Ответы и другие вопросы о безопасности Web3: главные детали
Web3 обещал нам банковский суверенитет без посредников, самостоятельное хранение ключей и смарт-контракты, которые «нельзя взломать». Красивая обёртка, ничего не скажешь — маркетологи постарались на славу.

Масштаб бедствия: откуда берутся эти миллиарды
Чтобы цифра 1,31 миллиарда не казалась абстрактной, её стоит разложить на составные части. 344 инцидента — это, напомним, лишь то, что попало в публичные отчёты. Реальная картина традиционно хуже: мелкие проекты предпочитают не афишировать потери, часть эксплойтов обнаруживается спустя месяцы, а часть успешно прячется под видом «технического сбоя». За весь 2025 год совокупный ущерб Web3-сектора составил около 3,4 миллиарда долларов, причём почти 1,5 миллиарда из этой суммы пришлись на одну крупную утечку — инцидент с биржей Bybit. Когда треть годовых потерь индустрии — это один кошелёк одной биржи, говорить о «децентрализованной устойчивости» как-то неловко.
Помесячная разбивка 2026-го тоже не радует: в январе, по данным GoPlus, потери составили 414 миллионов долларов; за первый квартал, по подсчётам Hacken, — 464,5 миллиона. Полугодие закрылось на отметке 1,31 миллиарда, и эта цифра продолжает расти. Динамика стабильно восходящая, без намёка на перелом. Если раньше можно было утешать себя тем, что «индустрия молодая», то шестой год подряд взрывного роста — это уже не молодость, а хроническая болезнь.
За первое полугодие 2026-го Web3-проекты потеряли больше, чем за аналогичный период 2025-го. Это не случайные взломы — это устойчивая тенденция, за которой стоят конкретные, хорошо отработанные тактики.
Компрометация кошельков: самый дорогой способ расстаться с деньгами
Если раньше хакеры ломали смарт-контракты — искали ошибки в логике, реентранси, неправильные проверки прав доступа — то сейчас самый финансово разрушительный вектор атак сместился. По данным CertiK, в первой половине 2026 года компрометация криптокошельков стала лидером среди причин потерь. Звучит технично, но по сути это старое доброе «увели пароль» — только с криптовалютным размахом и без банковской службы, которая пароль вернёт.
Что это значит для рядового пользователя? Примерно следующее: ваша сид-фраза в безопасности ровно до того момента, пока вы сами её не отдали. А отдают её охотно. Либо через фишинговые сайты, которые выглядят один в один как «официальный интерфейс моста», либо через фальшивые обновления кошелька, либо через «поддержку», которая пишет в Discord от имени проекта. Технической уязвимости в смарт-контракте может и не быть — зато есть уязвимость в человеке. И её, как показывает практика, патчить значительно сложнее, чем код.
Объяснять пользователю в десятый раз, что сид-фразу нельзя вводить на сайтах и нельзя хранить в облаке, — занятие бесполезное. Это знают все, но продолжают делать. Значит, основной фронт борьбы сегодня смещается к социальной инженерии и операционной безопасности в широком смысле. То есть к тому, что раньше называли «гигиеной» и что в Web3 до сих пор толком не автоматизировано.
Самый дорогой взлом — это не тот, где ломают код. Это тот, где ломают вас.
Социнженерия: когда код не виноват, а деньги всё равно ушли
Отдельно стоит остановиться на социальной инженерии, потому что именно она объясняет рост потерь при относительно стабильной базе уязвимостей в самом коде. Легенды у мошенников стандартные: «срочно подпишите транзакцию, иначе активы заморозятся», «установите программу, чтобы починить звук в видеозвонке», «пройдите верификацию по ссылке, пока окно не закрылось». Каждая из этих схем работает, потому что эксплуатирует не криптографию, а тревожность — а её у среднего пользователя криптобиржи хоть отбавляй.
Технически грамотный мошенник не стал бы изобретать велосипед: достаточно одного мгновения паники, чтобы человек вставил приватный ключ куда не следовало либо подписал транзакцию, дающую полный контроль над кошельком. Под безобидным словом «approve» в интерфейсе MetaMask нередко скрывается передача права распоряжаться всеми активами по заданному адресу. Цифры, повторимся, говорят сами за себя: компрометация кошельков как вектор атак обогнала по финансовому ущербу все прочие категории за полугодие.
В этом контексте особенно цинично выглядят заявления проектов о том, что «безопасность клиента — наш главный приоритет». Приоритет, который обычно выражается в красивом лендинге и ссылке на «аудит PwC», где под аудитом, если почитать, понималась проверка статического анализа контракта, а не сценариев реального пользователя. То есть формально галочка стоит, по факту защиты нет.
