Топ-26 криптовалютних ризиків і помилок 2026

Коротко Міфи й типові помилки користувачів крипти в 2026 році. Головний міф: “безпечний блокчейн = безпечні програми”. Головна помилка: брак знань, навичок і досвіду. Перейти відразу до детального опису ризиків криптовалют.

Найактуальніші проблеми використання крипти

Крипта дає свободу, але й ризики, які постійно змінюються. Нижче про те, що реально болить у 2026 році, і як не втратити гроші.

Люди та організації втрачають свою криптовалюту з дурних і хитрих причин, отримують санкції та штрафи з незнання, заробляють нервові зриви, а також стають жертвами викрадень та нападів озброєних бандитів, які добре знаються на крипті. 

Ми проаналізували 26 криптовалютних ризиків із погляду помилок користувачів. Тобто з урахуванням сприйняття, поведінки, емоцій, звичок, стереотипів та інших психологічних явищ.

Наша робота дозволить вам перевірити ваші слабкі місця під час використання криптовалют. Ми подивилися на проблеми їхньої безпеки з висоти “пташиного польоту”, аби покращити стратегічне розуміння цих проблем і зрозуміти, як їх розв’язувати на рівні користувача.

Карта ризиків Ризики прямих помилок користувача: ілюзії, неуважність, довірливість, помилки з паролями, ключами, гаманцями тощо. Технологічні ризики: проблеми блокчейну, CEX, DeFi, NFT, мостів, оракулів і т.д. Ринкові та інвестиційні ризики: проблеми волатильності, ліквідності, стейблкойнів, непостійні втрати й шахрайство. Юридичні та регуляторні ризики: незрілість законів, проблеми AML/CFT, податків, емітентів тощо. Інші ризики: фізичні, екологічні та психологічні.

Причини крипторизиків

Причини сучасних криптовалютних ризиків досить різноманітні. У деяких випадках більше відповідальності несе користувач. В інших – основна вразливість закладається на рівні технічного проектування чи законодавства. 

Не можна применшувати відповідальність корпорацій, розробників і власників криптопроектів та платформ, а також регуляторів, держави та інших зацікавлених суб’єктів криптоіндустрії. Всі ризики, які ми згадуємо, мають системний характер. Їх можна знижувати лише спільними зусиллями всіх перелічених сторін. 

Водночас наша мета сьогодні – показати складність, ширину й глибину криптовалютних ризиків із погляду користувача. У цьому є прикладний сенс, якому приділяється недостатньо уваги. Тому ми робимо акцент саме на помилках користувача. Як кажуть, “порятунок потопаючих – справа рук самих потопаючих”. 

Блокчейн – технологія, що бурхливо розвивається. Тут дуже важко спроектувати й впровадити ідеальні стабільні процеси та системи. Ми йдемо від зворотного – виявляємо найбільші проблеми й насамперед вирішуємо їх. За аналогією, коли зароджувалась автомобільна індустрія, правила дорожнього руху теж часто писалися “кров’ю”.

Міні-глосарій 2FA — Two-Factor Authentication — двофакторна автентифікація. AML/CFT — Anti-Money Laundering and Combating the Financing of Terrorism — це протидія відмиванню грошей та боротьба з фінансуванням тероризму. CEX — Centralized EXchange — централізована біржа (кастодіальна платформа). DApp — Decentralized Application — децентралізований застосунок. DEX — Decentralized EXchange — децентралізована біржа (зазвичай некастодіальна). DeFi — Decentralized Finance — децентралізовані фінанси. KYC — Know Your Customer — “знай свого клієнта” — системи й процедури ідентифікації клієнтів. KYT — Know Your Transaction — “знай свою транзакцію” — оцінка ризику ончейн-адрес і транзакцій. UI — User Interface — інтерфейс користувача.

Помилки як причини криптовалютних ризиків

Криптотрейдери, інвестори, економісти, покупці та постачальники товарів і послуг, та й просто громадяни, які бажають зберегти свої заощадження в крипті, стикаються з багатьма проблемами безпеки. Кожна з них може коштувати не лише грошей, часу та нервів, а й навіть здоров’я та життя.

Значна частина реальних криптовтрат безпосередньо пов’язана з помилками, неуважністю та недбалістю користувачів. Вони припускаються помилок як особистою криптовалютою, так і з активами організацій. 

Попри те, що ми здебільшого займаємося зниженням корпоративних ризиків ІТ і блокчейну, ми виявили, що багато крипторизиків можна розглядати крізь призму прав, знань, навичок, сприйняття та поведінки користувачів. Корпоративні криптовалютні політики й процедури часто незрілі та відстають від технологій. Тому зрештою неправильні рішення приймаються конкретними людьми.

Криптовалюти – не перевірена часом галузь. Вона складна, погано регульована, майже не підлягає страхуванню, і тому ризикована. Ухвалюючи або підтримуючи рішення щодо залучення до неперевірених технологій, користувач створює ключову ланку в ланцюжку причин, що призводять до інцидентів. 

Помилки користувачів виникають через брак знань, навичок і досвіду. Для зменшення цих помилок рекомендуємо ґрунтовне теоретичне та практичне навчання. Ми вже розповідали про такі помилки та заходи зниження ризиків. Доповнимо, поглибимо й освіжимо ці знання. 

Зосередимося на неправильних уявленнях і рішеннях користувачів. Покажемо, як їхні помилки збільшують ринкові, технічні та інші криптовалютні ризики. Зрештою, навчимося їх знижувати.

Головний міф безпеки блокчейну

Ще в 2008 році Брюс Шнайєр показав, що почуття безпеки – це зовсім не реальна безпека. Протягом використання криптовалют ця відмінність стає особливо помітною. 

Технологія блокчейну спочатку розроблялася для підвищеної довіри й стійкості, оскільки транзакції перевіряються та не можуть бути скасовані. Великі блокчейни зазвичай стійкі до збоїв, оскільки вузли мережі працюють незалежно один від одного й будь-якого єдиного центру. Своєю чергою криптовалюта замислювалася як самодостатній глобальний платіжний засіб. 

Всупереч цим фундаментальним властивостям безпеки, на практиці користувачі часто втрачають кошти через помилки реалізації та проектування в застосунках, побудованих на блокчейні. Наприклад, через порушення смарт-контрактів або атаки на UI. Щобільше, поширені вектори атак, такі як фішинг, шкідливе програмне забезпечення (ПЗ), крадіжка криптовалютних ключів і деанонімізація користувачів безпосередньо націлені на людські слабкості. 

Основна суперечність безпеки криптовалют полягає в поширеній помилці, що внутрішня безпека самого реєстру блокчейну автоматично поширюється на безпеку всіх застосунків та сервісів, побудованих на ньому, або на операційні практики безпеки окремих користувачів. 

Помилкова ідея про те, що блокчейн гарантує безпеку та анонімність, призводить до хибного почуття захищеності й свободи, змушуючи користувачів нехтувати найважливішими правилами та практиками безпеки й приватності. Ця суперечність є ключовою причиною все більших втрат, попри технологічні досягнення.

