menaskop

Бесплатные и качественные аналоги скам-курса от Ивана Шашкова (CryptoInside, Web3Academy). Часть I

2026-04-03T05:30:54.803Z

Анти-Шашков курс

Данный сборник - не единственный, но направлен он не просто на обучение, но и на разоблачение инфоцыгана Ивана Шашкова, который всеми правдами и неправдами продаёт за дорого то, что стоит дёшево или не стоит ничего, т.е. распространяется бесплатно.

Сам Иван утверждает, что (якобы) только дорогое и есть качественное, но на деле он сам использует open source продукты, а также огромные пласты общедоступной документации, что лишь подтверждает несуразность подобных доводов.

Конечно, не могу заявить, что Иван Шашков - мошенник, т.к. это может сделать исключительно суд, но точно могу сказать, что Иван Шашков - скамер, т.к. понятие скама куда более широкое и включает как объективный (не умышленный), так субъективный (умышленный) скам, а равно и множество подозрительных деяний (действий и/или бездействий), кот. имеют все необходимые и достаточные признаки для того, чтобы комьюнити могло оценить проект негативно.

Структура

Суть подборки в том, что ниже представлена информация с сайта web3academy.pro, где есть разделы по платному обучению, и по каждому из этих разделов представлен далеко не полный перечень бесплатных аналогов. И это служит прекрасной альтернативой для потери ваших средств на абсолютно бестолковых курсах Ивана, т.к. все его публичные портфели после проверки оказались пустышкой: стратегии или не работают, или работают в убыток, или, в лучшем случае, показывают довольно средние результаты по рынку.

Впрочем - sapienti sat.

Этап 1. Фундамент и контроль рисков

Цитата (с сайта Ивана Шашкова aka Скамера): “Вы выстраиваете инфраструктуру, при которой операционные и технические риски сведены к минимуму”. И первое, что нужно знать, что подобные фразы должны читаться так: “Всё, чему мы вас научим в “академии” - будет точно таким же обучением, каким был бы настоящий DYOR, только сделаем мы это за деньги, за дорого и без подтверждения качества, т.к. готовы ради денег на всё”.

Чтобы в этом убедиться, достаточно изучить первый этап, который никак и нигде не может быть представлен на платной основе. Вот он:

Принципы работы блокчейна и смарт-контрактов.
Безопасная покупка криптоактивов (включая P2P и обменные сервисы) и самостоятельный вывод средств с бирж.
Настройка не-кастодиальных кошельков (MetaMask, OKX Wallet, Tangem).
Протокол хранения сид-фразы и цифровая гигиена, включая защиту от фишинга.

По мнению авторов “академии”: “У вас (будет) сформирована собственная защищенная инфраструктура хранения капитала. Вы самостоятельно (будете) проводить транзакции и полностью контролировать активы без зависимости от третьих лиц”.

Открою вам секрет Полишинеля - в Web 3.0 & Web3 абсолютно все, в том числе - миллионы людей, даже не слышавших про “академию”, поступают ровно так: самостоятельно хранят и контролируют свои средства.

Итак, список по каждому из пунктов. Пункт первый - Принципы работы блокчейна и смарт-контрактов:

Начинать всегда нужно с Белой книги Биткоина: она не большая (9 стр. полноценного текста, включая схемы), в ней описаны базовые принципы блокчейна и она определяет архитектуру сети (есть на русском языке).
Также хорошее объяснение блокчейна есть на сайте Эфира: и, как видите, тоже на русском языке.
Если вам нужно быстрое и простое начало, то рекомендую этот материал, где найдёте ссылку на Bitcoin Wiki и др. полезные материалы.
Полноценное описание про смарт-контракты отыщите на Forklog. Если хочется больше примеров, то можно обратиться к этой странице. Очень простое описание базовых рисков смарт-контрактов есть здесь. И не забывайте про Wiki: там 80% информации, которую Иван & Ко пересказывают “своими словами”.

Если коротко, то блокчейн - децентрализованный и/или распределённый реестр данных, в котором информация записывается в последовательные блоки, связанные криптографически, и хранится одновременно у множества участников сети, что делает её практически неизменяемой и прозрачной.

Иногда говорят и пишут, что блокчейн - база данных (БД) без единого владельца, где записи нельзя задним числом изменить без согласия сети, но это вносит путанницу, т.к. у блокчейна в отличие от множества других БД есть отличительные черты.

Ключевыми же свойствами блокчейна можно назвать: Д.А.О. - децентрализацию, открытость и анонимность, которые в свою очередь означают:

Децентрализация - нет центрального сервера;
Неизменяемость - данные нельзя подделать задним числом;
Прозрачность - все участники могут проверить историю;
Криптографическая защита - каждая запись связана с предыдущей;
Общедоступность - каждый может подключиться к сети без особого разрешения.

Как видите, не так много времени потребуется, чтобы собрать первую часть по первому слоту.

Но пойдём же дальше? Безопасная покупка криптоактивов:

Для начала вам нужно знать, что самый безопасный способ для Web 3.0 & Web3 всегда тот, где вы сами проверили контрагента и создали свою ОТС (внебиржевую) сетку, но поскольку сделать это сразу трудно, то все начинают с 3-х точек касания: обменники, ОТС-площадки и биржи (CEXs - централизованные биржи).
У каждого из пунктов есть свои недостатки, но обменники в любом случае можете проверить по bestchange.ru - где нужно смотреть на время существования обменника, объёмы его торговых запасов (сколько средств на счетах, грубо говоря), только потом - отзывы и их, что важнее, содержание.
Чего вам нужно избегать, так это треугольника - мошеннической схемы, при которой между вами и продавцом встаёт третье лицо, вводящее в заблуждение и покупателя, и продавца. Аналогично схему можете посмотреть ещё и здесь. Зазубрите её и никогда не попадайтесь!)
Что касается криптобирж (CEXs), то среди них есть 2 самые большие на сегодня: Binance & Coinbase. Последняя сосредоточена на американском рынке, а первая - крупнее и у неё более (международный) широкий охват. Есть биржи поменьше: Bybit, Gate, etc. Я лично не рекомендую ни одну из них, т.к. вышел с бирж несколько лет назад и советую делать так всем, хотя бы по причине того, что биржи следят за вами. Но тем не менее для новичков часто именно биржа - единственный способ приобрести криптовалюту. Если вы из страны под санкциями - используйте азиатские решения.
Также перечислю ещё способы возможного пополнения: оффлайн-обменники (по ним обязательно нужно проводить проверку - как работы, так и отзывов и общей безопасности); криптоматы - как банкоматы, но с их помощью можно купить BTC, ETH и реже - другие криптовалюты; карты - подобное пополнение есть в ряде кошельков (таких как Metamask - см. об этом ниже), но доступно не для всех юрисдикций.
Что касается трат денег с крипто-кошельков, то здесь работают те же способы: CEXs, обменники, ОТС-площадки, криптокарты - по ссылке можете найти их агрегатор (карты делает по сути из вашего крипто-счёта обычный “банковский” счёт, с которого можете оплачивать самые разные сервисы).
Дополнительные меры безопасности: по обменникам и биржам - можете посмотреть по ссылкам, но для начала точно нужно: а) использовать сложный пароль (более 21 символа желательно, буквы в разном регистре, цифры и спецсимволы) при входе в личный кабинет, б) применять двухфакторную авторизацию, а также в) использовать доп. средства защиты, которые могут быть на площадке (например, ограничения на сумму вывода в день, вход по IP и т.д.); г) не использовать публичный email и номер телефона. Но главное правило хранения на централизованных площадках одно: минимизируйте активы, которые там находятся.
Помните, что биржи (CEXs) очень часто ломают и даже такие гиганты как Mt.Gox, Binance, Bybit и прочие не застрахованы от взломов.

Если коротко, то главное правило безопасности заключается в том, что взломать можно всё, что угодно: хоть ваш ПК/Mac, хоть Биткоин.

Весь вопрос всегда во времени, внимании и в деньгах, конечно же. Поэтому, если ваш взлом требует много внимания (вы установили базовые средства безопасности), времени (используете сложные пароли, кот. просто так не перебрать брутфорсом и подобными способами) и денег (вас ходят взломать, например, на $10 000, а тратят $11 000), то всё будет в порядке. И об этом ещё поговорим ниже.

А здесь стоит усвоить, что не нужно никогда торопиться при обменах, 2-3 раза проверять реквизиты и условия сделки, разобраться 1 раз, что такое чёрный треугольник и его подвиды, а уже затем - проводить обмены. И главное - никогда не меняйте много: лучше разбейте сумму на 3-5, а то и 10 частей.

Про самостоятельный вывод средств с бирж изучайте всё в 2 этапа:

Сначала изучите опыт других при работе с этой биржей и именно в вашей юрисдикции (это крайне важно);
Потом уже выводите средства доступным для вас способом: не всегда и не обязательно это делать на расчётный/лицевой счёт.