Rekt Test: 12 вопросов, на которые разработчики предпочитают не отвечать
В августе 2023 года группа отраслевых игроков — Trail of Bits, Immunefi, Fireblocks, Anchorage Digital, Ribbit Capital, Solana Foundation и Circle — представила фреймворк Rekt Test. Это список из 12 ключевых вопросов, по которым можно оценить зрелость системы безопасности Web3-проекта. Идея простая: если команда не может честно ответить хотя бы на половину этих пунктов, с её продуктом лучше не связываться.
Важно понимать границы этого инструмента. Rekt Test — не панацея и не охранная грамота. Прохождение всех двенадцати пунктов не гарантирует, что проект не взломают: это лишь минимальный стандарт зрелости — своего рода техосмотр, без которого автомобиль на дорогу лучше не выпускать. Но, судя по тому, как регулярно появляются новости об очередной потере, даже техосмотр проходят далеко не все.
Что покрывают эти 12 вопросов — по открытым данным — можно свести к нескольким ключевым категориям. Условно — на что смотреть перед тем, как заводить депозит:
| Категория | Что проверяем | Зачем это нужно |
|---|---|---|
| Управление ключами | Использование аппаратных ключей и многофакторной аутентификации | Снижает риск компрометации кошелька |
| Документация | Описание ролей, привилегий, доступа к казначейству | Показывает, кто и за что отвечает в проекте |
| Реагирование | Наличие плана реагирования на инциденты и контакты команды | Определяет, как быстро проект отреагирует на взлом |
| Аудит | Внешние аудиты и работающие bug bounty программы | Подтверждает, что код проверяли не только свои |
Этот список — скелет, который проекты обязаны нарастить собственной конкретикой: какие именно аудиторы, когда была последняя проверка, какой объём bug bounty, кто реально сидит в команде безопасности. Если на сайте проекта об этом — ни слова, а в белой книге — стандартная отписка «мы за безопасность» и ноль имён аудиторов, перед вами, скорее всего, очередная стрижка хомяков.
Rekt Test — не гарантия. Это минимальная планка честности: её прохождение говорит лишь о том, что команда вообще думает о безопасности, а не о том, что она всё делает правильно.
Гигиена кошелька: что можно сделать прямо сейчас
Пока разработчики латают свои контракты и пишут красивые посты в духе «безопасность — наш приоритет», пользователю имеет смысл заняться тем, что в его собственных руках. Несколько правил звучат банально, но именно они отделяют тех, кто потерял деньги, от тех, кто пока нет:
- Не использовать публичный Wi-Fi без VPN. Открытая сеть в кофейне, аэропорту или торговом центре — готовый канал для перехвата трафика. VPN-сервис стоит недорого и настраивается за пару минут, а снимает сразу несколько векторов атаки.
- Перейти на аппаратные ключи. Программный кошелёк удобен — и уязвим. Аппаратный ключ выводит приватный материал за пределы компьютера, где крутится браузер с фишинговыми вкладками и расширения, о которых вы забыли.
- Не устанавливать программы для «исправления аудио/видео» во время звонков. Классическая схема: «поддержка» проекта связывается через видеозвонок, просит «обновить клиент», на деле ставится троян. Никакого «исправления» не существует — это вход в систему.
- Не хранить сид-фразу в облаке, на флешке без шифрования или в заметках на рабочем столе. Бумага в сейфе или физически изолированный носитель — единственные варианты, которые не интересуют автоматические грабельщики.
- Не подписывать транзакции, смысл которых вы не понимаете. Это самое сложное правило: под «approve» в интерфейсе может скрываться передача полного контроля над кошельком. Если интерфейс непривычный — лучше отказаться, чем потом объяснять, куда ушли монеты.
Все эти пять пунктов — не исчерпывающий гайд. Это операционная гигиена уровня «не оставлять ключи в замке зажигания». Но именно из-за её отсутствия значительная часть тех самых 1,31 миллиарда и утекла.
Итого: что со всем этим делать
Если коротко — не вестись. Ни на обещания «некастодиального рая», ни на громкие аудиты без названий аудиторов, ни на срочные «проверки», ни на «ограниченные по времени окна». Индустрия продолжает терять деньги быстрее, чем находит новые способы их защищать, и перекладывать ответственность на пользователя при этом никто не торопится.
Минимальный набор действий, при котором нервы и депозит остаются в более-менее сохранном состоянии: аппаратный ключ для основного объёма активов, отдельный «расходный» кошелёк на ежедневные взаимодействия с dApps, никаких сид-фраз в электронном виде и стойкое «нет» всему, что просит установить что-то «для звонка». Всё, что выходит за эти рамки, — уже лотерея, в которой у вас нет билета, но есть деньги на кону. Осторожность тут — не трусость, а математика: 1,31 миллиарда долларов за полгода — это статистика, против которой бодрые лозунги не работают.