Групи криптовалютних ризиків

Аби спростити роботу з криптовалютними ризиками, ми розділили їх на п’ять груп, які ми перерахували на початку, в “Карті ризиків”. Цей поділ умовний, оскільки багато ризиків належать одночасно кільком групам. 

Для покращення класифікації можна перейти від одновимірних груп до багатовимірної матриці причин і наслідків. Тобто, не просто перераховувати ризики, а показувати, як вони взаємопов’язані, та як одна проблема може мати кілька різнорідних причин і наслідків. Однак для початкового ознайомлення з ризиками поки що досить простого, “плоского” групування.

Почнемо з прямих помилок користувача й продовжимо технологічними, ринковими, інвестиційними, юридичними та іншими ризиками.

Ризики прямих помилок користувача

Неправильні дії користувачів були й залишаються одними з найбільш критичних причин їхньої фінансової шкоди. 

Користувачі роблять помилки, пов’язані з фундаментальними принципами роботи блокчейну й реальною безпекою окремих методів та засобів. Йдеться, наприклад, про некастодіальні та апаратні гаманці, а також 2FA. Ці помилки вкоренилися настільки глибоко, що призводять до неадекватних запобіжних заходів, а в результаті – до втрати коштів.

1) Ілюзія безпеки self-custody та недооцінка операційних ризиків

У традиційних фінансових системах і навіть на CEX безпека значною мірою керується установами. У користувачів, що починають працювати з криптовалютами, а особливо з некастодіальними гаманцями або DeFi, створюється критична прогалина в освіті та звичках. 

Одну з найпоширеніших помилок можна назвати ілюзією безпеки самостійного зберігання ключів (self-custody). Коли ви зберігаєте ключі самостійно, ви виключаєте зловживання або помилки сторонніх зберігачів. Однак ви не застраховані від власних помилок.

Ба більше, часто користувачі помилково вважають, що їм цілком достатньо безпеки самого ключа (наприклад, на апаратному гаманці). Виникає небезпечне хибне почуття безпеки. Користувач старанно захищає свої ключі, але нехтує іншими завданнями операційної безпеки. Наприклад, не проводить ретельних перевірок платформ, до яких він підключається.

Лікування. Не переоцінюйте ідею всемогутності self-custody, що саме собою добре, але безпека – це безліч нюансів, які потрібно враховувати з пропорційною увагою.

2) Ілюзія ефективності 2FA та мультипідписів

Схожа ілюзія – користувачі часто демонструють надмірну впевненість в ефективності 2FA, вважаючи її панацеєю для безпеки. Однак, наприклад, 2FA відіграє набагато меншу роль у DeFi, ніж у CEX. Просто тому, що доступ до фінансів ґрунтується на володінні приватним ключем, а не на перевірці особи. 

Аналогічно, мультипідпис знижує ризик компрометації одного ключа, але не захищає, якщо скомпрометовано достатню кількість підписантів чи пристроїв, або якщо користувач сам підтвердив шкідливу транзакцію в DApp.

Виходить когнітивний розрив. Є ідеали та теоретичні властивості безпеки. А є – практичні реалії їхньої реалізації та взаємодії з користувачами. Вони проеціюють базову безпеку на всю екосистему блокчейну, не усвідомлюючи нюанси нових технологій та нові вектори атак, що виникають на рівні застосунків чи людської взаємодії.

Лікування. Не переоцінюйте ідею всемогутності 2FA та мультипідписів. Вони корисні, але – не панацея.

3) Помилки управління паролями та приватними ключами (включаючи сід-фрази)

Якщо ви не маєте унікальних складних паролів для кожного сервісу, ви вразливі. Використання слабких паролів, що легко вгадуються або повторно використовуються, для гаманців, біржових акаунтів і пов’язаних сервісів значно підвищує ризик несанкціонованого доступу. Компрометація одного облікового запису може призвести до каскадного ефекту й втрати активів на інших платформах.

Приватні ключі та їхні аналоги – сід-фрази – це критичні дані для доступу до криптовалютних активів та їхнього контролю. Неправильне або небезпечне зберігання, втрата або компрометація приватного ключа або сід-фрази призводять до безповоротної втрати всіх активів, пов’язаних з ними. 

Для сід-фраз є дві основні загрози, різні за своєю суттю: витік і втрата. Вони протилежні з погляду заходів безпеки. Користувачам потрібно знаходити баланс між конфіденційністю, цілісністю й доступністю сід-фраз. Наприклад, розумний компроміс – поділ сід-фрази на 2-4 частини, їх зберігання в різних місцях і передача людям, яким ви довіряєте, але які не знають одна одну.

Варто повторити азбучні істини: сід-фраза має зберігатися тільки на фізичних носіях, а не в електронному вигляді, і не має використовуватися в повсякденній роботі. Для поточного захисту гаманців ви використовуєте паролі та пін-коди, але не сід-фрази. Небезпечне зберігання сід-фрази, наприклад, у цифровому вигляді на комп’ютері, у хмарі, в електронних листах і навіть у вигляді фотографії або звукозапису на зовнішньому носії, робить сід-фразу вразливою для атак хакерів і шкідливого ПЗ. 

Є різні підходи до фізичних матеріалів для сід-фраз: від ламінування паперу із фразою до гравіювання на нержавіючих тугоплавких металах. Все залежить від обсягу ваших активів та ваших специфічних ризиків. У будь-якому випадку, навіть короткий час сід-фрази не повинні бути в цифровому вигляді, не рахуючи моментів їхнього введення й виведення некастодіальними гаманцями. Ба більше, не просто некастодіальними, а бажано апаратними. Про них – у наступному підрозділі.

Лікування. Правильно керуйте паролями й сід-фразами: Створюйте сильні унікальні паролі. Використовуйте комбінації літер, цифр, символів (мінімум 12-16 символів) і уникайте повторного використання. Використовуйте парольні менеджери грамотно й усвідомлюйте їхні ризики. Розділяйте сід-фрази на частини, записуйте на папері, металі або іншому надійному носії в декількох копіях і зберігайте їх у фізично безпечних, вогнетривких, водонепроникних місцях, а також у довірених осіб. Відстежуйте транзакції та активність облікових записів, а також витоку. Регулярно перевіряйте історію транзакцій та налаштовуйте сповіщення про підозрілу активність. Використовуйте сервіс “Have I Been Pwned” для перевірки витоків паролів.

4) Застосування кастодіальних і програмних гаманців

Що якщо ваш комп’ютер або смартфон вже зламаний чи заражений? Чи може таке бути? Цілком може. Виходить, що застосування кастодіальних або програмних гаманців – це суттєвий ризик. Вашу крипту можуть вкрасти за допомогою вірусу чи іншої малварі.

Тоді як захиститись від криптокрадіжок? Останній і найнадійніший захід безпеки – апаратний гаманець. Тільки на його екрані ви остаточно перевіряєте, куди ви надсилаєте гроші, – на потрібну адресу чи хакеру. І лише кнопками апаратного гаманця ви остаточно дозволяєте або скасовуєте транзакцію.

Попри те, що апаратні гаманці (наприклад, Ledger або Trezor) є одним із найбільш безпечних способів захисту приватних ключів шляхом їх офлайн-зберігання, далеко не всі користувачі використовують ці пристрої. 

