Хакерские атаки доставляют криптобиржам все больше проблем, подрывая доверие к платформам и их системам безопасности. Но этим негативный эффект взломов не ограничивается — биржи могут столкнуться с кризисом ликвидности.

Кризис ликвидности — это ситуация на рынке, когда у компании, например, какой-либо криптобиржи, возникает недостаток в деньгах или денежных эквивалентах, то есть активах, которые можно легко реализовать и получить достаточно наличных для погашения краткосрочных (до года) обязательств. Одна из основных причин его возникновения — хакерские атаки.

В большинстве случаев злоумышленники пытаются завладеть криптоактивами. Если аферисты достигают своей цели, то у торговой платформы, подвергшейся атаке, могут возникнуть серьезные затруднения с выводом и проведением транзакций из-за недостатка тех или иных токенов.

Ситуация обычно усугубляется, так как взломы вызывают панику у клиентов биржи. После того как об атаке становится известно общественности, пользователи, опасаясь за свои сбережения, стараются как можно быстрее изъять их с платформы. В итоге у биржи возникает сразу две проблемы: недостаток украденных монет и огромный поток заявок на вывод, которые как-то нужно удовлетворять за счет резервов.

Хакерские атаки обычно имеют не только сиюминутное влияние на ликвидность, но обладают и отсроченным эффектом. Любой взлом — это удар по репутации. Часть клиентов после такого покинут платформу в поиске более «тихой гавани». Другие же криптоэнтузиасты, которые могли бы воспользоваться услугами биржи, воздержаться от этого, чтобы не рисковать.

Действия бирж

Биржи должны молниеносно реагировать на действия злоумышленников. Первые сутки после взлома даже называют «золотыми часами» — именно этот период может стать решающим для устранения проблем. Рассмотрим наиболее популярные приемы, которые используют криптобиржи:

  1. Первый шаг — заморозка движения активов. В частности, остановка вывода криптовалюты. Причем проводиться такая мера может даже на биржах, не подвергшихся взлому. Например, такой прием время от времени практикуют в Binance — биржа прибегала к нему в 2022 году, после атаки на поставщика Web3-инфраструктуры Ankr, и в 2019 году, после кражи 7 000 BTC.

  2. Второй шаг — обозначить свою позицию перед клиентами, а не скрывать подробности происходящего. Именно к этому прибегли в Bybit во время последней нашумевшей кражи криптовалюты на $1,5 млрд. Уже через полчаса после инцидента генеральный директор криптобиржи Бен Чжоу (Ben Zhou) сообщил о проблеме, а через час провел в прямом эфире стрим на эту тему.

  3. Третий шаг — координированные действия с другими криптобиржами. Платформы совместно блокируют адреса злоумышленников, чтобы тем было сложнее вывести активы.

  4. Четвертая мера — проведения комплексной экспертизы безопасности. Бирже, подвергшейся атаке, жизненно необходимо выявить уязвимость, которой воспользовались мошенники. Она может быть где угодно: от смарт-контрактов до ключей API.

  5. Пятый шаг — убедить клиентов, что работа по устранению проблем ведется.

Оценка ущерба

Первым делом выявляют уязвимость. Злоумышленники прибегают к различным методам взлома, а иногда модифицируют уже использованные приемы. Например, во время хакерской атаки на Bitfinex в 2016 году, когда было украдено почти 120 000 BTC, проблема заключалась в уязвимости кошельков с мультиподписями. 

Ситуация повторилась при недавней самой крупной в истории атаке на Bybit в феврале 2025 года. Правда, вектор был другим. Чтобы быть готовыми дать отпор мошенникам, биржи проводят систематический анализ недоработок в программном обеспечении, смарт-контрактах и закрытых ключах.

Одновременно с оценкой уязвимостей производится и подсчет финансового ущерба. Это необходимо сделать для того, чтобы понять, какое количество активов необходимо для поддержания ликвидности и удовлетворения клиентского спроса.

Также биржи прибегают к переводам криптовалют, которые не подверглись атаке злоумышленников, на холодные кошельки. Иногда платформы приостанавливают торговлю отдельными токенами. Это делается для того, чтобы избежать различного рода рыночных манипуляций.

Кроме того, торговые платформы прибегают к помощи сторонних компаний, которые способны провести комплексный анализ кибербезопасности. Обычно это занимает несколько дней, после чего принимаются дальнейшие решения по выходу из проблемной ситуации: как и за счет чего компенсировать клиентам причиненные неудобства.

Стратегии восстановления ликвидности

Есть несколько действенных схем, которыми пользуются криптобиржи для того, чтобы не допустить кризис ликвидности. Одна из них — обратиться к своим страховым фондам или резервам. Правда, таковые есть не у всех площадок. Самый известный из них — Фонд безопасных активов для пользователей (SAFU) от Binance.

Другим способом решения проблемы выступают кредиты и займы, а также собственный капитал. К этому методу прибегла японская биржа Coincheck после хакерской атаки в 2018 году. За счет собственных средств ей удалось покрыть почти 80% украденного, а также избежать банкротства.

В широком смысле к кредитованию можно отнести и предоставление ликвидности от конкурентов пострадавшей платформы, если оно осуществляется на возмездной основе. Существует практика взаимной помощи среди торговых площадок-конкурентов по предоставлению пострадавшему рыночному агенту необходимой ликвидности, чтобы избежать ее кризиса и, следовательно, банкротства. Причем в теории помощь могут предоставить как в виде кредита (срочного или бессрочного), так и безвозмездно. Условия помощи могут обсуждаться в каждом случае отдельно. Примером подобной практики выступают действия Bitget по предоставлению 40 000 эфиров для Bibyt.

