Топ-26 криптовалютных рисков и ошибок 2026

Коротко Мифы и типичные ошибки пользователей крипты в 2026 году. Главный миф: «безопасный блокчейн = безопасные приложения». Главная ошибка: нехватка знаний, навыков и опыта. Перейти сразу к подробному описанию рисков криптовалют.

Наиболее актуальные проблемы использования крипты

Крипта даёт свободу, но и риски, которые постоянно изменяются. Ниже о том, что реально болит в 2026 году, и как не потерять деньги.

Люди и организации теряют свою криптовалюту по глупым и хитрым причинам, получают санкции и штрафы по незнанию, зарабатывают нервные срывы, а также становятся жертвами похищений и нападений вооруженных бандитов, которые хорошо разбираются в крипте. 

Мы проанализировали 26 криптовалютных рисков с точки зрения ошибок пользователей. То есть, с учетом восприятия, поведения, эмоций, привычек, стереотипов и других психологических явлений.

Наша работа позволит вам проверить ваши слабые места при использовании криптовалют. Мы посмотрели на проблемы их безопасности с высоты “птичьего полёта”, чтобы улучшить стратегическое понимание этих проблем и понять, как их решать на уровне пользователя.

Карта рисков Риски прямых ошибок пользователя: иллюзии, невнимательность, доверчивость, ошибки с паролями, ключами, кошельками и т. д. Технологические риски: проблемы блокчейна, CEX, DeFi, NFT, мостов, оракулов и т. д. Рыночные и инвестиционные риски: проблемы волатильности, ликвидности, стейблкоинов, непостоянные потери и мошенничество. Юридические и регуляторные риски: незрелость законов, проблемы AML/CFT, налогов, эмитентов и т. д. Прочие риски: физические, экологические и психологические.

Причины крипторисков

Причины современных криптовалютных рисков довольно разнообразны. В некоторых случаях больше ответственности на пользователе. В других — основная уязвимость закладывается на уровне технического проектирования или законодательства. 

Нельзя приуменьшать ответственность корпораций, разработчиков и владельцев криптопроектов и платформ, а также регуляторов, государства и других заинтересованных субъектов криптоиндустрии. Все риски, упоминаемые нами, носят системный характер. Их можно снижать только совместными усилиями всех перечисленных сторон. 

В то же время, наша цель сегодня — показать сложность, ширину и глубину криптовалютных рисков с точки зрения пользователя. В этом прикладной смысл, которому уделяется недостаточно внимания. Поэтому мы делаем акцент именно на пользовательских ошибках. Как говорится, “спасение утопающих — дело рук самих утопающих”. 

Блокчейн — бурно развивающаяся технология. Здесь очень трудно спроектировать и внедрить идеальные стабильные процессы и системы. Мы идём от обратного — выявляем наиболее крупные проблемы и решаем их в первую очередь. По аналогии, когда зарождалась автомобильная индустрия, правила дорожного движения тоже зачастую писались “кровью”.

Мини-глоссарий 2FA — Two-Factor Authentication — двухфакторная аутентификация. AML/CFT — Anti-Money Laundering and Combating the Financing of Terrorism — противодействие отмыванию денег и борьба с финансированием терроризма. CEX — Centralized EXchange — централизованная биржа (кастодиальная платформа). DApp — Decentralized Application — децентрализованное приложение. DEX — Decentralized EXchange — децентрализованная биржа (обычно некастодиальная). DeFi — Decentralized Finance — децентрализованные финансы. KYC — Know Your Customer — “знай своего клиента” — системы и процедуры идентификации клиентов. KYT — Know Your Transaction — “знай свою транзакцию” — оценка риска ончейн-адресов и транзакций. UI — User Interface — пользовательский интерфейс.

Ошибки как причины криптовалютных рисков

Криптотрейдеры, инвесторы, экономисты, покупатели и поставщики товаров и услуг, да и просто граждане, желающие сохранить свои сбережения в крипте, сталкиваются со множеством проблем безопасности. Каждая из них может стоить не только денег, времени и нервов, но даже здоровья и жизни.

Значительная часть реальных криптопотерь напрямую связана с заблуждениями, невнимательностью и небрежностью пользователей. Они допускают ошибки как при работе с личной криптовалютой, так и с активами организаций. 

Несмотря на то, что мы в основном занимаемся снижением корпоративных рисков ИТ и блокчейна, мы обнаружили, что многие крипториски можно рассматривать сквозь призму прав, знаний, навыков, восприятия и поведения пользователей. Корпоративные криптовалютные политики и процедуры часто незрелые и отстают от технологий. Поэтому в конечном итоге неправильные решения принимаются конкретными людьми.

Криптовалюты — не проверенная временем отрасль. Она сложная, плохо регулируемая, почти не подлежащая страхованию, и поэтому рискованная. Принимая или поддерживая решения по вовлечению в непроверенные технологии, пользователь создаёт ключевое звено в цепочке причин, приводящих к инцидентам. 

Ошибки пользователей возникают из-за нехватки знаний, навыков и опыта. Для уменьшения этих ошибок рекомендуем основательное теоретическое и практическое обучение. Мы уже рассказывали о таких ошибках и мерах снижения рисков. Дополним, углубим и освежим эти знания. 

Сосредоточимся на неправильных представлениях и решениях пользователей. Покажем, как их ошибки усугубляют рыночные, технические и другие криптовалютные риски. Наконец, научимся их снижать.

Главный миф безопасности блокчейна

Ещё в 2008 году Брюс Шнайер показал, что чувство безопасности — это совсем не реальная безопасность. При использовании криптовалют это отличие становится особенно заметно. 

Технология блокчейна изначально разрабатывалась для повышенного доверия и устойчивости, поскольку транзакции проверяются и не могут быть отменены. Крупные блокчейны обычно устойчивы к сбоям, так как узлы сети работают независимо друг от друга и от любого единого центра. В свою очередь, криптовалюта задумывалась как самодостаточное глобальное платёжное средство. 

Несмотря на эти фундаментальные свойства безопасности, на практике пользователи часто теряют средства из-за ошибок реализации и проектирования в приложениях, построенных на блокчейне. Например, из-за нарушений смарт-контрактов или атак на UI. Более того, распространенные векторы атак, такие как фишинг, вредоносное программное обеспечение (ПО), кража криптовалютных ключей и деанонимизация пользователей, напрямую нацелены на человеческие слабости. 

Основное противоречие безопасности криптовалют заключается в распространенном заблуждении, что внутренняя безопасность самого реестра блокчейна автоматически распространяется на безопасность всех приложений и сервисов, построенных на нем, или на операционные практики безопасности отдельных пользователей. 

Ошибочная идея о том, что блокчейн гарантирует безопасность и анонимность, приводит к ложному чувству защищённости и свободы, заставляя пользователей пренебрегать важнейшими правилами и практиками безопасности и приватности. Это противоречие представляется ключевой причиной всё более крупных потерь, несмотря на технологические достижения.

