Какая инфраструктура нужна, чтобы противостоять взломам в Веб3

С вступлением в силу закона о легализации криптовалюты отечественный рынок цифровых активов заметно расширится. Появятся новые игроки, существенно вырастут объемы операций. Но вместе с ними вырастут и аппетиты злоумышленников, которые целенаправленно атакуют цифровые платформы и крадут криптоактивы. О том, какая инфраструктура и какие практики могут помочь бизнесу противостоять этим угрозам, рассказывает Денис Васин, технический директор Web3 Tech.

Что пошло не так в типичных случаях взломов в Веб3

Пока в Госдуме обсуждают законопроекты, определяющие правила оборота цифровых активов, будущие участники рынка Веб3 уже прикидывают, как новые правила отразятся на их бизнесе и, главное, насколько их инфраструктура готова к неизбежным взломам. Поскольку вопрос стоит уже не «если», а «когда»,

Свежий пример — взлом крипторублевой биржи Grinex. В апреле 2026 года в результате кибератаки с нее вывели порядка миллиарда рублей. Команда биржи заявила, что цифровые следы и характер атаки свидетельствуют о «беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств».

Однако часть независимых экспертов (Elliptic, TRM Labs, BitOK и другие) склоняются к тому, что инцидент имеет профиль типичной криминальной хакерской атаки с целью хищения криптоактивов: компрометация кошельков, быстрое отмывание активов через Tron (SunSwap) и консолидацию средств.

По оценкам киберкриминалистов, предпосылками к взлому могли стать компрометация ключей доступа к горячим кошелькам, слабая сегментация инфраструктуры, а также отсутствие многоуровневых политик контроля и одобрения транзакций.

В 2025 году общие потери отрасли Веб3 превысили $3,4 млрд. По данным Chainalysis, львиная доля пришлась на проблемы инфраструктуры и атаки цепочек поставок. Самый крупный инцидент — взлом ByBit на $1,5 млрд через компрометацию доверенного поставщика ПО. Среди других заметных случаев — потери у Cetus Protocol (более $200 млн) из-за уязвимости в коде, а также более мелкие инциденты вроде YieldBlox ($10 млн) и CrossCurve ($3 млн).

Даже без прямого взлома кода потери Веб3 проектов могут быть болезненными. Например, в 2020 году во время «Black Thursday» блокчейн-протокол MakerDAO из-за перегрузки сети Эфириума и нулевых ставок на аукционах ликвидаций потерял более $8 млн в залоговом ETH. В Compound Finance ошибка в смарт-контракте привела к несанкционированной раздаче COMP-токенов на сумму в $80 млн. А мост Nomad Bridge в ходе планового обновления потерял около $ 190 млн, так как критическая ошибка в коде сделала возможным принятие поддельных сообщений и спровоцировала массовый вывод средств.

Во всех перечисленных случаях злоумышленники через взлом и компрометацию всего одного узла или компонента платформы получали беспрепятственный доступ к огромным средствам. Как противостоять подобным сценариям? Нужно выстраивать инфраструктуру Веб3-компании по принципу нулевого доверия (Zero Trust).

Архитектура нулевого доверия

В основе подхода нулевого доверия лежит простой, но эффективный принцип: злоумышленник может быть внутри системы. Поэтому архитектура Веб3 проекта изначально строится с расчетом на то, что часть критических компонентов криптоплатформы уже скомпрометирована, но средства пользователей все равно должны оставаться в безопасности.

Следуя этому принципу, хранение криптоключей организовано внутри аппаратных модулей, и их физически нельзя извлечь. А каждая операция проходит через многоуровневые политики, например, дневные лимиты, автоматические проверки поведения, типы транзакций или конкретных участников, включая их мультиподписи.

Если система видит превышение лимитов или нестандартный паттерн, то срабатывает стоп-фактор, и транзакция может быть выполнена только после физического одобрения ответственным сотрудником компании (Human-in-the-loop).

В результате даже полный захват сервиса обработки транзакций не даст злоумышленнику вывести все средства. А одного взломанного аккаунта администратора уже будет недостаточно. Так как для крупной кражи активов потребуется сговор сразу нескольких сотрудников А это уже совсем другой уровень вероятности и сложности.