Звичайно, немає сенсу купувати апаратний гаманець за 100 або 200 доларів для захисту активів на порівнянну суму. Однак, якщо вартість вашої криптовалюти перевищує кілька тисяч доларів, то вам однозначно є сенс придбати та опанувати апаратний гаманець.

Чи надавати виробнику апаратного гаманця свої особисті дані, наприклад, для сервісу відновлення доступу до втраченого гаманця? Якщо для підвищення його цілісності та доступності ви готові трохи пожертвувати своєю анонімністю, то так.

Лікування. Використовуйте апаратний гаманець для активів дорожчих, ніж кілька тисяч доларів. Після купівлі апаратного гаманця безпосередньо у великого виробника під’єднайте гаманець до надійного комп’ютера й перевірте справжність гаманця. Регулярно оновлюйте його офіційний софт і прошивки. Проте завжди припускайте, що всі ваші смартфони та комп’ютери вже зламані. Тому остаточно покладайтеся лише на UI апаратного гаманця.

5) Помилки з адресами, мережами та протоколами

Торкнемося неуважності та помилок протягом введення адрес одержувачів, вибору блокчейн-мережі або протоколу транзакцій. Проста помилка в адресі одержувача може призвести до надсилання коштів на неіснуючу або чужу адресу. Наприклад, надсилання токена ERC-20 мережею BNB Smart Chain. Через незворотність операцій у блокчейні такі помилки призводять до безповоротної втрати коштів. 

Це посилюється атаками шахраїв. Вони застосовують метод отруєння адрес (address poisoning). Зловмисники надсилають мізерні суми на гаманець користувача, щоб їхня адреса з’явилася в історії транзакцій. При цьому ця адреса схожа на легітимну, куди користувач нещодавно відправляв кошти. 

Шахраї експлуатують схильність користувачів довіряти та повторно використовувати адреси зі своєї недавньої історії, перевіряючи лише перші та останні кілька символів. Таким чином, користувач може випадково переказати кошти зловмиснику під час наступних транзакцій.

Головні заходи зниження цього ризику – уважність, подвійні перевірки та принцип “чотирьох очей”. Тобто перевіряє й запускає транзакцію за можливості не той, хто її ініціював та підготував.

Лікування. Завжди виконуйте подвійну перевірку адрес, протоколів і мереж. Ретельно перевіряйте протоколи, мережі й всю адресу одержувача, а не лише перші та останні символи. Не покладайтеся лише на буфер обміну та QR-коди. Не копіюйте адреси з історії. Для великих переказів надсилайте спочатку невелику суму для підтвердження коректності адреси та мережі. Загалом, для ризикованих транзакцій поділяйте їх на частини.

6) Схильність до шахрайства й соціальної інженерії

Користувачі вразливі перед обманом, маніпуляцій та психологічним впливом. Це часто призводить до шкоди. Атаки цього типу набагато давніші, ніж “Поле чудес” із казки про Буратіно. Постараємося описати їх з урахуванням криптовалютної специфіки. 

Соціальна інженерія – це тактики обману користувачів із метою крадіжки їхніх коштів чи інших шкідливих дій. Фішинг – це один із найпоширеніших видів цифрових атак взагалі та соціальної інженерії зокрема. Часто шахраї створюють підроблені веб-сайти, що маскуються під легітимні джерела. Наприклад, біржі, гаманці та криптопроекти. Зловмисники надсилають користувачам електронні листи й повідомлення, щоб обманом змусити перейти на шкідливий сайт, виконати шкідливий код, розкрити приватні ключі, логіни, паролі тощо. 

Іронія кібербезпеки та улюблений прийом шахраїв полягають у їхніх маніпуляціях бажанням користувачів захиститися. Зловмисники пропонують користувачам встановити новий антивірус, новий безпечний гаманець, перевірити юридичну чистоту крипти та тисячі інших “покращень”. Користувач потрапляє на цю вудку, клікає на посилання й втрачає свої кошти.

Сучасні зловмисники не просто видають себе за службу підтримки або безпеки й лякають користувача, створюють у нього хибне відчуття терміновості тощо. Шахрай може прямо під час відеозв’язку з вами підробити відео й аудіо, та переконливо зімітувати знаменитість, вашого начальника, співробітника чи родича.

Останніми місяцями зросли втрати від гаманцевих дрейнерів, особливо через фальшиві сторінки Claim/Check/Simulate, зламані соцмережі та розсилки від імені проектів, а також фейкові KYC для відкриття рахунків від імені жертв. 

Почастішали “гнилі” сід-фрази та газ-honeypot. Жертва бачить прохання допомогти й чиюсь сід-фразу від гаманця з активами, але без газу. Тільки-но жертва додає газ, його краде скрипт.

Шкідливе ПЗ (malware) завантажується через фішингові посилання, підроблені програми або заражені веб-сайти. Воно дозволяє хакерам отримати доступ до пристроїв користувачів, перехоплювати облікові дані, красти ключі, маніпулювати транзакціями або займатися криптоджекінгом – потай використовувати ресурси жертви для майнінгу криптовалюти. Шкідливі криптовалютні програми трапляються навіть у популярних магазинах застосунків.

Шахрайства з інвестиціями (Rug Pulls, Pump-and-Dump) також є зловживанням довірою, проте з огляду на свою специфіку опишемо ці ризики окремо трохи нижче за текстом, у групі інвестиційних ризиків.

Лікування. Захищайтеся від фішингу, підроблених сайтів, експлойтів та іншого шкідливого програмного забезпечення цифровою гігієною: Перевіряйте URL-адреси. Не переходьте за підозрілими (тобто несподіваними) посиланнями в листах/повідомленнях. Встановлюйте ПЗ лише з офіційних магазинів за посиланнями з офіційних сайтів проектів. Не довіряйте лише магазинам. Регулярно оновлюйте операційні системи, офіційні програми та прошивки гаманців, а також антивірусне програмне забезпечення. Розвивайте критичне мислення. Перевіряйте знову й знову різними каналами зв’язку. Не зловживайте автопідписанням.

7) Ризики компрометації Web3-інфраструктури й ланцюжка постачань

Проблема є на стику помилок користувача й технологічних ризиків.

Багато користувачів взаємодіють із DeFi та гаманцями через веб-інтерфейс. Навіть якщо смарт-контракт протоколу є безпечним, зловмисник може атакувати «вхід» до нього. Підміна DNS, компрометація сайту, впровадження шкідливого скрипта, атака на залежності (npm/пакети), шкідливі браузерні розширення або компрометація RPC-провайдера можуть призвести до того, що користувач підпише транзакцію не з тими параметрами, видасть нескінченні схвалення (approvals) або відправить кошти на адресу зловмисника. Такі інциденти особливо небезпечні тим, що зовні виглядають «як завжди», а користувач бачить знайомий домен/інтерфейс.

Лікування: Не переходьте в dApp за рекламою/випадковими посиланнями. Використовуйте закладки та перевіряйте домени/сертифікати. Обмежуйте схвалення. Видавайте рівно стільки, скільки потрібно, і регулярно відкликайте старі дозволи. Використовуйте симуляцію транзакцій і попередження гаманців про ризики (якщо доступно). Для великих сум використовуйте окремий «чистий» профіль браузера без зайвих розширень і окремий комп’ютер для криптооперацій.