Что касается следующего аспекта - настройки не-кастодиальных кошельков (MetaMask, OKX Wallet, Tangem), о которых пишет скамер Иван Шашков, то здесь не могу не улыбнуться :). Почему? Потому что этой информации в сети - просто уйма и не найти инструкцию по какому-то кошельку попросту невозможно, т.к. сами кошельки заинтересованы в обратном.

Но давайте по примерам:

Metamask: дам полную ссылку, чтобы вы видели, насколько даже она подробно расписана: support.metamask.io/ru/start/getting-started-with-metamask. Думаете это всё? Нет! Есть полный гайд от Incrypted и как раз для новичков: incrypted.com/metamask-manual. После установки рекомендую изучить также общие разделы кошелька с помощью Forklog.
Если же вам захочется большего, то можете всегда изучить Первую и Вторую часть по работе с Metamask уже на более продвинутых уровнях. А ещё - разобраться, почему связка Ledger/Trezor/etc. (т.е. аппаратный кошелёк) с Metamask так полезна.
Я же рекомендую новичкам использовать Rabby - он проще, удобней и неприхотлив в использовании: rabby.io.
OKX wallet не использую, но инструкций по нему хватает: а) на официальном; сайте производителя; б) быстрый гайд (инструкция).
Для мобильных можно также использовать Trust Wallet (а вот их браузерное расширение себя не зарекомендовало: скорее даже дискредитировало).
Не забывайте проверять даже самые известные ресурсы. Для этого используйте систему, описанную ниже.

Проверка ресурса - простой алгоритм:

Узнайте, когда сайт зарегистирован: через whois.com - скам-сайты, фишинговые ресурсы обычно живут не долго;
Проверьте сертификат - когда, кем и кому выдан;
Проверьте трафик сайта: хватит бесплатного тарифа similarweb.com;
Обязательно проверьте на virustotal.com ссылку (сайт);
Не забвайте проверить на взломы по базам: xakep.ru, rekt.news, cryptonews.net;
Дополнительно можно задать вопросы DeepSeek, ChatGPT, etc.;
И обязательно проверьте сайт по 2-3 источникам: например, через крипто-агрегаторы, такие как CoinMarketCap или через Wiki.
Не переходите по рекламным ссылкам никогда (!): они часто содержат скам и фишинг.

Уже этого достаточно, чтобы избежать 80-90% скама, а со временем приблизитесь к показателю 99,(9)%.

И, наконец, обратимся к последнему тезису, который скамер Иван Шашков и его команда п(р)одают вам за дорого - это “протокол хранения сид-фразы и цифровую гигиена, включая защиту от фишинга”.

Здесь информации даже больше, чем в предыдущих разделах, но давайте обо всём по порядку:

Главная защита от фишинга, а это - самая распространённая атака в крипто-индустрии, - кастомизация, т.е. всё, что можете сделать уникальным, сделайте: вашу почту, ваши аккаунты на биржах (если они есть), ваш рабочий стол и т.д. Полный гайд есть по ссылке.
Что касается вашей сид-фразы, то сначала рекомендую изучить, что это: teletype.in/@menaskop/seed-phrase-menaskop-2024, а уже потом понять, что у вас должно быть, как минимум, 2 кошелька: холодный и горячий.
В качестве холодного можете использовать аппаратные кошельки (Trezor, Ledger, etc.), а также мультисиг-кошельки (Safe, etc.), а горячие кошельки описывал выше - это браузерные (Metamask, Rabby, etc.) и мобильные (Trust Wallet, etc.).
Также крайне рекомендую изучить общие правила цифровой гигиены: hub.forklog.com/bezopasnost-amp-web-3-0-chast-i-azy и разобраться в том, что такое цифровые следы, как, когда и где их оставляете и как от них избавиться: hub.forklog.com/bezopasnost-amp-web-3-0-chast-ii-primery-tsifrovyh-sledov.

Самое главное, помните, что аппаратные кошельки, кот. заказываете, нужно заказывать только с официальных магазинов, а проверять всё, что скачиваете - по схеме выше.

Далее - не торопитесь: изучайте последовательно и делайте всё постепенно.

Не надо за 5 минут заводить кошелёк и заводить туда все свои кровные. Сначала протестируйте 1-2 кошелька, проверьте алгоритм хранения сид-фразы (приватных ключей), протестируйте транзакции в разных условиях, проверьте, что VPN у вас подключен и т.д. (всё описано в инструкциях выше) и уже когда будете чувствовать себя уверенно с тестами - начинайте работать с реальными суммами.

Главное правило здесь простое: ваши (приватные) ключи - это ваши деньги.

Выводы по первой части

Моя задача не просто дать вам набор (проверенных и важных) ссылок, но научить вас искать информацию самостоятельно: не только с помощью Google или AI, но и с помощью Wiki и др. инструментов, а главное - посредством постоянного, итеративного, самообразования.

Такие люди как Иван Шашков зарабатывают не на DeFi или чём-то ещё из сферы Web 3.0 & Web3 (они на этом паразитируют): они зарабатывают на том, что людям кажется, что “всё это сложно”, т.е. на желании потребителя, чтобы всё было быстро и доступно, хотя это и так просто, и доступно, но ещё и бесплатно.

В итоге - упрощённые схемы приводят к потерям денег: все негативные отзывы или затираются (удаляются), или же игнорируются, или же переиначиваются (мол, вы сами всё не так поняли).

Моя же задача как крипто-энтузиаста совершенно иная: показать вам, что мир Web 3.0 & Web3 можно любить и уважать и главное - есть за что! Всё, что в нём создано, создано как open source - а это по определению открыто и бесплатно.

Продолжение следует…

До!

Вводный курс DeFi для всех. Безопасность. Технические и экономические аудиты

2026-04-01T06:16:41.816Z

Данные

Дисклеймер

Материал подготовлен моим коллегой из DAO Envelop - T.

Введение

Следует различать технические и экономические аудиты.

Технические аудиты сосредоточены на целостности кода и ошибках, а экономические аудиты касаются более широких факторов, таких как колебания рынка, уязвимости управления и ликвидационные кризисы, которые влияют на стабильность протокола.

Архитектура протоколов DeFi

Протоколы DeFi обычно состоят из нескольких слоев, каждый из которых играет определенную роль в общей функциональности протокола. Эти слои, как правило, включают в себя:

Ядро: Это основа протокола, включающая смарт-контракты. Технические аудиты обычно сосредоточены на этом уровне, гарантируя, что смарт-контракты выполняются согласно задумке без уязвимостей или ошибок программирования.
Оракул: Протоколы DeFi часто полагаются на оракулов для получения данных в режиме реального времени из внешних источников (например, данные о ценах, процентных ставках). Неверные данные могут привести к ошибкам в ценообразовании, недостаточному обеспечению или другим рискам. Экономический аудит исследует зависимость протокола от оракулов и потенциальные риски манипулирования оракулами, которые технический аудит часто не может полностью устранить.
Уровень управления: Многие протоколы DeFi используют децентрализованные автономные организации (ДАО) для принятия ключевых решений. Этот уровень включает голосование, принятие решений и изменение протокола. Экономические аудиты анализируют уязвимости в структурах управления, такие как манипуляция силой голосования или атаки с использованием мгновенных займов, когда злоумышленники временно получают большую силу голосования, чтобы повлиять на решения протокола.
Слой ликвидности: обеспечивает достаточную ликвидность протокола для его правильной работы. В протоколах кредитования или торговли этот слой определяет, могут ли пользователи получить доступ к средствам или совершить сделки. Экономические аудиты моделируют ситуации нехватки ликвидности, чтобы проверить, как протоколы справляются в условиях недостаточной ликвидности, таких как большие снятия или резкое снижение рынка.

Экономические риски в слоистой архитектуре

Взаимодействие между слоями в иерархической архитектуре протоколов DeFi может вводить определённые экономические риски, которые часто не покрываются традиционными техническими аудитами:

Взаимозависимость между протоколами: Многие протоколы DeFi зависят друг от друга для обеспечения ликвидности, залога или данных. Например, протокол кредитования может полагаться на внешние стейблкоины в качестве залога. Если этот стейблкоин обвалится или потеряет связь с фиатной валютой, протокол кредитования может столкнуться с недостатком залога, что приведет к массовым ликвидациям.
Каскадные эффекты между протоколами: Атакующие могут использовать один уровень, чтобы воздействовать на другие, используя взаимосвязи между протоколами, чтобы вызвать более широкий ущерб. Например, злоумышленники могут манипулировать ценами активов в одном протоколе (через манипулирование Oracle), чтобы влиять на кредитование, торговлю или операции с залогами в других протоколах.
Кризисы ликвидности: Многослойная архитектура также вводит риск кризисов ликвидности, где ликвидность одного слоя зависит от другого. Внезапное изъятие ликвидности из пула может нарушить работу протокола, что приведет к каскадным сбоям, затрагивающим функции других слоев.

