Якщо ви перебуваєте у web3 більше п’яти хвилин, ви або були обмануті, або майже стали жертвою шахрайства, або на один невдалий клік від того, щоб приєднатися до клубу. Не кажучи вже про великі шахрайства, які потрапляють на перші сторінки новин. Розгляньте звичайні речі, такі як фальшиві спливаючі вікна MetaMask, посилання на обмін на децентралізованих біржах, які виглядають легітимно, але не є такими, або випадкові сторінки містів, які Google із задоволенням виштовхує на вершину ваших пошукових запитів.

Резюме

• Шахрайства вибухають — шахрайство з криптовалютою досягло щонайменше 9,9 мільярда доларів у 2024 році, з дедалі більш складними фішинговими атаками та підробленими DeFi сайтами, які підривають довіру навіть експертних користувачів.
• Безпека розглядається як необов'язкова — незважаючи на наявні інструменти, захист від фішингу не вбудований у базову інфраструктуру, що призводить до зупинки впровадження через побоювання щодо безпеки.
• Квантовий ризик нависає — до 2030 року системи повинні впровадити постквантову криптографію; без неї, в поєднанні з фішингом, web3 зіткнеться з кризою довіри.
• Терміновість дій у галузі — безпека повинна бути пріоритетом, як масштабування або доходи DeFi, інакше майбутні багатомільйонні зломи змуслять вжити заходів надто пізно.

У 2024 році криптоскеми принесли принаймні 9,9 мільярда доларів незаконного доходу, причому Chainalysis попереджає, що загальна сума може досягти рекорду в 12,4 мільярда доларів, оскільки надходять нові дані. Шахрайство в секторі стає більш витонченим, шахраї використовують більш переконливі фішингові сайти, підроблені платформи децентралізованих фінансів та тактики соціальної інженерії. Витонченість ускладнює виявлення та збільшує втрати, підриваючи довіру користувачів. Навіть досвідчені трейдери потрапляють у пастку.

І все ж, ширша криптоспільнота часто вважає це вартістю ведення бізнесу, що є божевіллям. Уявіть, якщо щоразу, коли ви входите в онлайн-банкінг, існує один шанс із десяти, що це фальшивий сайт. Люди б бунтували. У web3, однак, є просто знизування плечима; люди твітять "бережіть себе, анонім" і сподіваються на краще.

Це проблема, яку можна виправити

Технологія вже існує для виявлення фішингових сайтів, підроблених смарт-контрактів та шкідливих мостів до того, як ви з ними взаємодієте. Проблема в тому, що це розглядалося як необов'язкове доповнення, а не як основна частина стеку. Люди втрачають тисячі доларів щотижня, обмінюючи токени на тому, що виглядало як легітимний інтерфейс біржі. Єдине, що рятує їх, часто є безпековий інструмент на базі браузера, який позначає сторінку за кілька секунд до того, як вони натискають "Підтвердити."

Розглядати фішинг як проблему особистої безпеки грубо недооцінює його вплив на ширший ринок. Роздрібне прийняття не зупиняється через те, що технологія не є достатньо масштабованою. Воно зупиняється, бо люди не довіряють, що їхні гроші в безпеці. Хоча деякі можуть стверджувати, що шари безпеки - це просто центральні точки збоїв, вже існує значна залежність від постачальників інфраструктури, індексаторів, вузлів віддалених процедурних викликів, гаманців та десятків інших вузьких місць. Вдавати, що додавання надійного захисту від фішингу якимось чином компрометує етику, є слабким виправданням, враховуючи високі ставки.

Часова бомба квантових обчислень

Є ще одна проблема, про яку більшість людей недостатньо думає: безпека після квантових обчислень. Уряд США вже встановив терміни, згідно з якими всі системи повинні перейти на постквантову криптографію до 2030 року, а старі алгоритми повністю виведуть з обігу до 2035 року, що означає, що велика частина інфраструктури блокчейн існує на позичений час. Поєднайте це з неконтрольованими фішинговими атаками, і у вас є ідеальні умови для руйнування довіри. Web3 не буде сприйматися серйозно в постквантовому світі, якщо все ще втрачає мільярди на підроблені посилання.

