23 січня 2025 року відбулася справжня катастрофа: зломники Lazarus Group завдали удару по «гарячим» кошелькам, завдавшишши збиток більш ніж $70 млн. Чверть року пізніше ті самі злочинці знову атакували Bybit, завдаючи збиток вже $1,5 млрд.
Повний потік зломуників змусив торгівців переглянути баланс між централізованими і децентралізованими послугами. Команда Phemex поділилася своїми секретами зі статті на сайті ForkLog, розповівши, як біржа зміцнила захист після злому.
Що таке централізована біржа (CEX)? Це організація, яка зберігає приватні ключі користувачів, приймаючи ризик можливої недобросовості керівництва та зовнішніх атак на «гарячі» кошельки.
Альтернативою CEX можуть стати децентралізовані послуги (DeFi)-протоколи, не тільки або, але також і кредиторські протоколи. Більшість централізованих бірж давно вийшли за рамки торгівлі й пропонують широкий спектр фінансових продуктів.
Апріль 2026 року став справжньою катастрофою для DeFi-протоколів. 1 квітня хакери Drift Protocol завдали збиток $280 млн, а інцидент з групою TraderTraitor -підділом Lazarus Group, відповідальним за злому Bybit і Phemex.
Через дві тижні злочинці протоколу Kelp викрали $293 млн в токенах rsETH і використали їх як залог для отримання позик в Aave. Це спричинило масовий відтік депозитів з найбільшим кредитним ліжком: Standard Chartered повідомляє, що користувачі вивели відтуди $17 млрд, а кількість активних позик скоротилася на $5,5 млрд.
Атаки не зупинилися. 22 квітня злочинці атакували платформу ликвідного стейкінга Volo на Sui і завдали збиток $3,5 млн. 27 квітня -кредитну платформу Scallop в тому ж блокчейні. 28 квітня злоумисльники атакували чотири проекти: кроссчейн-сеть ZetaChain ($334 000), інфраструктурний Ethereum-проект Syndicate ($330 000) і біржу Aftermath Finance на Sui ($900 000). 30 квітня злочинці атакували протокол Wasabi і завдали збиток більш ніж $5 млн.
Многі інвестори, які зберігали стейблкоины і Ethereum в « перевірених» протоколах, наприклад, Aave і Lido, почали виводити капітал. При цьому вони готові відмовитися від додаткової доходності, оскільки частина користувачів переключилася на Earn-продукти і повернулася до торгівлі на централізованих біржах.
В останні роки централізовані біржі зміцнили захист на трьох ключових напрямках:
Proof-of-Reserves (PoR) -криптографічне підтвердження того, що біржа зберігає активи, які покривають зобов’язання перед клієнтами. Стало де-факто стандартом після листопада 2022 року.
Мультирівневе зберігання -розподіл коштів на холодні, теплі і «гарячі» кошельки зі застосуванням мультипідписів.
Компенсаційні механізми -біржі почали створювати страхові фонди на випадок несподіваних обставин.
Довіра встановлюється на перетині цих трьох елементів. Давайте розберемо, що стоїть за кожним з них.
Proof-of-Reserves Phemex однією з перших серед централізованих бірж запровадила Proof-of-Reserves на основі 21 листопада 2022 року -через десять днів після краху FTX. На початку механізм охоплював резерви в биткоині, Ethereum, USDT і USDC. За травня 2026 року список розширився до 11 активних, включаючи TRX, BNB, XRP, SOL, SUI і AVAX.
Дані про резерви публікуются щомісяця. За даними на травень 2026 року, загальний показник забезпечення склав 129,75% -резерви за активами перевищували зобов’язання біржі перед клієнтами. Це створює буфер на випадок екстремальних ринкових сценаріїв або операційних збоїв.
«Дані про резерви повинні регулярно оновлюватися і легко перевірятися користувачами. Щомісячна публікація Proof-of-Reserves перетворює цей принцип у стандарт операційної роботи. Для нас «користувач перш за все» означає, що торгівці отримують інформацію для самостійної оцінки платформи, а не повинні просто вірити на слово», – заявив CEO Phemex.
Дерево Меркла дозволяє користувачеві перевірити включення власного балансу в загальний снапшот без розкриття даних інших клієнтів.
«Баланси клієнтів порівнюються попарно, потім порівнюються знову попарно — і так до єдиного значення (кореня Меркла). Зміна будь-якого балансу хоча б на 1 сатоши повністю змінює корінь. Для підтвердження того, що власні кошти враховані користувач копіює Hashed Client ID зі свого особистого кабінету і порівнює його на сторінці Proof-of-Reserves», – пояснив Phemex.
Адреси частини холодних кошельків біржі.任何 користувач може перевірити баланси через оглядачі відповідних мереж.
Під час зберігання коштів користувачів Phemex використовує багатоступінчасту архітектуру:
холодні кошельки -більше 70% коштів клієнтів. Приватні ключі повністю ізольовані від інтернету. Кожна транзакція вимагає затвердження декількох незалежних підписників, фізично розташованих одне від одного. Всі перекази обробляються вручну після багаторазової верифікації.
теплі кошельки -приблизно 20% активів. Безпечний мостик між холодним і «гарячим» зберіганням. Омежений розмір для управління ліквідністю без прямого виходу в інтернет.
гарячі кошельки -менш 8% коштів. Відповідальні за оперативні депозити і виводи.Even при повній комрометації «гарячих» кошельків більш ніж 90% капіталу залишаються незміненими у холодному і теплому зберіганні.
Приватні ключі «гарячих» кошельків захищені схемою розподілу секрета Шамира: ключ математично розподіляється на декілька зашифрованих фрагментів, для відновлення яких потрібні декілька з них (наприклад, 3 з 5). Фрагменти зберігаються в різних місцях, і компрометація одного з них неефективна без інших. Сами фрагменти обробляються усередині AWS Nitro Enclaves -ізольованих обчислювальних середовищах, недоступних операційній системі і адміністраторам.
Кастодіальна інфраструктура співпрацює з Fireblocks -інституційним постачальником із MPC-моделлю зберігання. Технологія розподіляє криптографічні частки ключа між декількома захищеними середовищами. Ніяке пристрій і ніякий співробітник не зберігає повний приватний ключ.
«Додатково діє круглосуточний моніторинг кошельків: автоматичний аналіз активності по всіх трьох рівнях, спостереження за частотою і розміром транзакцій, адресами отримувачів і відхиленнями від поведінкових моделей. Підозрювані транзакції автоматично зупиняються і спрямовуються на ручну перевірку», — додали у Phemex.
Що захистить обліковий запис Мерій Phemex користувач активує самостійно. Обов’язковою
За матеріалами ForkLog