Отказ от «театра безопасности»: безопасность кошельков вступает в эру верифицируемости

Источник: OKX

К 2025 году Web3 вступит в новую стадию «более масштабного и частого использования», а кошельки ускорят свою эволюцию от «инструмента для хранения монет» до операционной системы для входа в блокчейн и совершения транзакций. Исследовательская компания Fortune Business Insights оценивает, что рынок криптокошельков достигнет около 12,2 млрд долларов в 2025 году и может вырасти до 98,57 млрд долларов к 2034 году.

Расширение со стороны пользователей также очевидно: a16z crypto в отчете «State of Crypto 2025» оценила количество активных пользователей криптовалют примерно в 40-70 миллионов, при этом около 716 миллионов держателей криптоактивов «владеют активами, но не обязательно активны в сети»; отчет Crypto.com Research также гласит, что количество мировых держателей криптовалют увеличилось с 681 миллиона в первой половине 2025 года до 708 миллионов.

Обратной стороной растущего масштаба и уровня проникновения является одновременное усиление рисков безопасности. Речь идет уже не просто о том, «есть ли у смарт контракта уязвимости», а о перехвате рисков в критических точках пользователя, таких как переход по ссылкам, подключение кошельков, подписание авторизаций и обработка транзакций.

В мире блокчейн «поверхность атаки» часто выходит за рамки уязвимостей смарт контрактов и чаще связана с низкобарьерным фишингом, поддельными доменами, выдачей себя за службу поддержки и мошенничеством с авторизацией в качестве «рисков перед транзакцией». Например, Chainalysis определяет «крипто-дрейнеры (инструменты для очистки кошельков/фишинговые инструменты авторизации)» как инструменты, которые не крадут пароли от аккаунтов, а обманом заставляют пользователей подключать свои кошельки и одобрять вредоносные транзакции, позволяя напрямую выводить активы. Публичные данные также показывают, что в 2024 году убытки, связанные с «дрейнерами кошельков», были близки к отметке в 500 миллионов долларов.

Поэтому повышение безопасности Web3 кошельков больше не будет фокусироваться исключительно на наличии уязвимостей в смарт контрактах, а потребует дальнейшего внимания к тому, как проактивно перехватывать риски в ключевых точках поведения пользователя, что известно как «безопасность перед транзакцией».

В таком контексте индустрии «безопасность» становится все труднее решать с помощью простого лозунга, а скорее напоминает способность управления, которая требует постоянной проверки: можно ли ее верифицировать, можно ли ее отследить и возможна ли своевременная публикация — это становится важными критериями для пользователей при выборе кошелька.

От «заявлений о безопасности» к «понятному списку возможностей безопасности»

Долгое время, когда проекты кошельков обсуждали безопасность, общая риторика включала «мы прошли аудит», «у нас есть whitepaper» и «мы уделяем большое внимание управлению рисками». Однако с индустриализацией мошенничества и фишинга это «заявление о безопасности» теряет свою убедительность. Момент, когда пользователи действительно сталкиваются с проблемами, часто происходит в очень коротких взаимодействиях, таких как нажатие на ссылки, подключение кошельков и подписание авторизаций. «Крипто-дрейнеры», описанные Chainalysis, — это типичный путь: злоумышленники маскируются под легитимную страницу, направляют пользователей к завершению авторизации, а затем переводят активы; их исследование даже упоминает случаи подделки страниц Magic Eden и проведения вредоносных транзакций, нацеленных на пользователей Ordinals.

Публичные данные также подталкивают индустриальное повествование к «понятности». Security Week, ссылаясь на статистику Scam Sniffer, сообщила, что в 2024 году почти 500 миллионов долларов убытков были вызваны дрейнерами кошельков, при этом пострадало более 332 000 человек. Эти типы событий не требуют от злоумышленников взлома сложных систем, а скорее полагаются на то, что пользователи не понимают рисков во время взаимодействия. С другой стороны, Chainalysis в своем раскрытии информации за 2025 год оценила, что в 2024 году доход от мошенничества в сети составил не менее 9,9 млрд долларов и может увеличиться по мере идентификации большего количества адресов. Когда основной риск исходит из «разрыва в понимании на стороне пользователя», производители кошельков должны сместить безопасность с бэкенд-инженерии на фронтенд-выражение.

В результате все больше кошельков в индустрии начинают «продуктовизировать» свои возможности безопасности: они больше не просто говорят вам «мы безопасны», а разбивают защитные действия на список, который пользователи могут понять — например, какие токены будут помечены как высокорисковые, какие транзакции вызовут оповещения, какие адреса или DApps будут заблокированы и почему происходит блокировка. Суть этого изменения заключается в превращении безопасности из «повествования о квалификации» в «повествование о взаимодействии»: предоставление пользователям возможности получать полезную информацию перед подписанием, а не необходимость просматривать PDF-файл аудита после.