Все это работает внутри эшелонированной архитектуры, где сервисы политик вынесены в отдельные изолированные сегменты аттестованного ЦОДа, у которых нет прямого выхода в интернет; попасть туда можно только через два других сетевых уровня с обязательной взаимной аутентификацией.

Примерно так архитектура Zero Trust работает на практике. Здесь не доверяют никому и ничему по умолчанию: ни пользователям, ни администраторам, ни собственным разработчикам. Каждый запрос проверяется заново, каждый доступ дается по минимуму и только на ограниченное время.

Векторы Веб3 атак и кто за ними стоит

Если ранее большинство угроз в сфере Веб3 были связаны с уязвимостью смарт-контрактов, то теперь хакеры чаще бьют в инфраструктуру вокруг криптографии, включая манипуляции с данными и ордербуками, эксплуатацию сред разработки ПО (CI/CD), компрометацию цепочек поставок.

Для распределенных институциональных решений главную угрозу представляют организованные группы хакеров, например, такие как Lazarus Group, BlueNoroff или UNC4736. Их интересуют крупные суммы, и у них есть ресурсы на долгую и сложную подготовку. При этом профессиональные хакеры переходят от прямого взлома кода к многоэтапным кампаниям и комбинируют Веб2-векторы, такие как фишинг сотрудников, выявление уязвимости периметра и цепочек поставок с Веб3-спецификой. Например, в 2026 году похожим почерком отметилась атака на децентрализованную биржу Drift Protocol, где в первую очередь пострадали маркетмейкеры и поставщики ликвидности. Потери составили около $285 млн.

Помимо этого, высокие темпы развития ИИ-технологий, доступ к открытому коду, публичность блокчейнов и возможности мгновенной монетизации криптоактивов привели к снижению порога входа для совершения киберпреступлений. Так наряду с профессиональными группировками появились скрипт-кидди. Это неопытные хакеры, часто молодые люди, которые, глубоко не разбираясь в коде, с помощью доступных ИИ-агентов и чужих скриптов с GitHub пытаются взломать криптоплатформы на уровне базовых уязвимостей.Они действуют как спамеры, и неважно, что 99% их попыток провалятся. Важно, что 1% может достичь результата и нанести рынку Веб3 серьезный урон.

Две модели внедрения кастоди

Кастоди — это система для безопасного хранения и управления цифровыми активами с аппаратной защитой ключей. По нашим наблюдениям, сейчас для большинства компаний на российском рынке Веб3 оптимальной выглядит SaaS-модель этого решения. Подключились за десять минут, сразу получили рабочее кастоди с гибкими политиками, круглосуточным мониторингом и всеми сертификатами. Внутренний штат ИБ можно оставить минимальным, потому что основную работу берут на себя специализированные команды поставщика решения.

Тем, кому критически важен полный контроль и соответствие самым строгим внутренним требованиям, подходит локальная модель кастоди (on-premise). Ее внедрение занимает от шести месяцев, требует от заказчика наличия зрелого отдела информационной безопасности, но зато решение живет полностью внутри корпоративной инфраструктуры.

Почему стоит заняться этим вопросом прямо сейчас

Безопасность — это не архитектурное волшебство, а набор приоритетов, компромиссов и комплексная ежедневная работа. Поэтому бизнес постоянно балансирует на грани между надежностью, удобством и безопасностью.

Абсолютной защиты не бывает, и даже самые технологически продвинутые децентрализованные протоколы не становятся менее подверженными угрозам взлома. Что и было (в очередной раз) наглядно подтверждено в прошлом месяце — в течение 30 дней произошло 28 взломов DeFi-протоколов, было потеряно 635 млн долларов, и апрель 2026 стал самым «взломанным» месяцем за все время существования DeFi. Так что серебряной пули нет ни в распределенных, ни в децентрализованных моделях.

Однако выстроить эшелонированную оборону, которая выдержит удар хакеров и даст время на реакцию, можно уже сейчас. Задача надежной кастодиальной платформы — дать бизнесу такую инфраструктуру, чтобы работать с цифровыми активами спокойно, а не в постоянном ожидании инцидента.

Пришло время собирать тревожный чемоданчик. Российский рынок институционального Web3 только разгоняется, а практики и нормативная база еще формируются. Но ждать прихода идеальных стандартов нельзя. Начинать нужно сейчас, пока цена ошибки не столь высока.