Группы криптовалютных рисков

Чтобы упростить работу с криптовалютными рисками, мы разделили их на пять групп, которые мы перечислили в начале, в “Карте рисков”. Это разделение условное, так как многие риски относятся одновременно к нескольким группам. 

Для улучшения классификации можно перейти от одномерных групп к многомерной матрице причин и следствий. То есть, не просто перечислять риски, а показывать, как они взаимосвязаны, и как одна и та же проблема может иметь несколько разнородных причин и последствий. Однако для начального ознакомления с рисками пока что достаточно простой, “плоской” группировки.

Начнём с прямых ошибок пользователя и продолжим технологическими, рыночными, инвестиционными, юридическими и прочими рисками.

Риски прямых ошибок пользователя

Неправильные действия пользователей были и остаются одними из наиболее критичных причин их финансового ущерба. 

У пользователей есть заблуждения, связанные с фундаментальными принципами работы блокчейна и реальной безопасностью отдельных методов и средств. Речь идёт, например, о некастодиальных и аппаратных кошельках, а также 2FA. Эти заблуждения укоренились настолько глубоко, что приводят к неадекватным мерам предосторожности, а в итоге — к потере средств.

1) Иллюзия безопасности self-custody и недооценка операционных рисков

В традиционных финансовых системах и даже на CEX безопасность в значительной степени управляется учреждениями. У пользователей, начинающих работать с криптовалютами, а особенно с некастодиальными кошельками или DeFi, создаётся критический пробел в образовании и привычках. 

Одно из распространенных заблуждений можно назвать иллюзией безопасности самостоятельного хранения ключей (self-custody). Когда вы храните ключи сами, вы исключаете злоупотребления или ошибки сторонних хранителей. Однако вы не застрахованы от собственных ошибок.

Более того, часто пользователи ошибочно считают, что им вполне достаточно безопасности самого ключа (например, на аппаратном кошельке). Возникает опасное ложное чувство безопасности. Пользователь усердно защищает свои ключи, но пренебрегает другими задачами операционной безопасности. Например, не проводит тщательных проверок платформ, к которым он подключается.

Лечение. Не переоценивайте идею всемогущества self-custody, которое само по себе хорошо, но безопасность — это множество нюансов, которые нужно учитывать с соразмерным вниманием.

2) Иллюзия эффективности 2FA и мультиподписей

Похожая иллюзия — пользователи часто демонстрируют чрезмерную уверенность в эффективности 2FA, считая ее панацеей для безопасности. Однако, например, 2FA играет гораздо меньшую роль в DeFi, чем в CEX. Просто потому, что доступ к финансам основан на владении приватным ключом, а не на проверке личности. 

Аналогично, мультиподпись снижает риск компрометации одного ключа, но не защищает, если скомпрометировано достаточное количество подписчиков или устройств, либо если пользователь сам подтвердил вредоносную транзакцию в DApp.

Получается когнитивный разрыв. Есть идеалы и теоретические свойства безопасности. А есть — практические реалии их реализации и взаимодействия с пользователями. Они проецируют базовую безопасность на всю экосистему блокчейна, не осознавая нюансы новых технологий и новые векторы атак, возникающие на уровне приложений или человеческого взаимодействия.

Лечение. Не переоценивайте идею всемогущества 2FA и мультиподписей. Они полезны, но — не панацея.

3) Ошибки управления паролями и приватными ключами (включая сид-фразы)

Если у вас нет уникальных сложных паролей для каждого сервиса, вы уязвимы. Использование слабых, легко угадываемых или повторно используемых паролей для кошельков, биржевых аккаунтов и связанных сервисов значительно повышает риск несанкционированного доступа. Компрометация одного аккаунта может привести к каскадному эффекту и потере активов на других платформах.

Приватные ключи и их аналоги — сид-фразы — это критические данные для доступа к криптовалютным активам и их контроля. Неправильное или небезопасное хранение, утеря или компрометация приватного ключа или сид-фразы приводят к безвозвратной потере всех активов, связанных с ними. 

Для сид-фраз есть две основные угрозы, разные по своей сути: утечка и утрата. Они противоположны с точки зрения мер безопасности. Пользователям нужно находить баланс между конфиденциальностью, целостностью и доступностью сид-фраз. Например, разумный компромисс — разделение сид-фразы на 2-4 части, их хранение в разных местах и передача людям, которым вы доверяете, но которые не знают друг друга.

Стоит повторить азбучные истины: сид-фраза должна храниться только на физических носителях, а не в электронном виде, и не должна использоваться в повседневной работе. Для текущей защиты кошельков вы используете пароли и пин-коды, но не сид-фразы. Небезопасное хранение сид-фразы, например, в цифровом виде на компьютере, в облаке, в электронных письмах и даже в виде фотографии или звукозаписи на внешнем носителе, делает сид-фразу уязвимой для хакерских атак и вредоносного ПО. 

Есть разные подходы к физическим материалам для сид-фраз: от ламинирования бумаги с фразой до гравировки на нержавеющих тугоплавких металлах. Всё зависит от величины ваших активов и ваших специфических рисков. В любом случае, даже короткое время сид-фразы не должны быть в цифровом виде, не считая моментов их ввода и вывода некастодиальными кошельками. Более того, не просто некастодиальными, а желательно аппаратными. О них — в следующем подразделе.

Лечение. Правильно управляйте паролями и сид-фразами: Создавайте сильные уникальные пароли. Используйте комбинации букв, цифр, символов (минимум 12-16 символов) и избегайте повторного использования. Используйте парольные менеджеры грамотно и осознавайте их риски. Разделяйте сид-фразы на части, записывайте на бумаге, металле или другом надёжном носителе в нескольких копиях и храните их в физически безопасных, огнеупорных, водонепроницаемых местах, а также у доверенных лиц. Отслеживайте транзакции и активность аккаунтов, а также утечки. Регулярно проверяйте историю транзакций и настраивайте оповещения о подозрительной активности. Пользуйтесь сервисом “Have I Been Pwned” для проверки утечек паролей.

4) Применение кастодиальных и программных кошельков

Что если ваш компьютер или смартфон уже взломан или заражен? Может такое быть? Вполне. Получается, что применение кастодиальных или программных кошельков — это существенный риск. Вашу крипту могут украсть с помощью вируса или другой малвари.

Тогда как защититься от криптокраж? Последняя и самая надёжная мера безопасности — аппаратный кошелёк. Только на его экране вы окончательно проверяете, куда вы отправляете деньги, — на нужный адрес или хакеру. И только кнопками аппаратного кошелька вы окончательно разрешаете или отменяете транзакцию.

Несмотря на то, что аппаратные кошельки (например, Ledger или Trezor) являются одним из наиболее безопасных способов защиты приватных ключей путем их офлайн-хранения, далеко не все пользователи используют эти устройства. 