Технологічні ризики

Користувачі обмежено впливають на кореневі причини ризиків, пов’язаних з інструментами та платформами блокчейну. Проте користувацька необережність збільшує ці ризики.

Особливо виділимо експлойти смарт-контрактів: атаки reentrancy, миттєвих позик (flash loan), маніпуляції оракулами та помилки в параметрах адміністрування. Ці типи атак викликали найбільші фінансові збитки сектору DeFi за останні 5 років.

Ризики, властиві блокчейн-інструментам і платформам, вкрай різноманітні. Їх доповнюють інфраструктурні ризики. Наприклад, атаки MitM (“людина посередині”), проблеми з маршрутизацією й Sybil-атаки. 

8) Ризики атак і збоїв на рівні блокчейну

Збої на рівні блокчейну – це не абстрактна загроза, а цілком реальні ризики для кінцевих користувачів. Операції заморожуються, гроші втрачаються, і довіра до активів знижується. 

Блокчейни дрібніші за Біткойн схильні не лише до зовнішніх атак, а й до внутрішніх загроз. Передусім, на рівні консенсусу. Приклади впливу на користувачів – збитки через порушення цілісності транзакцій, подвійні витрати або проблеми доступності сервісу. Також збої консенсусу загрожують користувачам DeFi. Вони втрачають доступ до кредитів, ліквідності тощо.

Кейс. Влітку 2025 року стався збій L2-мережі Base. Цей інцидент викликав затримки й втрати ефективності. Причина проблеми була в некоректній роботі секвенсора – ключового компонента, що формує блоки. Такі випадки нагадують, що навіть такі “стабільні” L2, як Base, не застраховані від збоїв при швидкому зростанні.

Найчастіше наводиться приклад атаки 51%, монополізації мережі. У міру зростання та вдосконалення блокчейнів із роками ризик таких атак поступово знижується. 

Інший приклад – ланцюгові форки та оскарження. Під форком розуміється поділ мережі через оновлення чи конфлікти. Наприклад, через несумісні оновлення, відмови вузлів або спроби захоплення мережі. Конфліктні форки можуть призвести до тривалих розбіжностей між вузлами, перевантаженнями, відмовою в обслуговуванні або втратами активів. 

Нарешті, помилки в консенсусі. Наприклад, збої BFT (Byzantine Fault Tolerance). Складні PoS-механізми недосконалі. Валідатори не синхронізуються, блоки не формуються, і мережа зупиняється. Таке вже бувало у Solana. У такий період ви тимчасово не зможете надсилати й отримувати транзакції, сервіси простоюють, ви втрачаєте час та довіру до проекту.

Лікування: Використовуйте великі стійкі блокчейни й стежте за їхнім статусом в офіційних моніторингах, ресурсах розробників та блокчейн-експлорерах. Для диверсифікації використовуйте мульти-чейн рішення, тільки обережно, бо вони мають власні ризики. Не ганяйтеся за високою прибутковістю в незнайомих і малих блокчейнах.

9) Ризики CEX: зломи акаунтів, кастодіальні втрати, KYC-витік

В екосистемі блокчейну існує феномен централізації. Хоча децентралізація – це ключова ідея блокчейну, значна частина роботи з криптовалютою, як і раніше, відбувається на централізованих платформах.

Їхні вразливості безпеки часто використовуються зловмисниками в поєднанні з помилками користувача. Кіберзлочинці експлуатують їх та вразливості програмного забезпечення для злому облікових записів, а потім крадуть гроші. 

CEX є основною метою для хакерів через великі обсяги активів, що там зберігаються. Часто CEX регулюються менше, ніж банки. Криптовалютні активи важко застрахувати. Їхні втрати найчастіше неповоротні.

Користувачі, які використовують слабкі паролі, не активують 2FA або схильні до фішингу, безпосередньо сприяють успішності атак на свої облікові записи на біржах.

Так виникає критичне напруження в екосистемі: зручність і ліквідність, запропоновані централізованими сервісами, досягаються коштом підвищеного системного ризику й відходу від основних обіцянок безпеки децентралізації. Користувач, який вибирає CEX, у неявному вигляді бере на себе частину її біржового ризику.

Лікування: Вибирайте CEX, ліцензовані у вашій юрисдикції. Якщо маєте сумніви, виберіть CEX із Топ-3. Наприклад, другу за величиною в світі біржу Bybit. Утримуйтеся від використання DEX, якщо не розумієте їхніх ризиків. Застосовуйте 2FA та іншу цифрову гігієну. Використовуйте по-максимуму програми-автентифікатори, а краще апаратні токени. 2FA на основі SMS менш надійні, але це краще, ніж взагалі без 2FA. Правильно керуйте доступами й ключами API.

10) Ризики DeFi й смарт-контрактів

Ядром DeFi є DEX. Хоча вони можуть розглядатися як технологія, окрема від DeFi. Попередній підрозділ не означає, що DEX безпечніший за CEX. Тому опишемо проблеми експлуатації зловмисниками вразливостей децентралізованих протоколів, DEX і смарт-контрактів. Ці проблеми призводять до значних фінансових втрат користувачів, які взаємодіють із цими технологіями. 

Багато платформ DeFi запускаються без комплексних аудитів безпеки й навіть без базових аудитів смарт-контрактів. Навіть невеликі помилки в коді смарт-контрактів можуть мати катастрофічні наслідки. Один із перших подібних великих інцидентів, скандальний злам The DAO в 2016 році призвів до втрати приблизно 60-70 мільйонів доларів, а головне – серйозно підірвав репутацію Ethereum. 

У DeFi працює багато централізованих компонентів. Наприклад, компрометація адмін-ключів, які зберігають контроль над деякими проектами DeFi, може поставити під загрозу всю платформу.

Кейси. У 2021 році хакери зламали сайт BadgerDAO й впровадили в UI шкідливий скрипт, який перехоплював транзакції та переводив токени на рахунок зловмисника. Збитки становили 120 млн доларів. У тому ж році через вразливість у коді управління ключами Poly Network “сірому хакеру” вдалося вивести понад 600 млн доларів. Щоправда, він повернув цю суму проекту протягом кількох днів. Злом Ronin Network у 2022 році стався через компрометацію валідаторських ключів за слабкої децентралізації мережі. Інцидент спричинив втрату близько 600 мільйонів доларів.

Свіжі приклади включають помилки під час використання абстракції облікових записів ERC-4337. Неправильне налаштування опікунів і зберігача призводить до втрати контролю над гаманцями. 

Прозорість і компонування в DeFi – це “палиця з двома кінцями”. Прозорість транзакцій – це фундаментальна характеристика DeFi та блокчейну. Однак вона ж дозволяє зловмисникам використовувати ботів для атак, таких як фронтранінг. 

Компонування, тобто здатність протоколів взаємодіяти один з одним, створюючи “грошові лего”, призводить до того, що слабкість в одному протоколі може вплинути на інші через взаємозалежності.