Следуя этому тренду, недавно запущенная и обновленная страница Центра безопасности кошелька OKX предоставляет более типичный пример «выражения в формате списка». Страница четко описывает три «линии фронтовой обороны», направленные на пользователей: обнаружение рисков токенов, мониторинг транзакций и проверка адресов, и объясняет их функции в одном предложении каждую, например: «Пометка высокорисковых токенов для снижения воздействия ханипотов и плохих игроков», «Мониторинг кроссчейн в реальном времени для выявления подозрительной активности в сети» и «Перехват взаимодействий с вредоносными DApps и адресами». Преимущество этого подхода в том, что даже если пользователи не понимают терминологию безопасности, они могут быстро соотнести ее с действием, которое они совершают в данный момент — будь то нажатие, подписание или перевод.

Нажмите, чтобы посетить: Аудиторский отчет целевой страницы безопасности кошелька OKX

Что еще важнее, «понятность» не означает «разговор с самим собой». На той же странице кошелек OKX также предоставляет ссылку «Просмотреть аудиторские отчеты», соединяя «список возможностей» с «верификацией третьей стороной». Более того, страница сбора аудиторских отчетов в их центре помощи дополнительно разъясняет объем аудита, количество найденных проблем и статус их исправления, позволяя пользователям переходить от «понимания возможностей» к «верификации доказательств» при необходимости.

Такой переход от «заявления о безопасности» к «понятному чек-листу» заключается не в том, чтобы сделать безопасность более грандиозной, а в том, чтобы сделать ее более применимой: поскольку мошенничество все чаще полагается на обман и маскировку, то, может ли кошелек размещать предупреждения о рисках в точках взаимодействия, объяснять на понятном пользователю языке «где кроется опасность, почему это опасно и что вам следует делать», становится частью возможностей безопасности и все чаще определяет, споткнется ли пользователь на решающем шаге.

Аудиторская информация «публично верифицируема»: превращение стороннего одобрения из «ссылки» в «верифицируемую цепочку доказательств»

В индустрии кошельков аудиты долгое время сталкивались с практической проблемой: многие проекты действительно «прошли аудит», но информация разбросана по объявлениям, PDF-файлам и репостам в социальных сетях, что затрудняет обычным пользователям быстрое понимание того, «кто это аудировал, что было аудировано, были ли исправлены какие-либо проблемы и когда это было в последний раз обновлено». В этот раз более заметным действием кошелька OKX является консолидация публично доступных аудиторских отчетов третьих сторон в единый портал и прямое указание на странице «опубликовано 11 ноября 2022 года, обновлено 17 ноября 2025 года», позволяя пользователям быстро определить с первого взгляда, что это не просто разовая демонстрация, а постоянно поддерживаемое окно раскрытия информации.

Из записей, публично отображаемых на этой странице сбора, объем раскрытия информации не только сосредоточен на традиционной цели аудита — «смарт контрактах». Взяв в качестве примера запись CertiK от 23 мая 2024 года, содержание аудита четко охватывает ключевые пути кода на мобильной стороне и фронтенде: включая компоненты iOS/Android, компоненты пользовательского интерфейса ReactJS фронтенда, JS-контроллеры, взаимодействующие с keyring, и несколько модулей SDK кошелька, при этом также предоставляя методологию аудита и критерии заключения.

На той же странице запись SlowMist ближе к «новой парадигме» эволюции кошельков за последние два года — аудируемые объекты, такие как AA смарт контракт аккаунты, MPC кошельки без ключей, модули транзакций Ordinals — все они перечислены; кроме того, аудиторская информация о «модуле безопасности приватного ключа» представлена отдельно, прямо заявляя: «приватные ключи или мнемонические фразы хранятся только на устройстве пользователя и не передаются на внешние серверы», отвечая на основные опасения пользователя по поводу безопасности ключей более четкими описаниями границ.

Ценность этого «централизованного отображения» заключается не только в наличии более полной информации, но, что более важно, в связывании «новых возможностей» с «верифицируемостью» в одной точке входа: поскольку индустрия кошельков все больше движется к сложным архитектурам, таким как AA и MPC, то, что больше всего нужно пользователям, — это не просто заявление о том, что «мы очень безопасны», а доказательства, которые можно быстро верифицировать — охватывает ли объем аудита критические модули, какова методология, были ли смягчены риски и постоянно ли обновляется информация.

Более того, согласно OKX Wallet, после этого обновления новые аудиторские отчеты и связанная информация могут быть напрямую обновлены через конфигурацию без необходимости нового релиза. Если этот механизм сможет стабильно работать в долгосрочной перспективе, он эффективно сокращает путь «внешней верификации», экономя не только затраты на разработку и выпуск.

Для пользователей это означает, что когда аудит добавляется или завершается, публичный вход может быстрее отражать «последний статус», уменьшая неопределенность «необходимости полагаться на пересылку скриншотов/старых ссылок» во время ключевых окон риска. Для сторонних наблюдателей и исследователей легче сформировать отслеживаемую временную шкалу: какие модули завершили аудит, когда, какой уровень проблем был обнаружен, когда исправления были подтверждены и публично обновлены. Это превращает «стороннее одобрение» в постоянно аудируемую цепочку доказательств, а не в разовую демонстрацию PDF-файла.

Эта статья является присланным материалом и не отражает взгляды BlockBeats.