Естественно, нет смысла покупать аппаратный кошелёк за 100 или 200 долларов для защиты активов на сравнимую сумму. Однако, если стоимость вашей криптовалюты превышает несколько тысяч долларов, то вам однозначно есть смысл приобрести и освоить аппаратный кошелёк.

Предоставлять ли производителю аппаратного кошелька свои личные данные, например, для сервиса восстановления доступа к утраченному кошельку? Если для повышения его целостности и доступности вы готовы немного пожертвовать своей анонимностью, то да.

Лечение. Используйте аппаратный кошелек для активов дороже нескольких тысяч долларов. После покупки аппаратного кошелька напрямую у крупного производителя подключите кошелёк к надёжному компьютеру и проверьте подлинность кошелька. Регулярно обновляйте его официальный софт и прошивки. Тем не менее всегда допускайте, что все ваши смартфоны и компьютеры уже взломаны. Поэтому окончательно полагайтесь только на UI аппаратного кошелька.

5) Ошибки с адресами, сетями и протоколами

Коснёмся невнимательности и ошибок при вводе адресов получателей, выборе блокчейн-сети или протокола транзакций. Простая опечатка в адресе получателя может привести к отправке средств на несуществующий или чужой адрес. Например, отправка токена ERC-20 по сети BNB Smart Chain. Из-за необратимости операций в блокчейне такие ошибки приводят к безвозвратной потере средств. 

Это усугубляется атаками мошенников. Они применяют метод отравления адресов (address poisoning). Злоумышленники отправляют ничтожно малые суммы на кошелёк пользователя, чтобы их адрес появился в истории транзакций. При этом данный адрес похож на легитимный, куда пользователь недавно отправлял средства. 

Мошенники эксплуатируют склонность пользователей доверять и повторно использовать адреса из своей недавней истории, проверяя только первые и последние несколько символов. Таким образом, пользователь может случайно отправить средства злоумышленнику при последующих транзакциях.

Главные меры снижения этого риска — внимательность, двойные проверки и принцип “четырёх глаз”. То есть, проверяет и запускает транзакцию по возможности не тот, кто её инициировал и подготовил.

Лечение. Всегда выполняйте двойную проверку адресов, протоколов и сетей. Тщательно проверяйте протоколы, сети и весь адрес получателя, а не только первые и последние символы. Не полагайтесь только на буфер обмена и QR-коды. Не копируйте адреса из истории. Для крупных переводов отправляйте сначала небольшую сумму для подтверждения корректности адреса и сети. В общем случае для любых рискованных транзакций разделяйте их на части.

6) Подверженность мошенничеству и социальной инженерии

Пользователи уязвимы перед обманом, манипуляциям и психологическим воздействием. Это часто приводит к ущербу. Атаки этого типа намного древнее, чем “Поле чудес” из сказки о Буратино. Постараемся описать их с учётом криптовалютной специфики. 

Социальная инженерия — это тактики обмана пользователей с целью кражи их средств или для других вредных действий. Фишинг — это один из самых распространенных видов цифровых атак вообще и социальной инженерии в частности. Часто мошенники создают поддельные веб-сайты, маскирующиеся под легитимные источники. Например, биржи, кошельки и криптопроекты. Злоумышленники отправляют пользователям электронные письма и сообщения, чтобы обманом заставить перейти на вредоносный сайт, выполнить вредоносный код, раскрыть приватные ключи, логины, пароли и т. д. 

Ирония кибербезопасности и излюбленный приём мошенников заключаются в их манипуляциях желанием пользователей защититься. Злоумышленники предлагают пользователям установить новый антивирус, новый безопасный кошелёк, проверить юридическую чистоту крипты и тысячи других “улучшений”. Пользователь попадается на эту удочку, кликает по ссылке и лишается всех своих средств.

Современные злоумышленники не просто выдают себя за службу поддержки или безопасности и пугают пользователя, создают у него ложное ощущение срочности и т. д. Мошенник может прямо во время видеосвязи с вами подделать видео и аудио, и убедительно сымитировать знаменитость, вашего начальника, сотрудника или родственника.

В последние месяцы выросли потери от кошельковых дрейнеров, особенно через фальшивые страницы «Claim/Check/Simulate», взломанные соцсети и рассылки «от имени проектов», а также фейковые KYC для открытия счетов от имени жертв. 

Участились “гнилые” сид-фразы и газ-honeypot. Жертва видит просьбу помочь и чью-то сид-фразу от кошелька с активами, но без газа. Как только жертва добавляет газ, его крадёт скрипт.

Вредоносное ПО (malware) загружается через фишинговые ссылки, поддельные приложения или зараженные веб-сайты. Оно позволяет хакерам получить доступ к устройствам пользователей, перехватывать учетные данные, красть ключи, манипулировать транзакциями или заниматься криптоджекингом — скрытно использовать ресурсы жертвы для майнинга криптовалюты. Вредоносные криптовалютные приложения встречаются даже в популярных магазинах приложений.

Мошенничества с инвестициями (Rug Pulls, Pump-and-Dump) также являются злоупотреблением доверием, однако ввиду своей специфики опишем эти риски отдельно немного ниже по тексту, в группе инвестиционных рисков.

Лечение. Защищайтесь от фишинга, поддельных сайтов, эксплоитов и другого вредоносного ПО цифровой гигиеной: Проверяйте адреса URL. Не переходите по подозрительным (то есть, нежданным) ссылкам в письмах/сообщениях. Устанавливайте ПО только из официальных магазинов по ссылкам с официальных сайтов проектов. Не доверяйте только магазинам. Регулярно обновляйте операционные системы, официальные приложения и прошивки кошельков, а также антивирусное ПО. Развивайте критическое мышление. Проверяйте и перепроверяйте разными каналами связи. Не злоупотребляйте автоподписанием.

7) Риски компрометации Web3-инфраструктуры и цепочки поставок

Проблема на стыке ошибок пользователя и технологических рисков.

Многие пользователи взаимодействуют с DeFi и кошельками через веб-интерфейс. Даже если смарт-контракт протокола безопасен, злоумышленник может атаковать “вход” в него. Подмена DNS, компрометация сайта, внедрение вредоносного скрипта, атака на зависимости (npm/пакеты), вредоносные браузерные расширения или компрометация RPC-провайдера могут привести к тому, что пользователь подпишет транзакцию не с теми параметрами, выдаст бесконечные одобрения (approvals) или отправит средства на адрес атакующего. Такие инциденты особенно опасны тем, что внешне выглядят “как обычно”, а пользователь видит знакомый домен/интерфейс.

Лечение: Не переходите в dApp по рекламе/случайным ссылкам. Используйте закладки и проверяйте домены/сертификаты. Ограничивайте одобрения. Выдавайте ровно столько, сколько нужно, и регулярно отзывайте старые разрешения. Используйте симуляцию транзакций и предупреждения кошельков о рисках (если доступно). Для крупных сумм используйте отдельный “чистый” браузерный профиль без лишних расширений и отдельный компьютер для криптоопераций.