Взаимосвязь протоколов DeFi означает, что риски часто распространяются на несколько уровней. Уязвимость на одном уровне (например, оракул или уровень управления) может вызвать цепную реакцию, приводящую к сбоям на других уровнях (например, на уровне ликвидности или основных операций). Технические аудиты в основном сосредоточены на основном протоколе, обеспечивающем правильную работу смарт-контрактов, но они не могут моделировать системные риски, возникающие из взаимодействия между этими уровнями.

Что такое экономическая аудиты?

Экономические аудиты моделируют реальные рыночные условия и проводят стресс-тесты для оценки устойчивости протокола в различных экономических сценариях.

Экономические аудиты подчеркивают понимание внутренней экономической динамики протоколов DeFi и того, как внешние факторы, такие как флуктуации рынка, кризисы ликвидности и манипуляции управления, могут использовать уязвимости.

Ключевыми аспектами экономических аудитов является моделирование сценариев, таких как экстремальные колебания цен, изменения ликвидности и изменения поведения пользователей. Они также изучают структуры управления ДАО, поскольку плохо спроектированные системы могут позволить зловредным акторам получить контроль над протоколом

Кроме того, экономические аудиты изучают структуры стимулов, чтобы гарантировать, что они способствуют здоровому участию и отпугивают злонамеренные действия. Плохо спроектированные стимулы могут привести к эксплуатации или дестабилизации. Экономические аудиты также учитывают последствия атак на отдельные протоколы взаимосвязанной экосистемы DeFi, где сбои могут распространяться и вызывать широкомасштабные нарушения.

Эти аудиты оценивают, как одно нападение может вызвать цепную реакцию, аналогичную тому, как финансовые кризисы распространяются в традиционных рынках. Учитывая взаимосвязанную природу DeFi, такие каскадные сбои представляют существенные риски, поскольку потенциальное влияние краха одного протокола может оказать влияние на ликвидность, ценообразование и управление в других.

Наконец, экономические аудиты оценивают, насколько хорошо откалиброваны параметры риска протокола для обработки стресса и манипуляций. Они предоставляют всестороннюю систему безопасности, выявляя уязвимости, которые технические аудиты самостоятельно не могут обнаружить, для лучшей защиты экосистемы DeFi.

Данные

Соотношение технических и экономических уязвимостей

Техническая и экономическая аудиты необходимы, но они служат различным целям и не могут заменить друг друга.

Технические и экономические аудиты дополняют друг друга и являются неотъемлемыми для создания комплексной системы обеспечения безопасности.

Критические уязвимости, выявленные экономическими аудитами

Технические аудиты не могут решить уязвимости, вызванные внешними экономическими факторами, зависимостями и взаимодействием с другими протоколами. Необходимы экономические аудиты для выявления и устранения этих проблем.

Зависимости токенов и каскадные эффекты

Взаимозависимость токенов представляет существенный риск в DeFi, где токены из разных протоколов часто зависят друг от друга. Резкое снижение стоимости одного токена может вызвать цепную реакцию, затрагивающую несколько платформ.

Технические аудиты: обычно не учитывают, как внешние экономические условия, такие как спад рынка или атаки на связанные протоколы, могут вызвать каскадные сбои, затрагивающие токен протокола.
Экономические аудиты: Моделирование таких сценариев для оценки устойчивости протокола. Например, во время краха Terra Luna, открепление его стейблкоина привело к широким нарушениям в экосистеме DeFi.

Зависимость от оракула и манипулирование ценами

Многие протоколы DeFi полагаются на оракулы для получения внешних данных, таких как цены на токены или процентные ставки. Однако такая зависимость создает общую уязвимость: если оракул подвергается взлому или предоставляет неточные или подделанные данные, протокол может столкнуться с серьезными рисками.

Атаки на манипуляцию ценами: типичная форма экономической атаки, при которой злоумышленники манипулируют ценами токенов, сообщаемыми оракулами, чтобы получить прибыль, например, через арбитражные возможности или принудительное ликвидирование.
Технические аудиты: обычно сосредоточены на обеспечении правильного взаимодействия кода с оракулом, но не оценивают риски манипулирования ценами на уровне оракула, что может иметь разрушительные последствия для протокола.

Атаки на управление

Злоумышленники могут злоупотреблять механизмами управления, чтобы захватить протокол, предложить злонамеренные действия или украсть средства, как это продемонстрировано в эксплуатации Beanstalk. В этом случае злоумышленник временно занял большое количество токенов через мгновенный кредит, контролировал 79% избирательной силы, принял злонамеренное предложение и украл 181 миллион долларов.

Технические аудиты: обычно не уделяют внимание управленческим структурам и фокусируются на коде смарт-контрактов.
Экономические аудиты: Анализ потенциальных уязвимостей в системах управления, особенно рисков, связанных с временным увеличением голосовой силы с помощью методов, таких как флэш-займы, которые часто не обнаруживаются техническими аудитами.

Кризисы ликвидности и устойчивость протокола

Внезапное снижение ликвидности может вызвать скольжение цен, принудительные ликвидации или дефицит залогов, что потенциально может привести к системному краху. Такие кризисы могут возникать из-за спада на рынке, волатильности токенов или масштабных выводов.

Технические аудиты: проверяют правильную работу контрактов в нормальных условиях.
Экономические аудиты: моделируют условия повышенного напряжения, такие как нехватка ликвидности, для оценки способности протокола выдержать подобные сценарии и эффективно восстановиться.

Примеры экономических атак

Случай №01: Атака на рынок Mango

Сводка:

Дата: Октябрь 2022
Метод атаки: Манипуляция ценой
Сумма убытков: $116 миллионов

В этой атаке злоумышленник манипулировал ценой токенов Mango ($MNGO), создавая расхождения в ценах на нескольких биржах, что вызвало массовые ликвидации и в конечном итоге истощило средства протокола.

Твит

Процесс атаки: Злоумышленник использовал два кошелька, каждый из которых содержал $5 миллионов в USDC, чтобы начать атаку. Кошелек 1 разместил крупный ордер на продажу MANGO-токенов на сумму $483 миллиона по низкой цене $0.0382.

Манипуляция ценой: Кошелек 2 приобрел все MANGO-токены, проданные кошельком 1, по этой низкой цене. Злоумышленник затем начал активно покупать MANGO-токены на нескольких платформах, включая Mango Markets, AscendEX и FTX, подняв цену с $0.0382 до $0.91 за короткое время.

Использование взрывного роста цены: Внезапный рост цены вызвал массовые ликвидации коротких позиций, так как цена MANGO-токена превысила стоимость залога коротких продавцов. Злоумышленник извлек прибыль из взрывного роста цены, после чего цена MANGO-токена упала до $0.0259.

Результат: Атака привела к значительным потерям ликвидности для рынка Mango, с ликвидацией более 4 000 коротких позиций, что вызвало дестабилизацию протокола.

Случай №02: Атака Beanstalk

Сводка:

Дата: апрель 2022 года
Метод атаки: Манипуляция управлением
Сумма убытков: $181 миллион

Этот атака включала злоумышленника, использующего системы управления для продвижения злонамеренных предложений.

Процесс атаки:

Атака на правила управления: злоумышленник предложил ДАО перевести токены из казны Beanstalk на свой кошелек. Эти предложения были замаскированы под законные изменения в управлении. Система управления Beanstalk требовала экстренного голосования, где для прохождения предложений требовалось большинство в две трети голосов.
Атака с флэш-займом: злоумышленник использовал флэш-займ для временного заимствования большого количества токенов Beanstalk, получив контроль над 79% силы голоса. С помощью этого большинства злоумышленник успешно принял предложения, переведя средства из казны Beanstalk на свой кошелек.

Исход: успешная атака на управление привела к потере привязки токена BEAN, его цена упала на 75%, что серьезно повлияло на стабильность протокола. Общий ущерб составил 181 миллион долларов.

Случай 3: Депег UST и крах Terra Luna

Сводка:

Дата: май 2022 года (подробнее)
Метод атаки: Совокупность факторов
Сумма убытков: $60 миллиардов

Стабильная монета UST от Terra была алгоритмически привязана к доллару США, полагаясь на свою связь с токеном Luna для поддержания стабильности цены. Система позволяла обменивать UST на Luna по фиксированному курсу для сохранения привязки. Однако модель сильно зависела от доверия рынка и ликвидности, которые оба рухнули под внешним экономическим давлением.

