуры аутентификации на квантово-безопасные алгоритмы. Часы с пометкой «Q-Day» — момент, когда криптографически значимый квантовый компьютер (CRQC) сделает текущую криптографию с открытым ключом устаревшей, — больше не являются теорией. Для Web3 вопрос заключается не в том, наступит ли это время, а в том, какие сети будут готовы, когда это произойдет.

Google говорит: 2029 год. Ethereum говорит: 2029 год. Гонка за замену каждого криптографического кирпичика в крупнейшей в мире платформе смарт-контрактов — без остановки машины — официально началась.

25 марта 2026 года Ethereum Foundation запустил pq.ethereum.org — специализированный центр безопасности, который объединяет результаты восьмилетних постквантовых исследований в единую дорожную карту действий. Более 10 команд разработчиков клиентов уже еженедельно запускают devnet-сети для проверки совместимости, тестируя квантово-устойчивые подписи в живых тестовых сетях. Посыл однозначен: эпоха отношения к квантовым вычислениям как к далекой гипотезе закончилась.

Каждый кошелек Ethereum, подпись валидатора и доказательство с нулевым разглашением опираются на одно и то же математическое допущение: факторизация больших чисел и вычисление дискретных логарифмов практически невыполнимы для любого компьютера. Квантовые машины со временем разрушат это допущение. Когда это произойдет, примерно 25% всех биткоинов по стоимости — и сопоставимая доля Ethereum — могут быть скомпрометированы всего за один день.

Ethereum Foundation не ждет наступления этого дня. 25 марта 2026 года организация запустила pq.ethereum.org — специализированный хаб постквантовой безопасности, который объединяет годы исследований в единую практическую дорожную карту. Более 10 команд разработчиков клиентов уже запускают еженедельные девнеты для проверки совместимости, а целевая дата обновлений основного уровня (Layer 1) намечена на 2029 год.

Это самая амбициозная криптографическая миграция, которую когда-либо предпринимала любая децентрализованная сеть, — и она уже идет.

Самая дорогая строка кода в истории криптовалют не была багом. Это была фишинговая ссылка.

В феврале 2025 года разработчик Safe{Wallet} кликнул по сообщению, которое казалось рутинным. В течение нескольких часов северокорейские оперативники захватили сессионные токены AWS, обошли многофакторную аутентификацию (MFA) и вывели $ 1,5 млрд из Bybit — крупнейшая кража в истории криптовалют. Ни одна уязвимость смарт-контракта не была использована. Ончейн-логика не дала сбоя. С кодом все было в порядке. С людьми — нет.

Отчет TRM Labs о криптопреступности за 2026 год подтверждает то, что предвещало это ограбление: эра эксплойтов смарт-контрактов как основной угрозы для криптоиндустрии закончена. Противники поднялись «выше по стеку», оставив поиски новых уязвимостей в коде ради компрометации операционной инфраструктуры — ключей, кошельков, сайнеров и панелей управления облаком, которые окружают в остальном безопасные протоколы.

Что, если бы вы могли доказать, что зарабатываете более 100 000 долларов в год, имеете действующий загранпаспорт или кредитный рейтинг FICO 800 — и все это без предъявления единого документа? Это обещание zkTLS, и в 2026 году эта технология стремительно переходит из области криптографической теории в производственную инфраструктуру.

Протокол Zero-Knowledge Transport Layer Security (zkTLS) расширяет возможности шифрования, которое уже защищает практически каждый веб-сайт, который вы посещаете. Вместо того чтобы просто защищать данные при передаче, zkTLS генерирует математические доказательства того, что определенные данные поступили из проверенного источника, — при этом сама исходная информация не раскрывается. Результатом является мост между закрытыми хранилищами данных Web2 и компонуемым, безразрешительным миром Web3.

Одна пропущенная проверка авторизации. Семнадцать дней незамеченной активности. Семьдесят восемь NFT уровня «голубых фишек» — включая работы Art Blocks, Doodles и Beeple — выведены из кошельков, владельцы которых даже не инициировали транзакцию. Эксплойт Gondi от 9 марта 2026 года — это наглядный пример того, как «функции для удобства» могут стать вектором атаки, и почему сектор кредитования NFT сталкивается с проблемами безопасности, с которыми DeFi на базе взаимозаменяемых токенов никогда не сталкивался.

12 марта 2026 года одна транзакция Ethereum превратила 50,4 млн долларов в USDT в 327 токенов AAVE стоимостью примерно 36 000 долларов. Потеря средств не была вызвана взломом, эксплойтом или багом в смарт-контракте. Каждый задействованный протокол — Aave, CoW Swap, SushiSwap — работал именно так, как было задумано. Пользователь подтвердил предупреждение о 99,9 % ценовом воздействии на мобильном устройстве, поставил галочку и наблюдал, как почти пятьдесят миллионов долларов испарились в MEV-ботах менее чем за тридцать секунд.

Этот инцидент стал самым дорогостоящим провалом UX в истории DeFi, и он заставляет задать неудобный вопрос: если системы без разрешений (permissionless), «работающие как задумано», могут уничтожить столько ценности, кто несет ответственность за предотвращение подобного?

Восемь вей (wei). Это примерно 0,000000000000000008 токена — количество настолько малое, что оно не имеет значимой долларовой стоимости. Тем не менее, 3 ноября 2025 года злоумышленник превратил ошибки округления такого масштаба в 128 миллионов долларов похищенных активов, опустошив пулы Composable Stable Pools протокола Balancer в девяти блокчейнах менее чем за тридцать минут.

Эксплойт Balancer V2 теперь является крупнейшим в истории мультичейн-взломом DeFi, вызванным одной уязвимостью. За одну ночь он уничтожил 52% от общего объема заблокированных средств (TVL) Balancer, прошел более десяти аудитов безопасности от ведущих фирм отрасли и вынудил одну сеть — Berachain — провести экстренный хардфорк, чтобы вернуть средства. Уязвимость? Всего одна строка кода, которая выполняла округление в неверном направлении.

Это заняло менее часа. 31 января 2026 года злоумышленник обнаружил, что в одной функции смарт-контракта в инфраструктуре моста CrossCurve отсутствует критическая проверка валидации — и планомерно вывел 3 миллиона долларов из сетей Ethereum, Arbitrum и других, прежде чем кто-либо успел среагировать. Никаких сложных уязвимостей нулевого дня. Никаких компрометаций ключей инсайдеров. Просто сфабрикованное сообщение и вызов функции, который мог выполнить любой желающий в блокчейне.

Инцидент с CrossCurve — это суровое напоминание о том, что кроссчейн-мосты остаются самой опасной поверхностью для атак в децентрализованных финансах — и что даже протоколы, обладающие многослойной архитектурой безопасности, могут рухнуть, когда один-единственный контракт оказывается уязвимым.