Кейси. Злом Cream Finance у 2021 році стався через поєднання слабкості взаємозалежностей та експлойту миттєвої позики. Боти для трикутного арбітражу Uniswap у 2022-2024 роках експлуатували цінові різниці в циклах токенів для махінацій з арбітражем, які дестабілізували ринки. У 2023 році MEV-бот “jaredfromsubway.eth” випереджав і перехоплював угоди користувача шляхом сендвіч-атак.

Тобто самі принципи проектування, які роблять DeFi такою потужною технологією, додають складні взаємопов’язані ризики. Тягар управління ними перекладається із централізованої сутності (наприклад, розробника DEX) на користувача.

Юридичні ризики DEX – окрема тема. Торкнемося її в окремому розділі.

Лікування. Вивчайте та знижуйте ризики DeFi: Дотримуйтеся загальних правил цифрової гігієни та управління ризиками. Стережіться обіцянок гарантованого високого прибутку. Утримуйтесь від використання незрілих чи малознайомих технологій. Здійснюйте ретельну перевірку проектів (due diligence). Вибирайте проекти з відкритим вихідним кодом, активною підтримкою спільноти, гарною репутацією команди та аудитами смарт-контрактів та інфраструктури, виконаними незалежними компаніями. Застосовуйте специфічні заходи безпеки усередині проектів. Перед підписом перевіряйте смарт-контракти. Не давайте необмежених схвалень. Використовуйте сервіси на зразок revoke.cash для відкликання прав. Встановлюйте ліміти прослизання – максимально допустимого відхилення ціни. Правильно налаштовуйте опікунів, зберігачів тощо.

11) Ризики невзаємозамінних токенів (NFT) та їх екосистем

Торкнемося проблем безпеки NFT та пов’язаних із ними платформ (маркетплейсів, смарт-контрактів тощо). Недостатнє розуміння умов купівлі NFT, відсутність належної перевірки проектів та їхніх смарт-контрактів, а також схильність до фішингу та шахрайських схем безпосередньо збільшують ризики користувачів. Частина цих проблем має загальний характер з іншими технологіями блокчейну, але є й специфічні проблеми, властиві лише NFT.

По-перше, NFT схильні до таких загальних загроз як технічні експлойти та шахрайство. З одного боку, фішинг та підроблені UI спрямовані безпосередньо на психологічні вразливості користувачів NFT-маркетплейсів чи проектів. З іншого боку, технічні вразливості смарт-контрактів використовуються для крадіжок NFT та маніпуляцій функціями мінтингу без участі користувачів. Йдеться, наприклад, про недоліки повторного входу (reentrancy flaws) або пропуски контролю доступу (access control lapses). 

По-друге, як і з будь-якими криптоактивами, NFT схильні до ринкових маніпуляцій. Наприклад, продаж NFT із хибними обіцянками майбутньої цінності (типу доступу до ексклюзивних спільнот чи ігор), дзеркальні угоди (wash trading, штучне завищення обсягу торгів) та rug pulls (раптове припинення проекту зі зникненням коштів інвесторів). 

Нарешті, специфічні ризики. З одного боку, якщо NFT є фізичним активом, його втрата або знищення може знецінити NFT. З іншого боку, володіння NFT не завжди означає володіння базовим активом (наприклад, авторськими правами). Користувачі можуть мати неправильні очікування від володіння NFT. 

Правова база NFT недосконала. Тому на користувачів покладається важкий тягар ретельних юридичних перевірок перед кожною купівлею NFT. Часто це виходить за межі можливостей пересічного інвестора. До юридичних ризиків блокчейну ми ще повернемося нижче.

Лікування. Вивчайте та знижуйте загальні, специфічні та правові ризики NFT. Усвідомлюйте особливості володіння NFT.

12) Ризики крос-чейн мостів і оракулів

Завершимо розділ технологічних ризиків описом проблем безпеки крос-чейн мостів (технологій перенесення активів між різними блокчейнами) та оракулів (систем отримання зовнішніх даних для смарт-контрактів). Ці технології часто використовуються в DeFi, хоча можуть працювати й незалежно.

Користувачі часто припускаються помилок у конфігурації оракулів, вибираючи ненадійні джерела даних. Це відкриває двері для маніпуляції інформацією та спотворення результатів. Ще однією поширеною помилкою користувача є ігнорування перевірки даних від оракула. Це може призвести до використання застарілої або сфальсифікованої інформації в смарт-контрактах.

Кейс. Атака на Mango Markets 2022 року – один із найгучніших інцидентів з оракулами. Суть атаки полягала в штучному завищенні ціни токена. Її передавав оракул протоколу, ґрунтуючись на даних однієї невеликої біржі, якою було легко маніпулювати. Збитки становили понад 110 мільйонів доларів.

Багато крос-чейн мостів працюють за принципом “lock-and-mint” (блокування токенів в одній мережі та випуск еквівалентних токенів в іншій). Злом заблокованих токенів або атака “нескінченного мінтингу” може знецінити всі обернені токени та поставити під загрозу цілі блокчейни. Особливо багато втрат, пов’язаних із мостами, відбулося 2022 року. Втім, втрати за 2024 рік за різними оцінками не набагато нижчі.

Вибір користувачем мосту з низьким рівнем мінімізації довіри (тобто з високою залежністю від централізованих сторін) або взаємодія з протоколами, що використовують вразливі оракули, збільшує ризики. Нерозуміння компромісів у дизайні мостів (наприклад, між мінімізацією довіри та узагальнення) є ключовою помилкою користувача.

Незрілість технологій мостів посилює ситуацію. Фактично рядові користувачі є ранніми тестувальниками високоризикової експериментальної галузі.

Лікування. Вивчайте специфічні ризики оракулів та мостів, а також керуйте цими ризиками. Утримуйтесь від використання незрілих чи малознайомих технологій.

Ринкові та інвестиційні ризики

Зупинимося на ризиках, пов’язаних насамперед із фінансовими характеристиками криптовалют та інвестиційною діяльністю. З урахуванням особливостей децентралізованих технологій та труднощів регулювання криптовалют, виникають проблеми волатильності, ліквідності, стейблкойнів, інвестиційні шахрайства та багато інших ризиків.

Ринкові та інвестиційні ризики пов’язані з помилками вибору криптовалютного проекту або постачальника послуг. Водночас істотними причинами втрат коштів є довірливість, жадібність, страх, а також інші якості та емоції користувачів. Все це призводить до їхньої значної шкоди.

13) Проблеми волатильності 

Згадаємо ризики, пов’язані з високою та непередбачуваною мінливістю цін на криптовалюти, а також недостатньою ліквідністю для деяких активів. Це призводить до значних фінансових втрат інвесторів, які не розуміють ці ризики й піддаються тимчасовим настроям ринку. 

Ціни на нестабільні криптовалюти (non-stablecoins), починаючи з біткойна, коливаються значно сильніше, ніж у традиційних фінансових інструментів. Ці рухи можуть бути нелогічними. Часто вони викликаються подіями, специфічними для криптоіндустрії. Наприклад, зломи, шахрайство чи побоювання щодо регулювання. Крипторинок сильно залежить від спекуляцій, хайпу й подійних реакцій, а не від традиційних фінансових засад. 

