Криптовалюты под угрозой: постквантовые уязвимости и утечки 7,8 млн данных
Исследование показало, что 2138 веб-приложений и 146 мобильных приложений в сфере криптовалют не используют постквантовое шифрование, оставляя более 7,8 млн пользовательских записей уязвимыми для квантовых атак, а треть обменников продолжает работать с устаревшими протоколами TLS 1.0/1.1 и 45% площадок не применяют веб-приложения-ограждения, что увеличивает риски автоматизированных атак.
По данным исследования ImmuniWeb, 2138 веб-приложений и 146 мобильных приложений в сфере криптовалют не поддерживают постквантовое шифрование (ML-KEM), что делает их уязвимыми для квантовых атак. Более 7,8 млн пользовательских записей уже утекли в даркнет. Отсутствие перехода на стандарты NIST (Module-Lattice-Based Key-Encapsulation Mechanism) указывает на системный кризис безопасности. Эксперты отмечают, что без срочных мер шифрование транзакций может быть взломано квантовыми компьютерами.
Проблемы с TLS и AI-угрозами
Треть обменников продолжают использовать устаревшие протоколы TLS 1.0/1.1, оставляя данные открытыми для перехвата. В то же время 45% площадок не имеют веб-приложений-ограждений, что усиливает риски от автоматизированных атак, имитации пользователей и сканирования инфраструктуры. Применение GenAI в разработке без соблюдения стандартов безопасности создает скрытые уязвимости.
Статистика подтверждает масштаб проблемы:
| Уязвимости | Процент |
|---|---|
| Устаревшие библиотеки/ПО | 74% |
| Несоответствие GDPR | 67% |
| Известные уязвимости | 25% |
| Высокорискованные мобильные приложения | 24% |
| Передача данных через HTTP | 20% |
Позитивные тенденции и рекомендации
Несмотря на вызовы, 78% веб-серверов получили оценку «A» по TLS-безопасности, а 52% приложений соответствуют требованиям приватности. Лидеры в безопасности — Coinbase, UPbit и Crypto.com — продемонстрировали минимальные уязвимости. Исследователи предложили меры: внедрение программ безопасности на уровне предприятия, переход на постквантовое шифрование, а также регулирование использования GenAI в разработке.
Интересно: Сможет ли индустрия криптовалют оперативно адаптироваться к постквантовым угрозам, учитывая текущие разрывы в стандартах безопасности? Анализ показывает, что без системного подхода к переходу на ML-KEM и устранению уязвимостей риски для пользователей и инфраструктуры останутся критичными.
Уязвимости в криптовалютной безопасности: скрытые риски и системный кризис
Отсутствие постквантового шифрования как стратегическая угроза
Постквантовое шифрование (ML-KEM) пока остаётся внедрённым менее чем у 10% криптовалютных платформ. Это не техническая сложность, а экономический выбор: переход требует переписывания инфраструктуры, переподготовки команд и значительных инвестиций. Для компаний, ориентирующихся на краткосрочную прибыль, более выгодно откладывать обновление, чем тратить ресурсы на адаптацию. Однако квантовые вычисления развиваются экспоненциально: в 2024 году исследователи IBM продемонстрировали прототип процессора с 1000+ кубитов. Если к 2028 году такие устройства станут доступны, текущие алгоритмы шифрования станут бесполезны.
Российские криптоплатформы, не имея обязательного регулирования постквантовой безопасности, рискуют потерять конкурентоспособность. В странах с жёсткими требованиями (например, США, ЕС) уже предполагается введение санкций за использование уязвимых протоколов. Это создаёт дивергенцию: отечественные сервисы могут оказаться в изоляции, если не начнут внедрять NIST-стандарты до 2026 года.
Тренд: Внедрение постквантового шифрования станет новым барьером входа на рынок. Компании, которые не обновят инфраструктуру, потеряют доверие инвесторов и клиентов задолго до появления квантовых компьютеров.
TLS-протоколы как слабое звено и неочевидные победители
Устаревшие TLS 1.0/1.1 остаются на 30% обменников не из-за технических ограничений, а из-за лояльности к старым клиентам. Многие пользователи в развивающихся странах используют устройства, не поддерживающие TLS 1.3. Платформы, которые перейдут на современные протоколы, столкнутся с падением лояльности в этих регионах. В результате возникает парадокс: чем безопаснее система, тем ниже её доступность для массового рынка.
Скрытые победители — разработчики веб-ограждений и систем мониторинга. При 45% приложений без защитных механизмов, рынок решений для автоматизированного обнаружения атак может вырасти на 15–20% в ближайшие 18 месяцев. Российские компании, специализирующиеся на корпоративной безопасности, получат шанс захвата доли рынка, если адаптируют продукты под криптовалютные стандарты.
Обратите внимание: Применение GenAI в разработке без регулирования создаёт новые уязвимости. Алгоритмы генерации кода могут вставлять уязвимые библиотеки, что делает необходимым создание отраслевых стандартов для ИИ-инструментов. В сентябре 2025 года отмечено, что атаки, основанные на ИИ, происходят в 40 раз быстрее традиционных. Это требует внедрения управляемых сред и ранних систем обнаружения.
Долгосрочные последствия для экосистемы
Отсутствие перехода на постквантовое шифрование создаёт системный риск: даже одна успешная атака может привести к обрушению доверия к криптовалютам. Это особенно критично для российского бизнеса, где криптовалюты всё чаще используются как альтернатива традиционным финансовым инструментам. Регуляторы, возможно, будут вынуждены ввести обязательные требования к безопасности, что увеличит издержки для малых платформ.
Ключевой триггер изменения — выход первого коммерческого квантового компьютера. До этого момента индустрия будет находиться в состоянии неопределённости, где баланс между безопасностью и доступностью станет главным стратегическим вызовом.
К чему это ведет: Криптовалютная безопасность перестаёт быть технической задачей и становится вопросом выживания бизнеса. Компании, которые не начнут переход на постквантовые стандарты в ближайшие 24 месяца, рискуют потерять не только клиентов, но и лицензии. В дополнение, утечки через заражённые пакеты npm (например, chalk, debug) и трояны вроде RatOn, которые крадут данные с Android-устройств, демонстрируют, что векторы атак расширяются. Это требует комплексного подхода к защите, включая контроль зависимостей и обновление мобильных решений.