В мае 2022 года крупное рыночное событие привело к тому, что UST потерял привязку и упал ниже $1. Это вызвало эффект «смертельной спирали», поскольку держатели UST бросились обменивать свои токены на Luna. Это быстро разбавило предложение Luna, что привело к падению ее цены.

По мере того, как отвязка UST ухудшалась (UST стал дешевле к доллару), образовалась петля обратной связи, в результате чего цены UST и Luna рухнули, что сделало протокол непригодным для восстановления.

Причины краха:

Неустойчивый алгоритм привязки: Механизм поддержания долларовой привязки UST был по своей сути нестабильным и в значительной степени зависел от арбитража между UST и LUNA. Когда доверие к UST резко упало, этот механизм дал сбой, вызвав массовый рост предложения LUNA и резкое падение ее цены.
Чрезмерная зависимость от арбитражных механизмов: Когда привязка UST не сработала, вся система стала нестабильной. Это привело к быстрому росту предложения LUNA, поскольку инвесторы конвертировали UST в LUNA, что еще больше дестабилизировало систему.
Неустойчивая доходность протокола Anchor, который предлагал высокую доходность по вкладам в UST, которая была неустойчивой и создавала структуру, похожую на финансовую пирамиду. При резком увеличении изъятия средств резервы Терры быстро истощались, что еще больше дестабилизировало экосистему.
Отсутствие устойчивых резервов: Резервы Terra были недостаточны для поддержки привязки UST в экстремальных рыночных условиях. Несмотря на попытки использовать резервы биткоина для стабилизации UST, эти попытки не увенчались успехом, углубив кризис.
Рыночная паника и потеря доверия: По мере распространения новостей об отмене привязки UST началась паническая продажа, что привело к потере доверия инвесторов и ажиотажной распродаже. Это создало спираль смерти как для UST, так и для LUNA, в результате чего цена LUNA упала почти до нуля.

Воздействие: Крах Terra Luna имел далеко идущие последствия для экосистемы DeFi. Многие протоколы, связанные с Terra через пулы ликвидности, платформы для кредитования и услуги стейкинга, столкнулись с кризисом ликвидности, что привело к массовым ликвидациям и потерям средств из-за их экспозиции к Terra.

До!

Web 3.0 & Web3. Индексные фонды и децентрализованные крипто‑индексы

2026-03-31T05:32:09.931Z

Индекс

Индексные фонды и децентрализованные крипто‑индексы

TL;DR

Индексные фонды (в классическом смысле - паевые/взаимные фонды, mutual funds/open‑end funds) стали массовым инвестиционным продуктом благодаря идее "купить рынок" с минимальными издержками и прозрачной методологией репликации бенчмарка.

Исторически важными точками были институциональные эксперименты по индексированию в начале 1970‑х (в т.ч. индекс‑портфель для пенсионных активов), а затем запуск розничного индексного фонда Vanguard в 1975-1976 гг., который в дальнейшем стал эталоном стоимости для индустрии из-за конкурентного давления на комиссии.

Сегодня крупнейшие глобальные структуру (Vanguard, BlackRock, State Street) управляют триллионами долларов активов; при этом индексные стратегии являются крупной долей бизнеса и драйвером снижения расходов инвесторов (через эффект масштаба и ценовую конкуренцию).

Отмечу, что стороне регулирования традиционные фондовые структуры опираются на подробные режимы раскрытия информации, депозитарного контроля и лимитов риска (США - Investment Company Act/SEC‑режим; ЕС - UCITS; Великобритания - FCA COLLS; ряд азиатских юрисдикций - собственные кодексы и требования к коллективным инвестиционным схемам).

В крипто‑сегменте (реально) децентрализованные индексные фонды чаще всего реализуются не как фонды в правовом смысле, а как не-кастодиальные on‑chain индекс‑токены/протоколы, где репликация обеспечивается смарт‑контрактами (хранение корзины активов в on‑chain хранилище - своеобразный vault и механизм mint/redeem) или синтетикой (оракулы + обеспечение).

Примеры децентрализованных продуктов с публичной методологией и комиссией: первые (ранние) индекс‑токены Index Coop (DPI, MVI) со streaming‑fee 0,95%/год; токен‑индекс AMKT (Alongside) с комиссией, реализуемой инфляцией 95 bps/год и governance‑процессом; синтетические индексы (например, TCAP‑подобные) и индекс‑synths (Synthetix‑линейка) как отдельный класс со специфическими рисками оракулов/ликвидаций.

История и ключевые первоисточники

Ранние предпосылки и первый индексный фонд для институционалов

Практическое индексирование как процесс управления портфелем по рынку появилось до розничных индексных паевых фондов. В частности, в индустриальных источниках описывается создание портфеля, который "по сути был первым индексным фондом" для институционального клиента: в июле 1971 года Wells Fargo использовал средства пенсионного фонда Samsonite (указывается обычно ок. $6 млн) для построения равновесно‑взвешенного "датчика" (gauge - многозначный термин, но здесь суть в том, что выполняет это функцию некого измерительного прибора), отслеживающего акции NYSE.

Это важная веха важна и она показывает: индексирование началось как институциональная инженерия процесса управления и контроля издержек/риска.

Запуск розничного индексного фонда Vanguard и роль первого продукта массового продукта

Официальная хронология Vanguard фиксирует 1975-1976 гг. как момент, когда компания "демократизировала индексирование" через First Index Investment Trust (ныне Vanguard 500 Index Fund), заявляя, что это позволило индивидуальным инвесторам впервые получить низкозатратную диверсификацию через индексный подход.

Важно! В тех же материалах подчёркивается, что этот шаг воспринимался индустрией скептически, но впоследствии стал структурным сдвигом.

С точки зрения первичных документов, ключевым "официальным артефактом" был проспект фонда (mutual fund prospectus), где раскрывался механизм индексирования: фонд пытался реплицировать индекс через full replication (держать те же бумаги и в близких долях) или sampling (репрезентативную выборку), а также описываются риски по коэффициенту отклонения (tracking error) и пассивного управления. Это важно как источник: ведь в нём записано, как именно индексный фонд исполняет обещание следовать установленному бенчмарку.

Регуляторные вехи, которые сделали индексные фонды массовыми

Традиционные индексные фонды в США развивались внутри рамок федерального права об инвестиционных компаниях и надзора SEC. Базовая правовая конструкция "открытого фонда" (open‑end company / mutual fund) закреплена в Investment Company Act of 1940 и сопровождается требованиями регистрации, раскрытия и регулярной отчётности. SEC в своих разъяснительных материалах прямо определяет open‑end funds как эмитентов "выкупаемых" ценных бумаг и описывает общий режим регистрации форм (например, Form N‑1A для mutual funds: но это отдельный и большой вопрос, поэтому здесь обойду его стороной).

В ЕС аналогичную роль играет режим UCITS (директива 2009/65/EC и последующие изменения/консолидации), кот. задаёт стандарты допуска активов, диверсификации и раскрытия информации для розничных коллективных инвестиций.

Дополнительные руководства европейского надзорного уровня (ESMA) уточняют, как именно должны раскрываться параметры индекс‑трекинга (в т.ч. tracking error) и какие сведения инвестор должен видеть в документах фонда.

Мировая практика традиционных индексных фондов

Типология продуктов и технологическая механика индексного фонда

В рамках именно данного отчёта под индексными фондами понимаются, как вы уже поняли,, паевые/взаимные фонды (open‑end mutual funds/UCITS‑фонды), которые рассчитываются по NAV (Net Asset Value (Стоимость чистых активов) - показатель в экономике и инвестициях, отражающий реальную стоимость одной акции или пая фонда) и предоставляют инвестору долю в пуле активов.

SEC‑разъяснения описывают mutual fund как открытую инвестиционную компанию, которая выпускает выкупаемые паи и держит портфель ценных бумаг, управляемый консультантом за вознаграждение.

Классическая механика репликации включает:

репликацию компонентов индекса (полную или "substantially all"), и/или
выборочное индексирование (sampling) при больших/широких индексах,
контроль tracking error, возникающего из‑за комиссий, ребалансировок индекса, корпоративных действий и операционных ограничений.

Распространённость по регионам: США и Европа как два центра тяжести

США являются крупнейшим рынком для индексных mutual funds. По данным ICI, на конец 2024 года 513 индексных mutual funds управляли $6,9 трлн чистых активов (net assets).

Европейский рынок коллективных инвестиций структурно опирается на UCITS как паспортируемый режим, позволяющий фондам продаваться в разных странах при соблюдении единых базовых требований. При этом европейское регулирование уделяет особое внимание раскрытию характеристик индекс‑трекинга и рисков отклонения от бенчмарка.

Великобритания (после Brexit) использует собственную нормативную базу через FCA Handbook (COLL), где закрепляются инвестиционные полномочия и лимиты для схем, включая UCITS‑подобные структуры. Это важно с точки зрения локальных надстроек над европейскими принципами.