Екстремальну волатильність демонструють мемкойни. Відсутність базових варіантів їхнього використання означає, що їхня вартість майже повністю заснована на хайпі, настроях та спекулятивному попиті. Це робить мемкойни вкрай сприйнятливими до швидких непередбачуваних коливань.

Лікування. Застосовуйте головне правило інвестора – вкладайте не більше, ніж ви можете дозволити собі втратити.

14) Проблеми ліквідності

Слабо поширені криптовалюти несуть підвищені ризики ліквідності. Ці ризики несуть переважно трейдери, проте для повноти картини ми маємо про це розповісти.

У чому суть? Торгових пар мало, склянки неглибокі, обсяги тонкі. Через це будь-яка угода помітно рухає ціну. У такі моменти ростуть спреди та прослизання, комісії на бриджах та в DEX б’ють по гаманцю, а обмін перетворюється на лотерею: купили легко, а продати за справедливою ціною вже важко. 

Додатково заважають делістинги, ліміти на виведення та фрагментація ліквідності між мережами та пулами. Також є низка супутніх ризиків ліквідності, в які ми не заглиблюватимемося.

Лікування. Перевіряйте склянку, обсяги за добу та TVL пула. Робіть пробні та часткові угоди. Віддайте перевагу лімітним ордерам. Торгуйте в години максимальної активності ринку й на майданчиках із кращою ліквідністю. Якщо актив нішевий, тримайте частину позиції в більш ліквідній парі або стейблкойні. Перевіряйте заборони на продаж, чорні списки та «податки» в коді токена та документації.

15) Проблеми стейблкойнів: делінк, заморозки емітентом, регуляторні ризики

Стейблкойни мають не настільки стабільний курс і надійне становище в світі крипти, як звикли вважати багато користувачів. 

Ідея алгоритмічних стейблкойнів була дискредитована крахом UST у 2022 році. За різними оцінками, збитки від цього інциденту склали від 40 до 60 млрд доларів. 

А неалгоритмічні стейблкойни – це, по суті, приватні централізовані псевдокриптовалюти. Надійність найбільших із них можна порівняти з надійністю банків США. Тобто, це не 100%.

Наприклад, будь-який криптодолар USDT або USDC може бути віддалено заблокований його емітентами, відповідно, Tether або Circle. Це вони й роблять час від часу, виконуючи розпорядження влади й борючись зі злочинними активами. До теми відмивання коштів ми повернемося нижче.

Лікування. Слідкуйте за репутацією та регулюванням стейблкоїнів. На сьогодні, для оборотних коштів використовуйте USDT як найпопулярніший стейблкойн. Для депозитів на “ведмежому” ринку – стейблкойн, дозволений у вашій юрисдикції (для Євросоюзу – USDC). Для депозитів на “бичачому” ринку біткойн має кращий вигляд, ніж будь-які стейблкойни.

16) Непостійні втрати (Impermanent Loss) у пулах ліквідності

Пули ліквідності DeFi залучають користувачів обіцянками високої річної процентної дохідності (APY) або винагороди. Однак тут бувають приховані витрати генерації дохідності. 

DeFi пропонує можливості пасивного доходу шляхом інвестицій як ліквідність. При цьому запроваджується складний, неочевидний і часто контрінтуїтивний фінансовий ризик – “постійні втрати”. Він може підірвати або навіть звести нанівець заявлену прибутковість.

Лікування. Зважайте на непостійні втрати при плануванні інвестицій у DeFi.

17) Інвестиційні шахрайства (Rug Pulls, Pump-and-Dump тощо)

На відміну від описаного вище “розподіленого” шахрайства та соціальної інженерії, коли зловмисники обманюють користувачів по одному, ми виділили в окрему групу інвестиційні шахрайства з обманом усіх користувачів проекту одразу. 

Ці схеми нагадують класичні схеми Понці (фінансові піраміди). Як і в звичайних пірамідах, для підтримки іміджу шахраї часто роблять виплати інвесторам коштом нових членів піраміди. Як варіант, гроші інвесторам повертаються з інших джерел, або не виплачуються взагалі. Хайп криптоприбутків настільки великий, що будь-який мінімально правдоподібний проект швидко збирає мільйонні інвестиції.

Для спрощення розуміння таких схем розглянемо спочатку імітацію краудсейла. Ще 7-8 років тому була популярна досить проста схема. Шахраї запускають фейковий проект, збирають гроші шляхом первинного розміщення токенів (ICO/IDO), а потім зникають без реалізації обіцяного. Наприклад, у 2017 році SEC закрила проект PlexCoin як шахрайський. Останніми роками шахраї зосередилися на підробці популярних легітимних краудсейлів.

Шахрайські краудсейли часто завершуються схемою “Rug Pull”, тобто “висмикуванням килимка з-під ніг інвесторів”. Розробники проекту раптово припиняють його та зникають з інвестованими коштами. 

Трапляються випадки Rug Pulls і без класичного краудсейлу. Наприклад, шляхом швидкого залучення активів через DeFi або NFT-маркетплейси. І навпаки, бувають шахрайські краудсейли без Rug Pulls. Наприклад, коли шахраї навіть не намагаються імітувати легітимну роботу, не будують інфраструктуру Rug Pull і задовольняються крадіжкою коштів лише перших інвесторів. 

“Pump-and-Dump” (накачування й скидання) – це штучне завищення ціни активу шляхом скоординованих дій, а потім різкий продаж активу, яка викликає обвал його ціни. Ця схема може бути реалізована без краудсейла, наприклад, на існуючих токенах.

Кейс. Найбільший свіжий “памп і дамп”, який залучив масовий роздріб та великих трейдерів, – мемкойн HAWK. Після вірусного успіху на YouTube наприкінці 2024 року було запущено активне просування мемкойна. Протягом одного дня ціна токену зросла на 900%. Потім за лічені години монета впала на 90%. Команда повністю обірвала зв’язок з інвесторами й користувачами. За різними оцінками втрати інвесторів становили до 450 млн доларів.

Загальні часті ознаки інвестиційного шахрайства – це обіцянки гарантованої високої прибутковості з мінімальним ризиком та акцент на залученні нових учасників, а не на продукті чи послузі. Недостатня перевірка (due diligence) проекту та команди, а також довірливість і бажання легких грошей – ось ключові інвестиційні помилки.

Інвестиційне шахрайство засноване на витончених схемах соціальної інженерії та фінансового маніпулювання, які грають на емоціях та психологічних упередженнях. Наприклад, на FOMO – жадібності й страху проґавити вигоду. Або на FUD – паніці та страху втрат. І звичайно, на відсутності фінансової грамотності та належної обачності.

Нерегульоване середовище ще більше сприяє цим схемам, обмежуючи можливості юридичного захисту. Тому розглянемо правові ризики в наступному розділі.

Лікування. Ретельно перевіряйте проекти (due diligence). Не залучайтеся до спонтанних інвестицій. Беріть паузи та вивчайте проекти щонайменше 48 годин. Остерігайтесь обіцянок гарантованого високого прибутку та ознак фінансових пірамід. Усувайте свої психологічні вразливості: нетерпіння, жадібність, страх тощо.