Технологические риски

Пользователи ограниченно влияют на корневые причины рисков, связанных с инструментами и платформами блокчейна. Однако пользовательская неосторожность увеличивает эти риски.

Особо выделим эксплоиты смарт-контрактов: атаки reentrancy, мгновенных займов (flash loan), манипуляции оракулами и ошибки в параметрах администрирования. Эти типы атак нанесли наибольший финансовый ущерб сектору DeFi за последние 5 лет.

Риски, присущие блокчейн-инструментам и платформам, крайне разнообразны. Их дополняют инфраструктурные риски. Например, атаки MitM (“человек посередине”), проблемы с маршрутизацией и Sybil-атаки. 

8) Риски атак и сбоев на уровне блокчейна

Сбои на уровне блокчейна — это не абстрактная угроза, а вполне реальные риски для конечных пользователей. Операции замораживаются, деньги теряются, и доверие к активам снижается. 

Блокчейны мельче Биткоина подвержены не только внешним атакам, но и внутренним угрозам. Прежде всего, на уровне консенсуса. Примеры влияния на пользователей — ущерб из-за нарушения целостности транзакций, двойных трат или проблем доступности сервиса. Также сбои консенсуса угрожают пользователям DeFi. Они теряют доступ к кредитам, ликвидности и т. д.

Кейс. Летом 2025 года произошёл сбой L2-сети Base. Этот инцидент вызвал задержки и потери эффективности. Причина проблемы была в некорректной работе секвенсора — ключевого компонента, формирующего блоки. Такие случаи напоминают, что даже такие «стабильные» L2 как Base не застрахованы от сбоев при быстром росте.

Чаще всего приводится пример атаки 51%, монополизации сети. По мере роста и совершенствования блокчейнов с годами риски таких атак постепенно снижаются. 

Другой пример — цепные форки и оспаривания. Под форком понимается разделение сети из-за обновлений или конфликтов. Например, из-за несовместимых обновлений, при отказе узлов или попытках захвата сети. Конфликтные форки (contentious forks) могут привести к длительным разногласиям между узлами, перегрузкам, отказу в обслуживании или потерям активов. 

Наконец, ошибки в консенсусе. Например, сбои BFT (Byzantine Fault Tolerance). Сложные PoS-механизмы несовершенны. Валидаторы не синхронизируются, блоки не формируются, и сеть останавливается. Такое уже бывало у Solana. В такой период вы временно не сможете отправлять и получать транзакции, сервисы простаивают, вы теряете время и доверие к проекту.

Лечение: Используйте крупные устойчивые блокчейны и следите за их статусом в официальных мониторингах, ресурсах разработчиков и блокчейн-эксплорерах. Для диверсификации используйте мульти-чейн решения, только осторожно, так как у них свои риски. Не гоняйтесь за высокой доходностью в незнакомых и малых блокчейнах.

9) Риски CEX: взломы аккаунтов, кастодиальные потери, KYC-утечки

В экосистеме блокчейна существует парадокс централизации. Хотя децентрализация — это ключевая идея блокчейна, значительная часть работы с криптовалютой по-прежнему происходит на централизованных платформах.

Их уязвимости безопасности часто используются злоумышленниками в сочетании с пользовательскими ошибками. Киберпреступники эксплуатируют их и уязвимости программного обеспечения для взлома учётных записей, а затем крадут деньги. 

CEX являются основной целью для хакеров из-за больших объемов хранящихся там активов. Часто CEX регулируются меньше, чем банки. Криптовалютные активы трудно застраховать. Их потери чаще всего невозвратные.

Пользователи, использующие слабые пароли, не активирующие 2FA или подверженные фишингу, напрямую способствуют успешности атак на свои учетные записи на биржах.

Так возникает критическое напряжение в экосистеме: удобство и ликвидность, предлагаемые централизованными сервисами, достигаются за счет повышенного системного риска и отхода от основных обещаний безопасности децентрализации. Пользователь, выбирающий CEX, в неявном виде принимает на себя часть её биржевого риска.

Лечение: Выбирайте CEX, лицензированные в вашей юрисдикции. Если есть сомнения, выберите CEX из Топ-3. Например, вторую по величине в мире биржу Bybit. Воздержитесь от использования DEX, если не понимаете их риски. Применяйте 2FA и остальную цифровую гигиену. Используйте по-максимуму приложения-аутентификаторы, а лучше аппаратные токены. 2FA на основе SMS менее надёжны, но это лучше, чем вообще без 2FA. Правильно управляйте доступами и ключами API.

10) Риски DeFi и смарт-контрактов

Ядром DeFi являются DEX. Хотя они могут рассматриваться и как технология, отдельная от DeFi. Предыдущий подраздел не означает, что DEX безопаснее CEX. Поэтому опишем проблемы эксплуатации злоумышленниками уязвимостей децентрализованных протоколов, DEX и смарт-контрактов. Эти проблемы приводят к значительным финансовым потерям пользователей, взаимодействующих с этими технологиями. 

Многие платформы DeFi запускаются без комплексных аудитов безопасности и даже без базовых аудитов смарт-контрактов. Даже небольшие ошибки в коде смарт-контрактов могут иметь катастрофические последствия. Один из первых подобных крупных инцидентов, скандальный взлом The DAO в 2016 году привёл к потере приблизительно 60-70 миллионов долларов, а главное — серьёзно подорвал репутацию Ethereum. 

В DeFi работает много централизованных компонентов. Например, компрометация админ-ключей, которые сохраняют контроль над некоторыми DeFi-проектами, может поставить под угрозу всю платформу.

Кейсы. В 2021 г. хакеры взломали сайт BadgerDAO и внедрили в UI вредоносный скрипт, который перехватывал транзакции и переводил токены на счет злоумышленника. Ущерб составил 120 млн долларов. В том же году из-за уязвимости в коде управления ключами Poly Network “серому хакеру” удалось вывести свыше 600 млн долларов. Правда, он вернул эту сумму проекту в течение нескольких дней. Взлом Ronin Network в 2022 году произошел из-за компрометации валидаторских ключей при слабой децентрализации сети. Инцидент привел к потере около 600 миллионов долларов.

Свежие примеры включают ошибки при использовании абстракции аккаунтов ERC-4337. Неправильная настройка опекунов и хранителя приводит к потере контроля над кошельками. 

Прозрачность и компонуемость в DeFi — это “палка о двух концах”. Прозрачность транзакций — это фундаментальная характеристика DeFi и блокчейна. Однако она же позволяет злоумышленникам использовать ботов для атак, таких как фронтраннинг. 

Компонуемость, то есть способность протоколов взаимодействовать друг с другом, создавая «денежные лего», приводит к тому, что слабость в одном протоколе может повлиять на другие из-за взаимозависимостей.