Для ряда азиатских юрисдикций характерны кодексы/правила для коллективных инвестиций (например, MAS Code on Collective Investment Schemes в Сингапуре), которые задают best practices и требования к управляющим/трастии/кастодианам и раскрытию информации.

Сравнение крупнейших провайдеров и ориентиры комиссий

Ниже привожу небольшое сравнение трёх крупнейших провайдеров по корпоративному AUM (Assets Under Management, активы под управлением) - общая рыночная стоимость всех финансовых активов, которыми управляет инвестиционный фонд от имени клиентов) и ориентиров по издержкам.

Важно: AUM у компаний включает разные продуктовые оболочки и классы активов; здесь он используется как показатель масштаба и эффекта экономики издержек, но не равен "AUM только в индексных mutual funds".

Список составлен следующим образом:

Провайдер
Глобальные AUM (последняя найденная публичная дата)
Доля индексных активов (если раскрыта)
Ориентир по комиссиям (mutual/index funds)
Популярные бенчмарки (типичные)

Vanguard

Данные:

$12 трлн (на 31.12.2025);
84% индексных активов разные примерно $10,1 трлн (на 31.12.2025);
В материалах Vanguard приводится asset‑weighted average U.S. fund expenses 0,07% (как доля средних net assets) и заявляется средний expense ratio по линейке 0,06% на конец 2025 года (в пресс‑релизной методике компании);
S&P 500 (для 500‑фондов), "широкий рынок" и крупные глобальные индексы (MSCI/FTSE‑семейства) - в зависимости от фонда; пример: Vanguard 500 Index Fund прямо ориентирован на S&P 500.

BlackRock (iShares)

Данные:

$14 трлн (на 31.12.2025);
Не раскрыто единым числом в cited‑источнике;
Как пример розничного индексного mutual fund у iShares/BlackRock: iShares S&P 500 Index Fund Class K показывает net expense ratio 0,03% (как характеристика share class в карточке фонда).
Ядро рынка США@ (S&P 500), широкие глобальные и сегментные бенчмарки (MSCI и др.) - зависит от мандата фонда.

State Street (SSGA)

Данные:

$5,66 трлн (на 31.12.2025);
Не раскрыто единым числом в cited‑источнике;
Как пример индексного mutual fund: State Street Equity 500 Index Fund Class K показывает gross expense ratio 0,10% и бенчмарк S&P 500 (параметры в карточке фонда).
S&P 500 и другие крупные рыночные индексы, используемые в институциональных мандатах.

Отдельно отмечу эмпирическую особенность индустрии индексирования: даже в рамках пассивных продуктов потоки концентрируются в наиболее дешёвых долях/классах, а экономия масштаба снижает средние расходы. ICI указывает, что средний long‑term index mutual fund в 2025 году был более чем вдвое крупнее среднего index ETF по net assets -> косвенный аргумент в пользу сильного масштаба именно mutual‑оболочки при пассивном управлении.

Децентрализованные крипто‑индексные фонды

Что считать "реально децентрализованным индексным фондом" в крипто?

С учётом общего запроса/требования по децентрализации, кот. я сформулировал так: "ETF не нужны - только индексные фонды реально децентрализованные", решил обозначить, что в дальнейшем под "крипто‑индексными фондами" рассматриваю не-кастодиальные on‑chain конструкции, где:

активы либо хранятся в смарт‑контракте (vault/контейнер) и индекс‑токен представляет долю корзины,
либо индекс реализован как синтетический инструмент (цена следует индексу через оракулы и обеспечение), что децентрализовано технологически, но несёт иной профиль рисков.

Вне рамок моего приоритета остаются "крипто‑ETF" и централизованные индекс‑EТP/фонды с кастодианом (поскольку они завязаны на лицензированного эмитента/брокера и депозитарную инфраструктуру), даже если они индексные по стратегии.

Довод у меня такой: факт торговли на бирже или "обёртки фонда" сам по себе не создаёт децентрализацию.

Классы децентрализованных крипто‑индексных продуктов

Практически полезная классификация (по механике репликации и хранению) выглядит так (на мой взгляд и при первичном анализе):

Полностью обеспеченные (fully‑backed) индекс‑токены с mint/redeem

Индекс‑токен выпускается при депозите корзины базовых токенов и погашается обратным обменом; арбитраж mint/redeem помогает удерживать цену близко к NAV.

Whitepaper описывает в этом случае архитектуру как систему, где minter/redeemer депонирует underlying, получает index tokens и может обменять обратно, а fee реализуется на уровне протокола.

Индекс‑токены на инфраструктуре модульного портфельного протокола (Set‑подобные конструкции)

Здесь индекс‑токен - ERC‑20, а логика выпуска/погашения и модификации состава задаётся подключаемыми модулями. В ряде аудитов от OpenZeppelin подчёркивается, что модульность (issuance/redemption/set modifications) реализуется через module-contracts соответственно.

Синтетические индексы (synthetic)

Они не держат underlying‑токены, а воспроизводят значение индекса через ценовые фиды и обеспечение. Пример: Synthetix описывает выпуск on‑chain synth‑активов, включая более сложные инструменты (например, equity indices); отдельно упоминались и первые индекс‑токены типа sCEX/iCEX как корзины токенов бирж/обратные индексы.

Индекс‑пулы/AMM‑индексы и LP‑индексы

В таких продуктах индекс реализуется через пул ликвидности с заданными весами; инвестор получает долю пула и дополнительно несёт риск impermanent loss, чего нет в "чистой" корзинной репликации. Этот класс как раз подчёркивается в отраслевом разборе DeFi‑индексов.

Конкретные примеры децентрализованных продуктов и сравнение

Ниже решил сделать также небольшое, но прикладное сравнение нескольких известных on‑chain индекс‑продуктов/протоколов. Важно: в DeFi параметры могут меняться через governance, поэтому инвестору/контрибьюору нужно каждый раз проверять актуальные комиссии/контракты и последние обновления документации.

Список составлен следующим образом:

Продукт
Тип
Репликация
Комиссии/издержки (по публичным материалам)
Ребаланс/методология
Ключевые риски

DPI (DeFi Pulse Index)

Данные:

fully‑backed индекс‑токен на Set‑инфраструктуре;
корзина DeFi‑токенов; веса по circulating market cap (описано в методологии);
streaming fee 0,95%/год; mint/redeem 0% (в справке продукта);
методология на стороне Index Coop/сообщества, с правилами включения и ограничением концентрации;
риски% смарт‑контракт, регуляторные ограничения, риски underlying‑токенов и отклонений от методологии (перечень рисков приводится на страницах продуктов).

MVI (Metaverse Index)

Данные:

fully‑backed индекс‑токен на Set‑инфраструктуре;
корзина токенов "метаверс/VR/NFT‑экономика" по правилам включения; параметры раскрыты в продуктовых материалах;
streaming fee 0,95%/год; mint/redeem 0% (product page);
критерии включения и методология описаны в блоге/документах продукта;
те же классы рисков + повышенная волатильность/секторальная концентрация по теме (описано в risk‑section продукта);

AMKT (Alongside Crypto Market Index)

Данные:

fully‑backed рынок‑индекс в одном токене;
on‑chain custody underlying через vault; mint/redeem через "network"; механизм описан в whitepaper и конституции DAO;
expense ratio реализуется инфляцией 95 bps/год, отправляемой fee receiver; формула и логика описаны в whitepaper;
reconstitution quarterly (указано в whitepaper); подбор активов и веса через governance/процедуры;
governance‑риск (multisig и emergency‑powers), смарт‑контракт риск, рыночный риск, риск отклонения цены на вторичном рынке от NAV (дисклеймеры и риски указаны в whitepaper)

TCAP (Total Crypto Market Cap Token)

Данные:

синтетический индекс;
цена токена следует общей капитализации рынка (делённой на константу); используется оракульная оценка и обеспечение (описано в листинге/объяснениях);
комиссии зависят от протокольной механики и не раскрыты единым числом в cited‑материалах (требует проверки актуальных контрактов/документов перед использованием);
зависит от оракулов и правил обеспечения/эмиссии (описано как oracle‑driven);
риск оракулов, риск обеспечения/ликвидаций, риск синтетической конструкции (в отличие от fully‑backed корзины);

Phuture (протокол on‑chain индексов; пример PDI)

Данные:

некастодиальные индекс‑продукты;
протокол позиционируется как non‑custodial, с on‑chain индекс‑фондами; публикует аудит‑перечень и заявляет о многоканальности (v2);
для PDI отраслевой разбор указывает 1% yearly fee AUM (это не официальный проспект, а аналитический источник; актуальность нужно перепроверять в документации/контрактах);
PDI фигурирует как deprecated product в документации (есть инструкции по выводу средств);
технологический/аудит‑риск, lifecycle‑риск продукта (deprecated), ликвидность и риск изменения параметров через управляющие роли/процессы;

Комиссии

Отдельно хочу сказать о комиссионной механике DeFi‑индексов: для Set/Index‑архитектуры (streaming) fee обычно реализуется как своего рода инфляция, начисляемая получателям (managers/methodologists/etc.), что прямо описано в документации, скажем, StreamingFeeModule. Это критично для инвестора: комиссия "не списывается" как базовый платёж, а отражается через постепенное размывание (dilution/разбавление, если буквально) или иные on‑chain механизмы, и её нужно понимать до покупки.