Юридичні та регуляторні ризики

Через новизну, складнощі та бурхливий розвиток індустрії державне регулювання відстає від прогресу. Тут одна з найбільших проблем навіть для сумлінних користувачів пов’язана із ризиками несправедливих звинувачень у незаконних транзакціях. 

Методи та засоби AML/CFT недосконалі. Тому вони можуть призводити до надмірних незручностей користувачів, або до помилкового блокування й навіть конфіскації їхніх коштів.

Крім того, є безліч інших правових проблем, пов’язаних із регуляторною невизначеністю, правами споживачів, податками тощо.

Цей розділ присвячений ризикам, що виникають через недосконалість законодавчих та регуляторних вимог, а також через проблеми, пов’язані із захистом прав споживачів. 

18) Несправедливі звинувачення в незаконних транзакціях

Вкрай актуальна тема. У попередній статті ми писали, що посилені вимоги AML/CFT й контроль офф-рампу роблять можливим блокування навіть сумлінних користувачів через «чужий бруд» в ончейн-історії коштів. 

Ми показали, як держави, біржі й банки контролюють крипторинки, використовуючи ончейн-аналітику, списки санкцій та KYC/AML, а також вимагаючи підтвердження походження коштів. 

Головні способи зниження ризику включають поділ «чистої», «сумнівної» та «брудної» крипти по різних гаманцях, документування доказів (скріншоти, звіти), а також превентивний адресний скринінг у сервісах KYT. У цій статті ми дали вам чек-листи дій «до, під час і після» транзакції, а також рекомендації для офф-рампу й на випадок отримання «брудної» крипти.

Лікування. Керуйте чистою й брудною криптою правильно: Розділяйте гаманці за ступенем довіри (наприклад: приймальний гаманець – проходження перевірки – основний гаманець). Використовуйте персональні сервіси KYT для аналізу вхідних транзакцій. Збирайте докази законного чи хоча б сумлінного отримання криптовалюти. Не соромтеся пред’являти ці докази біржам і банкам у разі їхніх питань чи санкцій. Вивчіть більш детальну нашу статтю на цю тему.

19) Регуляторна невизначеність і право власності на криптоактиви

Трохи про ризики, пов’язані з відсутністю чіткого й одноманітного правового регулювання криптовалют та блокчейну. Це створює невизначеність для користувачів щодо їхніх прав, зобов’язань і статусу активів. 

Багато галузей криптоіндустрії, особливо DeFi, працюють у майже нерегульованому середовищі. Це означає обмежені можливості юридичного захисту користувачів у разі шахрайства або збоїв проектів.

Проекти DeFi часто стикаються зі змінами законів і норм, які можуть призвести до санкцій та закриття цих проектів. Недостатнє розуміння чи ігнорування поточного правового статусу активів у певній юрисдикції, а також відсутність належної юридичної перевірки перед придбанням складних активів, таких як NFT – це критичні помилки користувачів.

Лікування. Слідкуйте за регуляторними змінами. Будьте в курсі правового статусу криптоактивів у своїй юрисдикції. Вивчайте не тільки теорію й закони, а й практику їхнього застосування ключовими суб’єктами, починаючи з конкретних бірж, платіжних систем, необанків і традиційних банків.

20) Захист прав споживачів 

Користувачі, особливо в розвинених державах, звикли до високого рівня дотримання споживчих прав. Як ми згадували вище, технічні особливості й відносна незрілість бізнес-процесів блокчейну ускладнюють застосування традиційних механізмів забезпечення цих прав. Наприклад, страхування втрат, пов’язаних із криптовалютами, часто неможливе або недоцільне.

Лікування. Пристосовуйте свої споживчі звички під нові технологічні й правові реалії.

21) Проблеми конфіденційності даних

Користувачі можуть не усвідомлювати наслідки публікації особистих даних у громадських блокчейнах. За своєю природою дані блокчейну розподілені по безлічі комп’ютерів в Інтернеті. Однак, регулювання вимагає одного власника, відповідального за конфіденційність даних. 

Наприклад, після ухвалення закону GDPR стали популярними такі норми, як “право на забуття”. Користувачі мають право, щоб їхні дані були повністю видалені. Однак записи в блокчейні постійні й чисто технічно ніколи не можуть бути знищені. 

Користувачі, які звикли до традиційних способів захисту своїх прав, роблять помилки та несуть зайві ризики, переносячи свої звички в світ блокчейну та криптовалют. Приватність – не автоматична функція блокчейну, а результат усвідомлених дій.

Лікування. Для підвищення приватності з урахуванням законів вашої юрисдикції та ризиків AML можна обережно: використовувати різні IP-адреси для різних завдань; розділяти транзакції й профілі; не проводити їх з одного гаманця, пов’язаного з KYC; застосовувати проксі, VPN і приватні браузери для роботи з DApp; уникати публікації адрес у відкритих джерелах; використовувати конфіденційні блокчейни (наприклад Monero, Zcash) або рішення другого рівня з покращеною приватністю.

22) Ризики оподаткування

Доходи, отримані від операцій із криптовалютою (майнінг, торгівля, стейкінг, продаж NFT тощо), підлягають оподаткуванню в багатьох юрисдикціях. Необхідність декларування залежить від статусу резидента, типу криптоактивів і характеру угод. 

Оцінка прибутку часто ускладнюється високою волатильністю курсів, відсутністю єдиного стандарту визначення вартості активу на момент операції та різночитаннями в законодавстві. Будь-яка конвертація у фіатні гроші може розглядатися як реалізований прибуток і оподатковуватись. 

Також можливі податки на майно чи успадкування щодо криптоактивів. Невиконання податкових обов’язків призводить до штрафів, пені чи навіть кримінальної відповідальності.

Лікування. Якщо маєте просту можливість, сплатіть податки й спіть спокійно. Якщо у вас все життя в крипті, а оподаткування складне, вивчайте можливості зміни юрисдикції.

23) Відповідальність емітентів і операторів

Трохи про емітентів токенів і операторів блокчейн-проектів. Особи та компанії, що випускають власні токени, можуть нести відповідальність за порушення законодавства про цінні папери, шахрайство, несанкціоноване залучення інвестицій та відмивання грошей. 

Багато країн вимагають проходження процедур реєстрації токена як фінансового інструменту або дотримання вимог KYC/AML. Порушення цих норм може призвести до штрафів, блокувань активів і кримінальних справ проти організаторів проектів. 

Емітенти залучають інвесторів за допомогою white paper, маркетингових матеріалів і публічних обіцянок. Якщо при цьому не бути обережним, можна потрапити під відповідальність за неправдиві відомості. Нездатність провести юридичну експертизу, узгодити проект із регулятором і врахувати особливості транскордонного регулювання призводить до високих ризиків власників криптопроектів.

Лікування. Розберіться в ризиках створення блокчейн-проектів та управління ними. Найміть юриста та заздалегідь структуруйте відповідальність розробника, власника, емітента, оператора, інвесторів та кінцевих користувачів.

Інші ризики

Нарешті, опишемо ризики, що не увійшли до жодної з груп, перелічених вище. Не всі ці ризики спричиняються діями користувачів. Хоча обізнаність користувача чи колективні дії грають значну роль.