Кейсы. Взлом Cream Finance в 2021 году произошёл из-за сочетания слабости взаимозависимостей и эксплоита мгновенного займа. Боты для треугольного арбитража на Uniswap в 2022-2024 годах эксплуатировали ценовые разницы в циклах токенов для махинаций с арбитражем, которые дестабилизировали рынки. В 2023 году MEV-бот «jaredfromsubway.eth» опережал и перехватывал пользовательские сделки путем сэндвич-атак.

То есть, сами принципы проектирования, которые делают DeFi такой мощной технологией, добавляют сложные взаимосвязанные риски. Бремя управления ими перекладывается с централизованной сущности (например, разработчика DEX) на пользователя.

Юридические риски DEX — отдельная тема. Затронем её в отдельном разделе.

Лечение. Изучайте и снижайте риски DeFi: Соблюдайте общие правила цифровой гигиены и управления рисками. Остерегайтесь обещаний гарантированной высокой прибыли. Воздерживайтесь от использования незрелых или малознакомых технологий. Проводите тщательную проверку проектов (due diligence). Выбирайте проекты с открытым исходным кодом, активной поддержкой сообщества, хорошей репутацией команды и аудитами смарт-контрактов и инфраструктуры, выполненными независимыми компаниями. Применяйте специфические меры безопасности внутри проектов. Проверяйте смарт-контракты перед подписью. Не давайте неограниченных одобрений. Используйте сервисы вроде revoke.cash для отзыва прав. Устанавливайте лимиты проскальзывания — максимально допустимого отклонения цены. Правильно настраивайте опекунов, хранителей и т. д.

11) Риски невзаимозаменяемых токенов (NFT) и их экосистем

Коснёмся проблем безопасности NFT и связанных с ними платформ (маркетплейсов, смарт-контрактов и т. д.). Недостаточное понимание условий покупки NFT, отсутствие должной проверки проектов и их смарт-контрактов, а также подверженность фишингу и мошенническим схемам, напрямую увеличивают риски пользователей. Часть этих проблем носит общий характер с другими технологиями блокчейна, но есть и специфические проблемы, присущие только NFT.

Во-первых, NFT подвержены таким общим угрозам как технические эксплоиты и мошенничество. С одной стороны, фишинг и поддельные UI направлены напрямую на психологические уязвимости пользователей NFT-маркетплейсов или проектов. С другой стороны, технические уязвимости смарт-контрактов используются для краж NFT и манипуляций функциями минтинга без участия пользователей. Речь идёт, например, о недостатках повторного входа (reentrancy flaws) или пропусках контроля доступа (access control lapses). 

Во-вторых, как и с любыми криптоактивами, NFT подвержены рыночным манипуляциям. Например, продажа NFT с ложными обещаниями будущей ценности (типа доступа к эксклюзивным сообществам или играм), зеркальные сделки (wash trading, искусственное завышение объема торгов) и rug pulls (внезапное прекращение проекта с исчезновением средств инвесторов). 

Наконец, специфические риски. С одной стороны, если NFT представляет физический актив, его утеря или уничтожение может обесценить NFT. С другой стороны, владение NFT не всегда означает владение базовым активом (например, авторскими правами). У пользователей могут быть неверные ожидания от владения NFT. 

Правовая база NFT несовершенна. Поэтому на пользователей возлагается тяжелое бремя тщательных юридических проверок при каждой покупке NFT. Часто это выходит за рамки возможностей рядового инвестора. К юридическим рискам блокчейна мы ещё вернёмся ниже.

Лечение. Изучайте и снижайте общие, специфические и правовые риски NFT. Осознавайте особенности владения NFT.

12) Риски кросс-чейн мостов и оракулов

Завершим раздел технологических рисков описанием проблем безопасности кросс-чейн мостов (технологий переноса активов между различными блокчейнами) и оракулов (систем получения внешних данных для смарт-контрактов). Эти технологии часто используются в DeFi, хотя могут работать и независимо.

Пользователи часто допускают ошибки в конфигурации оракулов, выбирая ненадёжные источники данных. Это открывает дверь для манипуляции информацией и искажения результатов. Еще одной распространенной пользовательской ошибкой является игнорирование проверки данных от оракула. Это может привести к использованию устаревшей или фальсифицированной информации в смарт-контрактах.

Кейс. Атака на Mango Markets 2022 года — один из самых громких инцидентов с оракулами. Суть атаки заключалась в искусственном завышении цены токена. Её передавал оракул протокола, основываясь на данных одной небольшой биржи, которой было легко манипулировать. Убытки составили более 110 миллионов долларов.

Многие кросс-чейн мосты работают по принципу «lock-and-mint» (блокировка токенов в одной сети и выпуск эквивалентных токенов в другой). Взлом заблокированных токенов или атака «бесконечного минтинга» может обесценить все обернутые токены и поставить под угрозу целые блокчейны. Особенно много потерь, связанных с мостами, произошло в 2022 году. Впрочем, потери за 2024 год по разным оценкам ненамного ниже.

Выбор пользователем моста с низким уровнем минимизации доверия (т.е. с высокой зависимостью от централизованных сторон) или взаимодействие с протоколами, использующими уязвимые оракулы, напрямую увеличивает риски. Непонимание компромиссов в дизайне мостов (например, между минимизацией доверия и обобщаемостью) является ключевой пользовательской ошибкой.

Незрелость технологий мостов усугубляет ситуацию. Фактически рядовые пользователи являются ранними тестировщиками высокорисковой экспериментальной области.

Лечение. Изучайте специфические риски оракулов и мостов, а также управляйте этими рисками. Воздерживайтесь от использования незрелых или малознакомых технологий.

Рыночные и инвестиционные риски

Остановимся на рисках, связанным в первую очередь с финансовыми характеристиками криптовалют и инвестиционной деятельностью. С учётом особенностей децентрализованных технологий и трудностей регулирования криптовалют, возникают проблемы волатильности, ликвидности, стейблкоинов, инвестиционные мошенничества и многие другие риски.

Рыночные и инвестиционные риски сильно связаны с ошибками выбора криптовалютного проекта или поставщика услуг. В то же время, существенными причинами потерь средств являются доверчивость, жадность, страх, а также другие качества и эмоции пользователей. Всё это приводит к их значительному ущербу.

13) Проблемы волатильности 

Упомянем риски, связанные с высокой и непредсказуемой изменчивостью цен на криптовалюты, а также с недостаточной ликвидностью для некоторых активов. Это приводит к значительным финансовым потерям инвесторов, не понимающих эти риски и поддающихся временным настроениям рынка. 

Цены на нестабильные криптовалюты (non-stablecoins), начиная с биткоина, колеблются значительно сильнее, чем у традиционных финансовых инструментов. Эти движения могут быть нелогичными. Часто они вызываются событиями, специфичными для криптоиндустрии. Например, взломы, мошенничество или опасения по поводу регулирования. Крипторынок сильно зависит от спекуляций, хайпа и событийных реакций, а не от традиционных финансовых основ. 