Регуляция и налогообложение: ключевые юрисдикции (фокус на DeFi‑индексах)

Европейский союз (MiCA)

Через MiCA были введены единые требования к публичному предложению и допуску крипто‑активов к торгам, требования к CASP (crypto‑asset service providers), раскрытию и защите держателей.

В консолидированном тексте прямо описан спектр по индексам: прозрачность для эмиссии/офферов, требования к авторизации и надзору за CASP и защитные меры против злоупотреблений и т.п.

Для on‑chain же индекс‑токенов ключевой практический риск - квалификация роли "предлагающего провайдера услуг": даже если протокол некастодиален, фронтенд, маркетинг и обслуживание могут подпадать под требования к CASP или правила маркетинговых коммуникаций (в зависимости от модели).

США: SEC/CFTC + AML‑контур FinCEN

SEC публиковала рамку анализа investment contract для цифровых активов (digital assets) как staff‑guidance, описывающую факторы Хауи (Хоуи) теста и подчёркивающую эволюционный характер подхода.

Для крипто‑индексных токенов риск квалификации как ценной бумаги часто связан с ожиданием прибыли "от усилий других" и степенью централизации управления/маркетинга.

В марте 2026 CFTC опубликовала также пресс‑релиз о присоединении к интерпретации SEC по применению федеральных законов к некоторым крипто‑активам и транзакциям - это признак того (на мой взгляд), что контуры интерпретации продолжают уточняться (и этот риск называется риском "изменения правил игры", а значит - его нужно учитывать для любых on‑chain индексов).

С точки зрения AML/денежных переводов FinCEN в своих руководствах разъясняет, что лица, которые принимают и передают "value that substitutes for currency", могут квалифицироваться как "money transmitters" и должны выполнять AML‑обязанности.

Для DeFi‑индексов это может быть релевантно не столько "смарт‑контракту", сколько операторам сервисов, которые обеспечивают обмен/выпуск/погашение и фактическое transmission ценности.

Великобритания: финансовые промо‑правила и «high‑risk» режим

FCA тоже выпустила guidance по крипто‑финансовым промо (FG23/3), описывающее ожидания к коммуникациям и их одобрению для "qualifying cryptoassets" (крипто-активов, отвечающих заданным/определённым критериям), причём документ отмечает актуальность обновлений на 2026 год.

Для DeFi‑индексов практический вывод: даже децентрализованный токен может подпасть под ограничения маркетинга в UK, если продвижение адресовано UK‑потребителю.

Налоги (обобщённо)

США: IRS в Notice 2014‑21 описывает применение общих налоговых принципов к операциям с virtual currency; отдельно в FAQ указывается, что виртуальная валюта рассматривается как property для федерального налога. Это означает, что обмены/продажи токенов (в т.ч. индекс‑токена) обычно рассматриваются как налогооблагаемые события, а внутренние ребалансы протокола могут отражаться в цене, но не обязательно формируют отдельное событие (налогово-значимое) у держателя (детали зависят от фактов).
Великобритания: HMRC ведёт Cryptoassets Manual, который прямо позиционируется как техническое руководство по налогообложению cryptoassets и регулярно обновляется. Для держателя индекса это означает необходимость учёта disposal‑событий при обменах/продажах, а также аккуратного трекинга операций.
Сингапур: IRAS публикует "e‑Tax Guide по income tax treatment of digital tokens" (классификация payment/utility/security токенов и принцип fact‑and‑circumstances - важны факты и обстоятельства, т.е. контекст); также есть разъяснения по GST для digital payment tokens.
Германия: Минфин (BMF) в письме описывает, что продажа crypto‑assets как private assets может подпадать под режим частных сделок при продаже в течение одного года; документ также раскрывает подходы к доходам от lending и др. операций. Для крипто‑индексов это важно из‑за возможного сопутствующег» lending/стейкинга внутри стратегии или у пользователя.
Гонконг: IRD в DIPN 39 (обновлённая практика) указывает, что Hong Kong‑sourced profits от крипто‑бизнес‑активности облагаются profits tax; подход зависит от "характера и использования" операций и места осуществления profit‑generating activities. Для DeFi‑индексов это означает, что активная торговля как бизнес и долгосрочное владение могут трактоваться по‑разному в рамках территориального принципа.

Традиционные индексные фонды vs крипто‑индексы: преимущества и риски

Преимущества традиционных индексных фондов (mutual funds/UCITS)

Они встроены в зрелую инфраструктуру защиты инвестора: обязательные проспекты/раскрытие, депозитарная функция, ограничения по допустимым активам и диверсификации, надзор и стандарты отчётности. SEC описывает режим регистрации и формы, а европейский UCITS‑контур и ESMA‑гайдлайны отдельно формализуют раскрытие tracking error и индекс‑трекинг‑метрик.

Ключевые риски традиционных индексных фондов

Даже при пассивном управлении сохраняются рыночный риск, tracking error и риски, связанные с индекс‑провайдером и операционным исполнением. Проспект Vanguard 500 Index Fund прямо перечисляет риски, связанные с индексом (index‑related risks), включая риск пассивного менеджмента, риск отклонения от индекса (tracking error risk), риск провайдеры (index provider risk) и описывает различие репликация против выборки (replication vs sampling).

Преимущества реально децентрализованных крипто‑индексов

Основной выигрыш - программируемая обёртка: 24/7 доступ, некастодиальность (у пользователя ключи), возможность использовать индекс‑токен в комбинируемых (на англ. это будет composable) DeFi‑сценариях (например, как залог в кредитных протоколах) и прозрачность on‑chain действий (включая ребалансы).

Например, старый Index Coop указывал, что их композитные индексы (DPI/MVI) использовались как collateral на money markets.

Этот подход демонстрирует компонуемость как отдельную ценность DeFi‑индекса.

Ключевые риски крипто‑индексов (даже децентрализованных):

смарт‑контракт риск (ошибки, эксплойты, риски модулей),
governance‑риск (изменение параметров, зависимость от multi‑sig/совета безопасности),
ликвидность/спреды/отклонение цены от NAV на вторичном рынке,
регуляторный риск (квалификация токена/маркетинга/провайдера услуг),
налоговый риск (учёт множества транзакций).

Документы, кратко рассмотренные мной выше, прямо описывают governance-полномочия, а также риски отклонения цены и регуляторной неопределённости в дисклеймерах.

Практические критерии оценки децентрализованного крипто‑индексного продукта

Решил завершить именно на этом тезисе: своеобразный универсальный чек‑лист due diligence (не моя персональная рекомендация, а базовая методика оценки), который отражает реальные точки отказа у DeFi‑индексов:

Прозрачность методологии и говернанса

Проверить, есть ли публичная методология (правила включения/исключения, капы концентрации, расписание ребаланса), и кто реально может менять правила (DAO‑голосование, совет, multi‑sig). Для DPI, скажем, методология веса в 25% описана публично; для AMKT публично описаны constitution‑процедуры и multi‑sig.

Механика репликации и источник трекинга

У полностью обеспеченного (fully‑backed) токена ключевой вопрос - можно ли погасить (redeem) и как индекс, и кто/как осуществляет mint/redeem; у синтетических - какие оракулы/механизмы обеспечения и как устроены ликвидации.

AMKT и Set‑архитектура описывают mint/redeem процессы; синтетические конструкции (Synthetix/TCAP‑описания) подчёркивают зависимость от оракулов.

Комиссии и способ их взимания

Нужно фиксировать не только процент в год, но и как он реализован (streaming fee/инфляция/fees in mint/redeem). Для Index‑продуктов streaming fee управляется fee‑модулем, для AMKT комиссия реализуется, скажем, через инфляцию 95 bps/год.

Аудиты, обновления контрактов и сложность протокола

Наличие аудитов не является гарантией безопасности; важно смотреть область применения аудита и его масштаб (детализацию), дату и известные ранее взломы.

OpenZeppelin‑аудиты по этой тематике подчёркивают модульность set‑архитектуры, а в Phuture публикуются, например, список аудит‑проверок; в отраслевых конкурсных аудит‑отчётах (например, Code4rena‑формата) часто видна реальная плотность уязвимостей.

