Безопасность криптовалют для финансовых руководителей

В 2025 году наблюдается увеличение темпов институционального участия в цифровых активах. Опросы, выпуск новых продуктов и спрос клиентов — всё указывает на растущий спрос со стороны клиентов, более прозрачное регулирование в различных ключевых юрисдикциях (особенно режим MiCA в ЕС) и общее движение к модернизации банковской инфраструктуры. 

С дальнейшей интеграцией криптовалюты в традиционные финансы ожидается, что уровень защиты изменится до уровня устойчивости предприятия и готовности к регулированию. Для руководителей технологических отделов（CTO） и директоров по информационной безопасности приоритет сместился с классификации цифровых активов на их защиту.

Мышление в области безопасности криптовалют

Централизованная система традиционных финансов может отменить мошенничество, заморозить счета и обеспечить возмещение. Напротив, сделки в блокчейне, как правило, не подлежат изменению, а окончательный контроль над активами определяется наличием приватных ключей. 

Если эти ключи утеряны или скомпрометированы, их восстановление может быть практически невозможным. Страхование и кастодианы могут обеспечить некоторую защиту от любых практических потерь, но ничто не может отменить то, что находится в цепочке.

Вот почему сам ландшафт угроз уникален и сложен:

• Сложное вредоносное ПО: Инфостилеры нового поколения сканируют браузеры и гаджеты, а также сетевые адреса с конфиденциальными ключами, мнемоническими словами, токенами аутентификации, файлами кошельков и информацией о сессиях.
• Социальная инженерия с использованием ИИ: Используя мошенничество с ИИ, мошенники успешно подделывают руководителей компаний и одобряют мошеннические транзакции. Этот вид атаки используется повсеместно.
• Риски смарт контрактов:  Поскольку финансовые учреждения участвуют в работе с протоколами DeFi（Децентрализованные финансы）, они подвержены риску инцидентов с вредоносными или неисправными смарт-контрактами, таких как несанкционированные разрешения, атаки повторного входа или оракулы

Как построить безопасную криптовалютную структуру

Холодное хранение и HSM

Огромные активы по-прежнему защищены холодным хранением, будь то автономное оборудование или аппаратный модуль безопасности (HSM). Эти системы снижают уязвимость, поскольку приватные ключи изолированы от интернет-мира.

Многосторонние вычисления (MPC)

В MPC важный материал разделяется на криптографические части между различными сторонами или устройствами. Никогда не бывает одной стороны, у которой есть полный ключ, что является важным фактором в минимизации риска единой точки отказа. MPC также способен установить географически и логически распределенный рабочий процесс утверждения.

Контроль с мультиподписью (Multi-Sig)

Кошельки с мультиподписью реализуют процедурную безопасность через использование ряда независимых утверждений для проведения транзакций с деньгами. Хотя они менее сложны, чем MPC, они требовательны с точки зрения наличия безопасных конечных точек подписи и доступности подписывающих лиц.

Технологии имеют различные преимущества:

• HSM предлагают усиленное оборудование, но должны быть склонны к избыточности поставщиков и географической избыточности.
• MPC снижает риск извлечения ключа за счет более сложного управления и восстановления.
• Multi-sig обеспечивает прозрачный надзор, но должен полагаться на безопасные, надежные операции подписывающих лиц.

Практические шаги, которые финансовые учреждения могут предпринять сейчас

Проведение комплексного аудита безопасности

Организациям следует обратиться к услугам внешних специалистов для анализа ИТ-архитектуры, контроля доступа, рабочего процесса кошелька и готовности к управлению ключами перед расширением до цифровых активов. Это дает обоснованную основу для масштабирования в будущем.

Приоритет внутреннего образования

Каждый, от руководителя до инженеров, должен знать основы криптовалют, кошельков и угроз безопасности. Незнание — огромный риск. Технические концепции и другие понятия, связанные с криптовалютой, четко и легко определяются через такие ресурсы, как Webopedia и другие источники, позволяя командам начать свободно владеть ими в короткие сроки.

Рассмотрите возможность начать с регулируемого кастодиана

Многие организации начинают с партнерства с устоявшимися кастодианами для их безопасной инфраструктуры и страхования. Тем не менее, страховую политику также следует пересмотреть, обращая внимание на ограничения покрытия, исключения и положения о социальной инженерии. Некоторые партнерства полезны для обучения внутренних команд по мере развития их собственного опыта.

Проводите регулярные учения по фишингу и социальной инженерии

Тесты на фишинг становятся пережитком прошлого с имитацией, управляемой ИИ — имитацией голоса или поддельного крипто-сообщения. Чтобы преодолеть это, учреждениям необходимо использовать реалистичные учения на основе сценариев, чтобы подготовить персонал к этим новым угрозам и минимизировать восприимчивость.

Статья "Безопасность криптовалют для финансовых лидеров" впервые появилась на FF News | Fintech Finance.