Экстремальную волатильность демонстрируют мемкоины. Отсутствие базовых вариантов их использования означает, что их стоимость почти полностью основана на хайпе, настроениях и спекулятивном спросе. Это делает мемкоины крайне восприимчивыми к быстрым непредсказуемым колебаниям.

Лечение. Применяйте главное правило инвестора — вкладывайте не больше, чем вы можете позволить себе потерять.

14) Проблемы ликвидности

Слабо распространённые криптовалюты несут повышенные риски ликвидности. Эти риски несут в основном трейдеры, однако для полноты картины мы должны об этом рассказать.

В чём суть? Торговых пар мало, стаканы неглубокие, объёмы тонкие. Из-за этого любая сделка заметно двигает цену. В такие моменты растут спрэды и проскальзывание, комиссии на бриджах и в DEX бьют по кошельку, а обмен превращается в лотерею: купили легко, а продать по справедливой цене уже трудно. 

Дополнительно мешают делистинги, лимиты на вывод и фрагментация ликвидности между сетями и пулами. Также есть ряд сопутствующих рисков ликвидности, в которые мы не будем углубляться.

Лечение. Проверяйте стакан, объёмы за сутки и TVL пула. Делайте пробные и частичные сделки. Предпочитайте лимитные ордеры. Торгуйте в часы максимальной активности рынка и на площадках с лучшей ликвидностью. Если актив нишевый, держите часть позиции в более ликвидной паре или стейблкоине. Проверяйте запреты на продажу, чёрные списки и «налоги» в коде токена и документации.

15) Проблемы стейблкоинов: делинк, заморозки эмитентом, регуляторные риски

У стейблкоинов не настолько стабильный курс и надёжное положение в мире крипты, как привыкли считать многие пользователи. 

Идея алгоритмических стейблкоинов была дискредитирована крахом UST в 2022 году. По разным оценкам, ущерб от этого инцидента составил от 40 до 60 млрд долларов. 

А неалгоритмические стейблкоины — это, по сути, частные централизованные псевдокриптовалюты. Надёжность самых крупных из них сравнима с надёжностью банков США. То есть, это не 100%.

Например, любой криптодоллар USDT или USDC может быть удалённо заблокирован его эмитентами, соответственно, Tether или Circle. Это они и делают время от времени, выполняя распоряжения властей и борясь с преступными активами. К теме отмывания средств мы ещё вернёмся ниже.

Лечение. Следите за репутацией и регулированием стейблкоинов. На сегодня, для оборотных средств используйте USDT как самый популярный стейблкоин. Для депозитов на “медвежьем” рынке — стейблкоин, разрешённый в вашей юрисдикции (для Евросоюза — USDC). Для депозитов на “бычьем” рынке биткоин выглядит лучше любых стейблкоинов.

16) Непостоянные потери (Impermanent Loss) в пулах ликвидности

Пулы ликвидности DeFi привлекают пользователей обещаниями высокой годовой процентной доходности (APY) или вознаграждений. Однако здесь бывают скрытые издержки генерации доходности. 

DeFi предлагает возможности пассивного дохода путём инвестиций в качестве ликвидности. При этом вводится сложный, неочевидный и часто контринтуитивный финансовый риск — “непостоянные потери”. Он может подорвать или даже свести на нет заявленную доходность.

Лечение. Учитывайте непостоянные потери при планировании инвестиций в DeFi.

17) Инвестиционные мошенничества (Rug Pulls, Pump-and-Dump и т. д.)

В отличие от описанного выше “распределённого” мошенничества и социальной инженерии, когда злоумышленники обманывают пользователей по одному, мы выделили в отдельную группу инвестиционные мошенничества с обманом всех пользователей проекта сразу. 

Эти схемы напоминают классические схемы Понци (финансовые пирамиды). Как и в обычных пирамидах, для поддержания имиджа мошенники часто выплачивают средства инвесторам за счёт новых членов пирамиды. Как вариант, выплаты инвесторам ведутся за счёт других источников, либо не ведутся вообще. Хайп криптоприбылей настолько велик, что любой минимально правдоподобный проект быстро собирает миллионные инвестиции.

Для упрощения понимания таких схем рассмотрим вначале имитацию краудсейла. Ещё 7-8 лет назад была популярна довольно простая схема. Мошенники запускают фейковый проект, собирают деньги путём первичного размещения токенов (ICO/IDO), а затем исчезают без реализации обещанного. Например, в 2017 году SEC закрыла проект PlexCoin как мошеннический. В последние годы мошенники сосредоточились на подделке популярных легитимных краудсейлов.

Мошеннические краудсейлы часто завершаются схемой «Rug Pull», то есть, “выдергиванием коврика из-под ног инвесторов”. Разработчики проекта внезапно прекращают его и исчезают с инвестированными средствами. 

Бывают случаи Rug Pulls и без классического краудсейла. Например, путём быстрого привлечения активов через DeFi или NFT-маркетплейсы. И наоборот, бывают мошеннические краудсейлы без Rug Pulls. Например, когда мошенники даже не пытаются имитировать легитимную работу, не строят инфраструктуру Rug Pull и довольствуются кражей средств только самых первых инвесторов. 

«Pump-and-Dump» (накачка и сброс) — это искусственное завышение цены актива путем скоординированных действий, а затем резкая продажа актива, вызывающая обвал его цены. Эта схема может быть реализована и без краудсейла, например, на существующих токенах.

Кейс. Крупнейший свежий “памп и дамп”, который вовлёк массовую розницу и крупных трейдеров, — мемкоин HAWK. После вирусного успеха на YouTube в конце 2024 года было запущено активное продвижение мемкоина. В течение одного дня цена токена выросла на 900%. Затем за считанные часы монета рухнула на 90%. Команда полностью оборвала связь с инвесторами и пользователями. По разным оценкам потери инвесторов составили до 450 млн долларов.

Общие частые признаки инвестиционного мошенничества — это обещания гарантированной высокой доходности с минимальным риском и акцент на привлечении новых участников, а не на продукте или услуге. Недостаточная проверка (due diligence) проекта и команды, а также доверчивость и желание легких денег — вот ключевые инвестиционные ошибки.

Инвестиционное мошенничество основано на изощренных схемах социальной инженерии и финансового манипулирования, которые играют на эмоциях и психологических предубеждениях. Например, на FOMO — жадности и страхе упустить выгоду. Или на FUD — панике и страхе потерь. И конечно, на отсутствии финансовой грамотности и должной осмотрительности.

Нерегулируемая среда еще больше способствует этим схемам, ограничивая возможности для юридической защиты. Поэтому рассмотрим правовые риски в следующем разделе.

Лечение. Тщательно проверяйте проекты (due diligence). Не вовлекайтесь в спонтанные инвестиции. Делайте паузы и изучайте проекты минимум 48 часов. Остерегайтесь обещаний гарантированной высокой прибыли и признаков финансовых пирамид. Устраняйте свои психологические уязвимости: нетерпение, жадность, страх и т. д.