Ликвидность и стоимость выхода

Проверить, где торгуется индекс‑токен (DEX/агрегаторы), глубину стакана/пула, проскальзывание, возможность арбитража через mint/redeem. Whitepaper AMKT отдельно показывает роль вторичной рынка (secondary market) и связь с minter/redeemer; отраслевые разборы DeFi‑индексов подчёркивают, что структуры бывают разными (индекс‑токен vs LP‑индекс).

Регуляторный и налоговый комплаенс‑профиль

Даже если продукт децентрализован, пользователь может иметь обязанность по учёту налогов, а фронтенд/маркетинг - ограничения на коммуникации и требования к провайдерам услуг (MiCA/UK financial promotions/AML).

IRS/HMRC/IRAS/BMF/IRD публикуют принципы, которые следует применять к операциям с токенами; MiCA и FCA guidance задают рамки для услуг/промо.

Поэтому - будьте бдительны и аккуратны, а у меня пока всё и

До!

Web3-раследования. Покупка дорогой недвижимости в крипто-проектах как возможный ранний индикатор проблем

2026-03-27T05:14:04.445Z

Скам через недвижимость

Дисклеймер

Пока это не расследование полное, а лишь его описание.

Резюме

По итогам отбора 10 кейсов (разные типы проектов: биржи, DeFi‑токены, "крипто‑инвестплатформы", майнинг‑сервисы и пирамиды) видно, что в ряде уголовных/регуляторных дел покупка жилья и другие расходы на недвижимость описываются как способ вывода средств - то есть это не просто “богатый основатель купил дом”, а элемент фабулы хищения/отмывания.

В частности, официальные документы прямо связывают инвесторские/клиентские средства с платежами за жильё или с покупкой недвижимости в кейсах (как минимум):

Cryptsy,
SafeMoon,
EmpiresX,
Exochain,
HashFlare
AirBit Club.

Одновременно, как ранний индикатор "покупка дорогой недвижимости" работает неодинаково. В некоторых историях (например, Cryptsy) существенная часть злоупотреблений могла начаться раньше покупки дома, но до широкой огласки: недвижимость выступает скорее видимым следствием скрытой растраты, а не причиной или универсальным предвестником.

Качественная связь "покупка недвижимости → последующие проблемы" лучше всего доказуема там, где есть судебные документы/регуляторные заявления с конкретными платежами (ипотека, титульная компания, авансовый платёж) или где расследования опираются на документы владения/ареста активов.

Там же, где источники говорят лишь "покупали недвижимость" без суммы/даты, это остаётся сильным сигналом злоупотреблений постфактум, но слабее как предупреждение.

Методика и ограничения

Основной принцип отбора: найти случаи, где в публично доступных материалах:

Фиксируется покупка/финансирование жилья или вложения в недвижимость,
Проект/лицо далее фигурирует в банкротстве, уголовном преследовании, регуляторном иске или крупном расследовании, и
Есть хотя бы минимальная "склейка" между источником средств и недвижимостью.

Приоритет отдавался:

Документам и пресс‑релизам Министерство юстиции США, судебным документам и материалам Комиссия по ценным бумагам и биржам США (включая жалобы/complaints), Комиссии по торговле товарными фьючерсами США, а также государственным/регуляторным административным жалобам;
Журналистским расследованиям уровня ICIJ/OCCRP/крупных изданий - когда они опираются на документы (например, титульные записи/аресты активов). Но если подобное есть в мелких СМИ, то это даже лучше.

Ограничение: даты и цены покупки недвижимости часто отсутствуют в публичной части фабулы (особенно если речь о “нескольких домах” или если активы описываются агрегированно). В таких случаях пишу "не указано", а доказательная сила связи отмечена формулировками "прямо указано в документе" / "сообщается со ссылкой на судебные материалы" / "корреляция без прямой трассировки".

Сводная таблица кейсов

Список такого формата:

Проект
Основатель/лицо
Дата покупки
Стоимость
Источник финансирования
Последующие негативные события
Доказательства/ссылки

Cryptsy

Данные:

Paul Vernon
Март 2015
$1,374,881
Из средств проекта/клиентов (по версии иска)

Хронология примерно следующая:

2014: по версии (в исковом заявлении), "исчезновение" активов клиентов;
2015: покупка дома до полной публичной развязки;
2016-2017: гражданские иски;
2022: федеральное обвинение (wire fraud - мошенничество с использованием электронных средств связи и др.).

Судебный иск описывает "all‑cash purchase" дома за $1,374,881 и утверждает, что средства "не были получены законно и происходили из средств клиентов".

SafeMoon

Вводные:

Braden John Karony
Не указано
$2.2 млн (дом) + «доп. дома» (не указано)
Из средств проекта/инвесторов (по версии обвинения/приговора)

Хронология:

2023: предъявлены обвинения в мошенничестве/хищении "locked liquidity" (заблокированной ликвидности);
2026: приговор (100 месяцев) и описание покупок недвижимости; также в материалах упоминается маскировка движения средств через кошельки/маршрутизацию транзакций

Официальное сообщение о приговоре: подсудимый "acquired over $9 million…" - "приобрёл на сумму свыше 9 миллионов долларов…" - и "used some of the proceeds to purchase… real estate, including a $2.2 million home" - "использовал часть вырученных средств для покупки… недвижимости, в том числе дома стоимостью 2,2 миллиона долларов". Также в обвинении описана схема "locked liquidity" и маскировка переводов через кошельки.

Three Arrows Capital

Данные:

Su Zhu
Декабрь 2021
Ок $35 млн
Неясно (личные/фондовые средства не раскрыты)

Хронология:

2021: прекращение выплат/выводов;
2022: обещания погашения не выполнены; обвинения регулятора; выезд основателей из США в Бразилию (по версии SEC)
2022: крах/ликвидация 3AC; попытки ликвидаторов работать с активами;
2023: задержание соучредителя в Сингапуре по линии ликвидации/суда.

Покупка дома за $35M описана в деловой прессе как факт на базе регистрационных/кадастровых следов (caveat). Позднее - банкротство и меры в отношении основателя.

EmpiresX

Данные:

Emerson Sousa Pires
Не указано (в пределах ноябрь 2020 - декабрь 2021)
Не указано (зафиксировано: $125k down payment; $19k ипотека; $250k ремонт)
Из средств инвесторов (прямо указано в жалобе)

В жалобе SEC прямо перечислены траты: "$125,000 for a down payment on another home" - "125 000 долларов на первоначальный взнос за другой дом" - и "$19,000 in mortgage payments" - 19 000 долларов в виде выплат по ипотеке, - при этом это описано как misappropriation (хищение) средств инвесторов.

Exochain

Данные:

Robert E. Stewart Sr.
2017 (платежи на покупку); ипотека с 2017-10-05
Не указано (связанные платежи: $18,013.98 титул; ипотека “$3,000+”/мес)
Из средств инвесторов (прямо указано в адм. жалобе)

Хронология:

2017–2018: сбор $2M+ и растрата
2022: жалоба регулятора с детализацией платежей на жильё

Административная жалоба описывает, что инвесторские средства пошли на down payment (аванс) и ипотеку; приведены конкретные платежи (в т.ч. $18,013.98 титульной компании) и старт ипотечных платежей 2017‑10‑05.

HashFlare

Данные:

Sergei Potapenko, Ivan Turõgin
Не указано (в период 2015–2019)
Не указано
Из средств инвесторов (прямо указано в сообщении со ссылкой на court documents)

Хронология:

2025: приговор; конфискация/арест активов (включая real property) совокупно >$450 млн; квалификация как масштабная схема с фиктивными dashboard‑данными

Официальный релиз о приговоре: "used investor funds to purchase real estate…" - "использовал средства инвесторов для покупки недвижимости…"; упомянуты fake dashboards и объём продаж >$577 млн.

AirBit Club

Список:

Pablo Rodriguez
Не указано
Не указано
Из средств инвесторов/жертв (прямо указано в заявлении)

Хронология:

2021: признание вины/процессуальные действия (money laundering conspiracy); описана схема 2015–2019 и вывод на личные траты

В официальном сообщении говорится, что участники тратили деньги жертв на "luxury homes" (дорогие дома) и другие предметы роскоши; это подано как часть фабулы отмывания.

Celsius Network

Список:

Alexander Mashinsky
Не указано
Не указано
Неясно (в части недвижимости); по делу - выгода/выводы от мошеннических схем

Хронология:

2022: кризис и банкротство;
2023 (до 2025): уголовные/гражданские действия;
2024: признание вины по fraud‑эпизодам;

Официальное сообщение о признании вины и forfeiture (конфискации) >$48 млн фиксирует масштабы мошеннических схем. Отдельные СМИ со ссылкой на судебные материалы утверждают инвестиции в "роскошную" недвижимость (пентхаус/дом отдыха), но суммы/даты в доступных выдержках не приведены → "не указано".