Найбільший відмовка полягає в тому, що користувачі повинні бути більш обережними. Пішоходи повинні дивитися в обидва боки перед тим, як перейти вулицю, але у нас все ще є світлофори з якоїсь причини. Очікувати, що кожен новий власник гаманця миттєво розпізнає фішингове посилання, нереалістично, особливо коли шахраї стають все кращими в імітації законних платформ. Ми витратили роки на те, щоб зосередитися на масштабуванні, композабельності та ліквідності між мережами. Тим часом, найпоширеніша скарга користувачів залишається: "Я втратив свої монети."

Ставки вищі, ніж люди думають

Крипто-рідні шахрайства виходять далеко за межі своїх початкових кордонів. Вони більше не обмежуються біржами або яскравими DeFi протоколами; вони поступово проникають у сусідні галузі та підривають довіру в цілому екосистемі. Мости та валідатори залишаються очевидними цілями, але вони далеко не єдині. Телекомунікаційні провайдери, енергетичні оператори, виробники Інтернету речей, ланцюги постачань і навіть системи оборони, які взаємодіють з компонентами на основі блокчейн, тепер є потенційними точками входу. Кожна нова інтеграція створює ще одну поверхню для компрометації, ще одне відкриття для зловмисників, і ще один множник ризику, який підриває громадську довіру.

Якщо ви керівник проєкту, ви стикаєтеся з двома неприємними реальностями. По-перше, безпека, стійка до квантових атак, не є віддаленою академічною метою; вона швидко наближається до того, щоб стати жорсткою регуляторною вимогою менш ніж за десятиліття. По-друге, кожна гучна фішинг-атака або кампанія зі збору облікових даних між теперішнім часом і терміном дедлайну зменшує вашу базу користувачів, вашу довіру і вашу загальну заблоковану вартість, шкода, що безшумно накопичується з часом і значно важче відновити, ніж запобігти.

Зараз саме час спрямувати таку ж кількість інновацій, фінансування та невпинних ітерацій у архітектуру безпеки, як це було зроблено в yield farming, випусках невзаємозамінних токенів та крос-ланцюговій ліквідності. Web3 не може переконливо називати себе майбутнім фінансів та інфраструктури даних, продовжуючи вважати фішинг лише проблемою "людської помилки". В якийсь момент екосистема повинна взяти на себе відповідальність.

Оглядаючись назад, ми майже напевно запитаємо себе, чому галузь так довго терпіло очевидні вразливості та чому вона не вирішила проблему фішингу в масштабах раніше. Приємною частиною є те, що ця проблема може бути вирішена з правильним пріоритизацією та вибором дизайну. Єдине справжнє питання, яке залишилося, це чи візьме галузь ініціативу зараз, чи чекатиме на наступний мільярдний злом, щоб змусити діяти.

! Девід Карвальо

Давид Карвальо

Давид Карвалью є засновником, генеральним директором та головним ученим Naoris Protocol, першого в світі децентралізованого рішення з безпеки, що працює на пост-квантовому блокчейні та розподіленому ШІ, яке підтримується Тімом Дрейпером та колишнім начальником розвідки НАТО. Маючи понад 20 років досвіду на посаді глобального директора з інформаційної безпеки та етичного хакера, Давид працював на технічному та рівні C-suite в багатомільярдних організаціях по всій Європі та Великій Британії. Він є надійним радником для держав та критичної інфраструктури під егідою НАТО, зосереджуючи увагу на кібер-війні, кібер-тероризмі та кібер-шпигунстві. Як піонер блокчейну з 2013 року, Давид зробив внесок у інновації в PoS/PoW видобутку та наступного покоління кібербезпеки. Його робота підкреслює зменшення ризиків, етичне створення багатства та ціннісно орієнтовані досягнення в криптовалютах, автоматизації та розподіленому ШІ.