Юридические и регуляторные риски

Из-за новизны, сложности и бурного развития индустрии государственное регулирование отстаёт от прогресса. Здесь одна из наиболее крупных проблем даже для добросовестных пользователей связана с рисками несправедливых обвинений в незаконных транзакциях. 

Методы и средства AML/CFT несовершенны. Поэтому они могут приводить либо к избыточным неудобствам пользователей, либо к ошибочной блокировке и даже конфискации их средств.

Кроме того, есть масса других правовых проблем, связанных с регуляторной неопределенностью, правами потребителей, налогами и т. д.

Этот раздел посвящен рискам, возникающим из-за несовершенства законодательных и регуляторных требований, а также из-за проблем, связанных с защитой прав потребителей. 

18) Несправедливые обвинения в незаконных транзакциях

Крайне актуальная тема. В предыдущей статье мы писали, что усилившиеся требования AML/CFT и контроль офф-рампа делают вероятной блокировку даже добросовестных пользователей из-за «чужой грязи» в ончейн-истории средств. 

Мы показали, как государства, биржи и банки контролируют крипторынки, используя ончейн-аналитику, санкционные списки и KYC/AML, а также требуя подтверждения происхождения средств. 

Главные способы снижения риска включают разделение «чистой», «сомнительной» и «грязной» крипты по разным кошелькам, документирование доказательств (скриншоты, отчёты), а также превентивный адресный скрининг в сервисах KYT. В той статье мы дали вам чеклисты действий «до, во время и после» транзакции, а также рекомендации для офф-рампа и на случай получения «грязной» крипты.

Лечение. Управляйте чистой и грязной криптой правильно: Разделяйте кошельки по степени доверия (например: приёмный кошелёк — прохождение проверки — основной кошелёк). Пользуйтесь персональными сервисами KYT для анализа входящих транзакций. Собирайте доказательства законного или хотя бы добросовестного получения криптовалюты. Не стесняйтесь предъявлять эти доказательства биржам и банкам в случае их вопросов или санкций. Изучите более подробную нашу статью на эту тему.

19) Регуляторная неопределенность и право собственности на криптоактивы

Немного о рисках, связанных с отсутствием четкого и единообразного правового регулирования криптовалют и блокчейна. Это создает неопределенность для пользователей в отношении их прав, обязательств и статуса активов. 

Многие области криптоиндустрии, особенно DeFi, работают в почти нерегулируемой среде. Это означает ограниченные возможности для юридической защиты пользователей в случае мошенничества или сбоев проектов.

Проекты DeFi часто сталкиваются с изменяющимися законами и нормами, которые могут привести к санкциям и закрытию этих проектов. Недостаточное понимание или игнорирование текущего правового статуса активов в определенной юрисдикции, а также отсутствие должной юридической проверки при приобретении сложных активов, таких как NFT, — это критические ошибки пользователей.

Лечение. Следите за регуляторными изменениями. Будьте в курсе правового статуса криптоактивов в своей юрисдикции. Изучайте не только теорию и законы, но и практику их применения ключевыми субъектами, начиная с конкретных бирж, платёжных систем, необанков и традиционных банков.

20) Защита прав потребителей 

Пользователи, особенно в развитых государствах, привыкли к высокому уровню соблюдения потребительских прав. Как мы упоминали выше, технические особенности и относительная незрелость бизнес-процессов блокчейна затрудняют применение традиционных механизмов обеспечения этих прав. Например, страхование потерь, связанных с криптовалютами, часто невозможно или нецелесообразно.

Лечение. Приспосабливайте свои потребительские привычки под новые технологические и правовые реалии.

21) Проблемы конфиденциальности данных

Пользователи могут не осознавать последствия публикации личных данных в публичных блокчейнах. По своей природе данные блокчейна распределены по множеству компьютеров в Интернете. Однако регулирование требует одного владельца, ответственного за конфиденциальность данных. 

Например, после принятия закона GDPR стали популярными такие нормы, как “право на забвение”. Пользователи имеют право, чтобы их данные были полностью удалены. Однако записи в блокчейне постоянны и чисто технически никогда не могут быть уничтожены. 

Пользователи, привыкшие к традиционным способам защиты своих прав, совершают ошибки и несут лишние риски, перенося свои привычки в мир блокчейна и криптовалют. Приватность — не автоматическая функция блокчейна, а результат осознанных действий.

Лечение. Для защиты приватности с учетом законов вашей юрисдикции и рисков AML можно осторожно: использовать разные IP-адреса для разных задач; разделять транзакции и профили; не проводить их с одного кошелька, связанного с KYC; применять прокси, VPN и приватные браузеры при работе с DApp; избегать публикации адресов в открытых источниках; использовать конфиденциальные блокчейны (например, Monero, Zcash) или решения второго уровня с улучшенной приватностью.

22) Риски налогообложения

Доходы, полученные от операций с криптовалютой (майнинг, торговля, стейкинг, продажа NFT и др.), подлежат налогообложению во многих юрисдикциях. Необходимость декларирования зависит от статуса резидента, типа криптоактивов и характера сделок. 

Оценка прибыли часто осложняется высокой волатильностью курсов, отсутствием единого стандарта определения стоимости актива на момент операции и разночтениями в законодательстве. Любая конвертация в фиатные деньги может рассматриваться как реализованная прибыль и облагаться налогом. 

Также возможны налоги на имущество или наследование в отношении криптоактивов. Неисполнение налоговых обязанностей приводит к штрафам, пеням или даже уголовной ответственности.

Лечение. Если есть простая возможность, заплатите налоги и спите спокойно. Если у вас вся жизнь в крипте, а ваше налогообложение сложное, изучайте возможности смены юрисдикции.

23) Ответственность эмитентов и операторов

Немного об ответственности эмитентов токенов и операторов блокчейн-проектов. Лица и компании, выпускающие собственные токены, могут нести ответственность за нарушение законодательства о ценных бумагах, мошенничество, несанкционированное привлечение инвестиций и отмывание денег. 

Многие страны требуют прохождение процедур регистрации токена как финансового инструмента или соблюдение требований по KYC/AML. Нарушение этих норм может привести к штрафам, блокировкам активов и уголовным делам против организаторов проектов. 

Эмитенты привлекают инвесторов с помощью white paper, маркетинговых материалов и публичных обещаний. Если при этом не соблюдать осторожность, можно попасть под ответственность за ложные сведения. Неспособность провести юридическую экспертизу, согласовать проект с регулятором и учесть особенности трансграничного регулирования приводит к высоким рискам владельцев криптопроектов.

Лечение. Разберитесь в рисках создания блокчейн-проектов и управления ими. Наймите юриста и заблаговременно структурируйте ответственность разработчика, владельца, эмитента, оператора, инвесторов и конечных пользователей.