Тут особливої ​​уваги потребують фізична безпека й психологічні ризики. Ціна питання може досягати психологічного й фізичного здоров’я, та ​​навіть життя користувача криптовалют. 

На жаль, технологічна легкість відчуження криптовалюти в порівнянні зі звичайними грошима та її непідконтрольність державі також означає полегшення незаконного заволодіння нею та уникнення відповідальності за це. Випадки фізичних атак на власників криптовалют (так звані «атаки гайковим ключем», «wrench attacks»), стають дедалі частішими.

Опишемо всі ці ризики глибше, аби скласти докладну картину сучасних проблем безпеки криптовалют.

24) Фізична безпека: здирництво, wrench-attacks, витоки KYC

Ця підкатегорія визначає ризики, пов’язані зі здоров’ям, життям та фізичною безпекою власників криптоактивів. Необережне розкриття інформації про володіння криптовалютами, відсутність достатніх заходів фізичної безпеки апаратних гаманців та особиста безтурботність збільшують ці ризики.

Апаратні гаманці або паперові копії сід-фраз можуть бути викрадені з дому або під час подорожей. 

Фішингові атаки еволюціонують. Зловмисники надсилають фальшиві листи під виглядом виробників апаратних гаманців на зразок Ledger, щоб отримати доступ до адрес та пристроїв. Це поєднується з заміною SIM-карток, коли хакери перехоплюють мобільні номери для обходу 2FA.

Нарешті, організовані групи часто використовують дані з витоків KYC з бірж. У даркнеті є дані мільйонів користувачів, включаючи домашні адреси. Все частіше відбуваються викрадення власників криптоактивів або членів їхніх сімей із метою отримання викупу. Злочинці застосовують насильство, щоб змусити жертву передати приватні ключі чи переказати кошти.

Безпека шляхом приховування (security through obscurity) не вважається надійним підходом у класичній інформаційній безпеці. Водночас сама суть безпеки криптовалют спирається на конфіденційність паролів, ключів і сід-фраз. Тому, користуючись простою аналогією, приховування власником криптовалюти самого факту володіння нею – це першочерговий захід забезпечення фізичної безпеки власника.

Лікування. Керуйте своєю фізичною безпекою. Не афішуйте володіння криптовалютою. Зберігайте активи правильно. Тримайте апаратні гаманці в сейфах або банківських комірках. Розділіть сід-фразу на частини та зберігайте їх у різних захищених місцях. Увімкніть 2FA без SMS, а через програми аутентифікації (Google Authenticator, Twilio Authy), а ще краще – апаратні токени. Зміцніть фізичний захист. Встановіть системи відеоспостереження, сигналізації та сейфи. Завітайте на тренінг із протидії викраденням. Уникайте одиночних поїздок до ризикованих районів. Якщо ви є публічною фігурою, наймайте особисту охорону. Багато компаній пропонують криптоінвесторам послуги фізичної безпеки, включаючи моніторинг загроз. Слідкуйте за витоками даних. Регулярно перевіряйте, чи ваші дані не потрапили в DarkNet. Використовуйте сервіси моніторингу типу “Have I Been Pwned”. Розробіть план на випадок надзвичайних ситуацій. Створіть реалістичний гаманець для ситуації “під примусом”, “дублюючі” гаманці із затримкою транзакцій (time-locks) або використовуйте послуги з відновлення, щоб уповільнити крадіжку та надати більше можливостей правоохоронним органам.

25) Екологічні ризики

Біткойн споживає більше електроенергії, ніж деякі розвинені західноєвропейські країни. Це пов’язане з типом його блокчейну Proof of Work. Дехто може зазнавати моральних чи репутаційних обмежень.

Лікування. Вибирайте блокчейни типу PoS або подібні. Як варіант, враховуйте, що біткойн споживає лише не більше 1% усієї світової електроенергії.

26) Репутаційні та психологічні ризики (FOMO/FUD, стрес)

Остання в нашому огляді група ризиків пов’язана зі шкодою репутації організацій чи окремих осіб, а також психологічним впливом на користувачів. 

Репутаційні ризики можуть виникати через асоціацію з шахрайськими проектами, відмиванням грошей або негативним суспільним сприйняттям криптовалют у деяких регіонах чи суспільствах.

Психологічні ризики викликаються високою волатильністю ринку, а також реальними й потенційними фінансовими втратами. Нездатність керувати емоційними реакціями на ринкові коливання, азарт, страх проґавити вигоду, паніка, сумніви та інші такі стани й процеси є психологічними вразливостями. Це призводить до стресу, тривоги, розчарування, депресій та інших негативних психологічних і патологічних наслідків. Вони значною мірою схожі на наслідки захоплення азартними іграми.

Ці ризики виходять за рамки фінансових чи технічних. Управління ризиками для користувачів криптовалют має містити емоційну та психологічну стійкість, а також розуміння впливу динаміки ринку на психічний добробут. Криптопроекти й лідери думок мають нести етичну відповідальність та уникати маніпулятивного маркетингу.

Лікування: Керуйте репутаційними ризиками як будь-якими іншими: вивчайте, оцінюйте й знижуйте їх. Прокачуйте самовладання та здоровий глузд. Дотримуйтеся дисципліни за допомогою психологічних чи духовних практик, членів сім’ї, робочого колективу, психологів чи психотерапевтів.

Комплексний підхід до управління ризиками

Таким чином, ми зробили широкий огляд сучасних криптовалютних ризиків, їхніх причин і наслідків. Ці ризики: 

• є багатогранними та взаємопов’язаними; 
• значно відрізняються від традиційних ризиків – як фінансових систем, так і ІТ;
• охоплюють технічні, фінансові, юридичні, операційні та психологічні сторони. 

Для вирішення нагальних тактичних завдань зі зниження особистих і корпоративних крипторизиків ми зосередилися на помилках користувача. Вони часто є якщо не головною причиною інцидентів, то каталізатором або супутньою причиною. 

Неправильні уявлення про безпеку, помилки управління секретами, уразливість до соціальної інженерії та багато інших недоліків є не просто випадковими прорахунками, а глибоко вкоріненими проблемами, що потребують системного підходу до освіти й захисту. Як розв’язання цих проблем ми навели сучасні рекомендації щодо безпеки криптовалют.

Ризики блокчейну й криптовалют трохи змінюються щороку. З’являються нові ризики, а проти старих запроваджуються заходи безпеки. Водночас не виключено, що якась одна або кілька великих подій змінять набір цих ризиків різкіше, ніж вони змінювалися до цього. 

Що якщо через помилку в програмному коді в блокчейні Біткойна або Ефіріуму відбудеться великий збій, деградація чи простій? Що якщо емітент найбільшого стейблкойну закриється чи посвариться з владою? Що якщо держави й банки різко та одночасно посилять податкове навантаження, комісії, контроль і санкції? 

Чи можливі подібні катастрофи? Ми вважаємо, що не виключені. Напишіть нам вашу думку. 

Якщо маєте будь-які інші питання, пропозиції чи проблеми, пов’язані з інформаційною безпекою криптовалют або блокчейну, звертайтеся до нас.