Еще один вариант — временно прекратить определенные операции на платформе. Полностью остановить работу нельзя, так как это вызовет слишком большое недовольство публики. Чаще все биржи на время замораживают выводы активов, в то время как торговля продолжается.

Наконец последний вариант — убеждение. Он представляет собой выступление представителей криптобиржи перед ее клиентами, где они гарантируют, что все с украденной криптовалютой будет в порядке. Так поступило руководство Bybit в феврале 2025 года, заявив, что биржа справиться с трудностями, так как все активы клиентов обеспечены биржей 1:1.

Восстановление потерь клиентов

После того, как технические аспекты хакерского взлома удается решить, у биржи возникает вопрос о возврате украденного и компенсации пользователям.

То, что злоумышленники на время получили доступ к криптовалюте, не означает, что это будет длиться вечно и ничего с этим сделать нельзя. Блокчейн — это открытый реестр, в котором можно отследить любую транзакцию. Часто биржам удается вернуть утраченные средства. При этом они пользуются услугами различных сторонних аналитических организаций, а также опираются на юридическое сопровождение.

Обычно платформы быстро определяют адреса хакеров. Например, в случае с Bybit в феврале 2025 года процедура заняла менее двадцати минут. Одновременно с этим KuCoin опубликовала адреса злоумышленников, что позволило сделать процесс отслеживания и заморозки более обширным.

Кооперация между биржами играет значительную роль. Это объясняется тем, что, изъяв криптовалюту с одной площадки, злоумышленники чаще всего пытаются ее перевести на другую.

Интересно, что порой удается договориться о возврате активов со взломщиками. Иногда в таких ситуациях хакеры получают награду, а бывает, что обходится и без нее. Например, известный случай произошел с DeFi-платформой The Poly Network в 2021 году. Тогда было выведено криптоактивов на сумму свыше $600 млн. Тем не менее, почти все они были возвращены, а хакер получил вознаграждение и пост советника по кибербезопасности в The Poly Network.

Стоит отметить, что криптобиржи чаще предпочитают ничего не платить злоумышленникам, и рассчитывают на государственные органы. Процесс часто затягивается. Например, некоторые пострадавшие в 2014 году клиенты MtGox до сих пор не получили деньги.

А что делать, если возвратить все не удалось? Здесь есть несколько вариантов. Первый — бирже хватит собственных резервов для восполнения потерь клиентов. Второй — у нее окажется недостаточно собственных активов для удовлетворения пользователей. В первом случае биржа воспользуется резервами и на этом все и закончится. Во втором придется прибегать к изощренным уловкам. Например, в Bitfinex в 2016 году выпустили долговые токены BFX на сумму потерь клиентов. Ими можно было торговать, а самое главное, что в конце концов их выкупили у пользователей обратно.

Хакерские атаки и законодательство

Можно сказать, что хакерские атаки в некотором смысле способствуют все большему проникновению регуляторов в криптоиндустрию. Случай с MtGox в 2014 году заставил власти Японии ввести лицензии для криптобирж.

При этом, различные страны неодинаково подходят к разработке законодательный базы в отношении криптобирж. Например, в США до сих пор у площадок нет необходимости иметь федеральные лицензии. Это, однако, не мешает Комиссии по ценным бумагам и биржам (SEC) или Комиссии по торговле товарными фьючерсами (CFTC) быть привлеченными к расследованию, если биржи находятся в сфере их надзора.

Хотя платформы и могут обратиться за помощью к властям, последние могут ее оказать по-разному. В ряде случаев необходимо доказать, что биржа не замешана в действиях, которые специально или случайно привели к взлому. Например, Корейское агентство интернета и безопасности (KISA) после ряда случаев проверяла платформы на предмет сбоев в системе безопасности. О хакерских атаках должно своевременно сообщаться. Если этого не происходит, то на биржи могут быть наложены штрафы.

Безопасность криптобирж после хакерских атак

Любая хакерская атака несет не только отрицательный эффект, но и положительный. Как ни странно, именно действия злоумышленников заставляют криптобиржи постоянно совершенствовать свою систему защиты. Бесспорно, она до сих пор не идеальна, да и никогда не будет, но кое-чего уже удалось достичь.

Во-первых, практически все современные торговые площадки перешли на холодные кошельки с мультиподписью. Они намного надежнее по сравнению с горячими кошельками, которые легче взломать.

Во-вторых, биржи постоянно обновляют свою инфраструктуру. Модернизации подвергаются такие аспекты как фаервол, системы, обнаруживающие вторжение, протоколы управления.

В-третьих, хакерские атаки привели к тому, что биржи усилили внутренний контроль безопасности. К примеру, сейчас чтобы провести крупную транзакцию, практически все площадки требуют двухфакторную аутентификацию.

В-четвертых, у каждой биржи сейчас есть операционные центры безопасности (SOC), которые круглосуточно проводят мониторинг и аудит всех систем. Кроме того, повсеместным стало использование этичных хакеров, которые находят уязвимости и получают за это награду.

В-пятых, увеличилась общая устойчивость индустрии к хакерским атакам. Она все еще не стопроцентная, но введение политики KYC/AML, постоянный аудит резервов бирж и ведение внутренних черных списков привели к заметным улучшениям.

В-шестых, хакерские атаки привели к тому, что власти по всему миру развивают законодательную базу в области криптоторговли. Например, в ряде стран криптобиржам необходима лицензия, а проводимые там транзакции подвергаются строгому надзору.

Вывод

Кризис ликвидности — это нехватка активов, которые можно быстро продать. Основной причиной их возникновения выступают хакерские атаки. Несмотря на то, что основной эффект от действий злоумышленников негативный, есть и позитивные аспекты для торговых платформ: устранение уязвимостей в функционировании площадки, развитие законодательства, а также совершенствование методов надзора и мониторинга.