Другие риски

Наконец, опишем риски, не вошедшие ни в одну из групп, перечисленных выше. Не все эти риски вызываются действиями пользователей. Хотя осведомленность пользователя или коллективные действия играют важную роль.

Здесь особого внимания требуют физическая безопасность и психологические риски. Цена вопроса может достигать психологического и физического здоровья, и даже жизни пользователя криптовалют. 

К сожалению, технологическая лёгкость отчуждения криптовалюты по сравнению с обычными деньгами и её неподконтрольность государству также означает облегчение незаконного завладения ею и избежания ответственности за это. Случаи физических атак на владельцев криптовалют (так называемые «атаки гаечным ключом», «wrench attacks»), становятся всё более частыми.

Опишем все эти риски глубже, чтобы составить подробную картину современных проблем безопасности криптовалют.

24) Физическая безопасность: вымогательство, «wrench-attacks», утечки KYC

Эта подкатегория описывает риски, связанные со здоровьем, жизнью и физической безопасностью владельцев криптоактивов. Неосторожное раскрытие информации о владении криптовалютами, отсутствие достаточных мер физической безопасности аппаратных кошельков и личная беспечность увеличивают эти риски.

Аппаратные кошельки или бумажные копии сид-фраз могут быть украдены из дома или во время путешествий. 

Фишинговые атаки эволюционируют. Злоумышленники отправляют фальшивые письма под видом производителей аппаратных кошельков вроде Ledger, чтобы получить доступ к адресам и устройствам. Это сочетается с подменой SIM-карт, когда хакеры перехватывают мобильные номера для обхода 2FA.

Наконец, организованные группы часто используют данные из утечек KYC с бирж. В даркнете есть данные миллионов пользователей, включая домашние адреса. Всё чаще происходят похищения владельцев криптоактивов или членов их семей с целью получения выкупа. Преступники применяют насилие, чтобы заставить жертву передать приватные ключи или перевести средства.

Безопасность путем скрытности (security through obscurity) не считается надёжным подходом в классической информационной безопасности. При этом сама суть безопасности криптовалют опирается на конфиденциальность паролей, ключей и сид-фраз. Поэтому, пользуясь простой аналогией, скрытие владельцем криптовалюты самого факта владения ею — это первоочерёдная мера обеспечения физической безопасности владельца.

Лечение. Управляйте собственной физической безопасностью. Не афишируйте владение криптовалютой. Храните активы правильно. Держите аппаратные кошельки в сейфах или банковских ячейках. Разделите сид-фразу на части и храните их в разных защищенных местах. Задействуйте 2FA без SMS, а через приложения аутентификации (Google Authenticator, Twilio Authy), а ещё лучше — аппаратные токены. Укрепите физическую защиту. Установите системы видеонаблюдения, сигнализации и сейфы. Посетите тренинг по противодействию похищениям. Избегайте одиночных поездок в рискованные районы. Если вы публичная фигура, нанимайте личную охрану. Множество компаний предлагают криптоинвесторам услуги физической безопасности, включая мониторинг угроз. Отслеживайте утечки данных. Регулярно проверяйте, не попали ли ваши данные в DarkNet. Используйте сервисы мониторинга вроде “Have I Been Pwned”. Разработайте план на случай чрезвычайных ситуаций. Создайте реалистичный кошелёк для ситуации “под принуждением”, “дублирующие” кошельки с задержкой транзакций (time-locks) или используйте услуги по восстановлению, чтобы замедлить кражу и дать больше возможностей правоохранительным органам.

25) Экологические риски

Биткоин потребляет больше электроэнергии, чем некоторые развитые западноевропейские страны. Это связано с типом его блокчейна Proof of Work. Кое-кто может испытывать моральные или репутационные ограничения.

Лечение. Выбирайте блокчейны типа PoS или подобные. Как вариант, учитывайте, что биткоин потребляет всего лишь не более 1% всей мировой электроэнергии.

26) Репутационные и психологические риски (FOMO/FUD, стресс)

Последняя в нашем обзоре группа рисков связана с ущербом репутации организаций или отдельных лиц, а также психологическим воздействием на пользователей. 

Репутационные риски могут возникать из-за ассоциации с мошенническими проектами, отмыванием денег или негативным общественным восприятием криптовалют в некоторых регионах или обществах.

Психологические риски вызываются высокой волатильностью рынка, а также реальными и потенциальными финансовыми потерями. Неспособность управлять эмоциональными реакциями на рыночные колебания, азарт, страх упустить выгоду, паника, сомнения и другие такие состояния и процессы являются психологическими уязвимостями. Это приводит к стрессу, тревоге, разочарованию, депрессиям и другим негативным психологическим и патологическим последствиям. Они в значительной мере похожи на последствия увлечения азартными играми.

Эти риски выходят за рамки финансовых или технических. Управление рисками для пользователей криптовалют должно включать эмоциональную и психологическую устойчивость, а также понимание влияния динамики рынка на психическое благополучие. Криптопроекты и лидеры мнений должны нести этическую ответственность и избегать манипулятивного маркетинга.

Лечение: Управляйте репутационными рисками как любыми другими: изучайте, оценивайте и снижайте их. Прокачивайте самообладание и здравый смысл. Соблюдайте дисциплину с помощью психологических или духовных практик, членов семьи, рабочего коллектива, психологов или психотерапевтов.

Комплексный подход к управлению рисками

Таким образом, мы сделали обширный обзор современных криптовалютных рисков, их причин и следствий. Эти риски: 

• являются многогранными и взаимосвязанными; 
• значительно отличаются от традиционных рисков — как финансовых систем, так и ИТ;
• охватывают технические, финансовые, юридические, операционные и психологические стороны. 

Для решения насущных тактических задач по снижению личных и корпоративных крипторисков мы сосредоточились на пользовательских ошибках. Они часто служат если не главной причиной инцидентов, то катализатором или сопутствующей причиной. 

Неверные представления о безопасности, ошибки управления секретами, подверженность социальной инженерии и многие другие недостатки являются не просто случайными просчетами, а глубоко укоренившимися проблемами, требующими системного подхода к образованию и защите. В качестве решения этих проблем мы привели современные рекомендации по безопасности криптовалют.

Риски блокчейна и криптовалют немного изменяются каждый год. Появляются новые риски, а против старых внедряются меры безопасности. В то же время, не исключено, что какое-то одно или несколько крупных событий изменят набор этих рисков резче, чем они изменялись до этого. 

Что если из-за ошибки в программном коде в блокчейне Биткоина или Эфириума произойдёт крупный сбой, деградация или простой? Что если эмитент крупнейшего стейблкоина закроется или поссорится с властями? Что если государства и банки резко и одновременно усилят налоговую нагрузку, комиссии, контроль и санкции? 

Возможны ли подобные катастрофы? Мы считаем, что не исключены. Напишите нам ваше мнение. 

Если у вас есть любые другие вопросы, предложения или проблемы, связанные с информационной безопасностью криптовалют или блокчейна, обращайтесь к нам.