QuadrigaCX

Список:

Gerald Cotten
Не указано
Ок. $12 млн (объём real estate holdings в завещании)
Неясно

Хронология:

2018: смерть основателя, остановка выводов/крах биржи; расследования; вопросы о доступе к кошелькам; последующие процессы

Профильное расследовательское изложение: в завещании (составлено за несколько дней до поездки) были перечислены "$12 million in real estate holdings" - "недвижимость на сумму 12 миллионов долларов", на фоне последующего коллапса и “missing funds” (недостатка средств).

OneCoin

Список:

Ruja Ignatova
Не указано
Ок. 13.5 млн фунтов (пентхаус)
Неясно (в расследованиях фигурируют версии об оплате/скрытии через переводы и посредников)

Хронология

2017: уголовные обвинения в США и исчезновение;
2018: дальнейшие международные расследования активов и заморозка

Журналистские расследования: обнаружение лондонского пентхауса, связанного с Игнатовой (оценка покупки £13.5 млн), а также описания механик сокрытия/актив по документам владения/суда.

Прямых on-chain‑транзакций в открытом фрагменте нет → доказательность основана на документальном трекинге активов.

Хронологии и визуализации

Ниже - три кейса, где связь "недвижимость ↔ злоупотребления" лучше всего читается из документов, и где доступны даты (или хотя бы привязка к конкретным платежам).

Цитаты (короткие) приведены как буквальные фрагменты из источников.

Cryptsy (Paul Vernon)

В гражданском иске зафиксировано, что в марте 2015 был закрыт “all‑cash” договор на дом за $1,374,881: “all‑cash‑purchase of a $1,374,881 … mansion”:

Недостача активов (обвинение в иске)
Покупка дома ($1.374M)
Подача/ведение крупного гражданского иска
Федеральное обвинение (США)Недвижимость
Иные негативные события
Итог: Cryptsy - недвижимость на фоне скрытой недостачи и последующих дел

Основание для связи здесь сильное: документально описана покупка, а в той же фабуле утверждается происхождение средств из клиентских активов/растраты и перечисляются последующие юридические шаги.

Three Arrows Capital (Su Zhu)

В иске зафиксировано:

Покупка дома в декабре 2021 за $35 млн и подробно отражена информация в профильной деловой прессе (с отсылкой к регистрационным следам)
Затем в 2022–2023 развитие кризиса приводит к ликвидации и аресту соучредителя.

Связанные события:

Ликвидация/крах (публичная фаза)
Арест соучредителя (Сингапур)
Недвижимость признаётся доказательством по делу
Негативные события иные
Three Arrows Capital - покупка недвижимости и быстрый переход к ликвидации

Важно: в открытых источниках по этому эпизоду нет прямого документа, который бы однозначно говорил "фондовые/клиентские деньги пошли на дом". Здесь, скорее, видим корреляцию по времени: крупная покупка → вскоре крах и преследование.

Exochain (Robert E. Stewart Sr.)

Регуляторная административная жалоба детализирует как аванс (down payment)/расходы, так и старт ипотечных платежей, указывая источник денег как инвесторский. Цитата: “used investor funds for the down payment on his home”.

Вводные:

Закрывающие платежи/титул (пример)
Старт ипотечных платежей (>$3k/мес)
Истощение счетов/кризис проекта (по фабуле)
Админ. жалоба регулятора
Недвижимость как доказательство
Негативные события иные
Exochain - платежи на покупку и ипотеку как часть фабулы дела

Здесь связь максимально “земная”: перечислены конкретные платёжные эпизоды (титульной компании и ипотеке) и прямо указано, что это инвесторские деньги.

Аналитический вывод о надёжности индикатора

Как индикатор "покупка дорогой недвижимости" работает лучше всего в случаях, где она появляется в официальной фабуле как способ монетизации злоупотреблений: регулятор/прокуратура прямо фиксирует, что инвесторские/клиентские средства пошли на авансовые платежи, ипотеку, титульные платежи или покупку домов (Cryptsy, EmpiresX, Exochain, SafeMoon, HashFlare, AirBit Club).

В таких кейсах недвижимость - не абстрактный “символ богатства”, а след финансового преступления, и потому хорошо коррелирует с последующими преследованиями и крахом.

Но как ранний предиктор проблем в “обычных” крипто‑компаниях (не пирамиды/не явные мошеннические схемы) этот сигнал менее надёжен: дорогое жильё может быть приобретено на вполне легальные личные средства, а прямые доказательства источника денег часто появляются только после subpoena/арестов/форензики.

В кейсах “корреляции без прямой трассировки” (например, Three Arrows Capital; частично QuadrigaCX/OneCoin по открытым выдержкам) покупка недвижимости может быть лишь совпадением на фоне общего риска/агрессивного плеча/рынка и не доказывает злоупотреблений без платежных следов или судебных материалов о происхождении средств.

Важное дополнение

В нормальных проектах это тоже работает - см. дела:

Curve
AAVE
Другие

Источники

Ниже - ключевые первичные/квази‑первичные материалы, на которые опираются списки выше (внутри отчёта они также процитированы построчно ссылками‑цитатами):

Судебная жалоба по делу Cryptsy: покупка дома за $1,374,881 и утверждения об источнике средств.
Официальные материалы по SafeMoon: сообщение об обвинении (описание схемы и маскировки переводов) и сообщение о приговоре (перечень недвижимости).
Материалы по Three Arrows Capital: деловая пресса о покупке дома (S$48.8 млн) и русскоязычная хроника задержания соучредителя.
SEC Complaint по EmpiresX: перечисление платежей (down payment/ипотека) как misappropriation.
Административная жалоба регулятора по Exochain: конкретные платежи, даты начала ипотеки, квалификация расходования инвесторских средств.
Официальное сообщение о приговоре по HashFlare: указание на покупку недвижимости на средства инвесторов и конфискацию недвижимости.
Официальное сообщение по AirBit Club: указание на luxury homes как часть фабулы отмывания.
Официальное сообщение о признании вины по Celsius + публикация (со ссылкой на судебные материалы) о недвижимости: для фиксации факта преследования и наличия утверждений о “luxury” недвижимости (без сумм/дат в доступном фрагменте).
Vanity Fair (расследовательский нарратив) по QuadrigaCX: упоминание C$12 млн real estate holdings в завещании на фоне коллапса.
ICIJ (и есть русскоязычное изложение на Forklog) по OneCoin/Игнатовой: документальный трекинг активов и сообщения о дорогостоящей недвижимости (с указанной стоимостью, но без устойчиво подтверждённой в открытом фрагменте даты покупки).

P.S.

Если будет интерес к подобным историям - пишите, а у меня под всё и

До!

Web3. Как L1 и L2 могут построить максимально сильный Ethereum? Перевод

2026-03-25T06:24:57.896Z

Ethereum + L2

Перевод

Это вольный перевод: blog.ethereum.org/2026/03/23/l1-l2-ethereum

Общие вводные

Северная звезда (главная цель) команды Platform - масштабировать Ethereum как целостную систему и обеспечить уверенное принятие всеми пользователями.

Этот пост описывает наше видение отношений между L1 и L2, роли каждого слоя и то, как экосистема использует их сильные стороны, чтобы создать максимально привлекательную платформу для всех.

Часть этого уже понятна сегодня, а часть ещё предстоит подтвердить через эксперименты и итерации вместе с сообществом.

Об отношениях L1 + L2

TL;DR

Цель: все пользователи (частные лица и институционалы) должны иметь понятный путь, позволяющий использовать, расширять и получать выгоду от ключевых свойств Ethereum.

Лучший способ достичь этого - задействовать уникальные возможности каждого слоя, усилить базовые свойства Ethereum и раскрыть их ценность для конечных пользователей.

Роль каждого слоя эволюционировала по мере роста экосистемы:

Раньше: Главная задача L2 - масштабирование Ethereum, а уже затем - пространство для дифференциации и кастомизации. Основной рычаг - масштабирование.

Сегодня: Главная задача L2 - предоставлять уникальные функции, сервисы, кастомизации, стратегии выхода на рынок и зоны контроля, одновременно обеспечивая дополнительную масштабируемость. Основной рычаг - дифференциация, контроль и инновации.

Роль L1

Служить по-настоящему permissionless (не требующий разрешения)и максимально устойчивым глобальным центром для:

финального расчёта (settlement);
общего состояния (shared state);
ликвидности;
DeFi.

Сильный L1, который масштабируется без ущерба для CROPS:

устойчивость к цензуре (censorship-resistance);
открытый код (open source);
приватность (privacy);
безопасность (security).

Такой L1 cоздаёт лучшую основу для L2.

Роль L2

Предоставлять новые ценные функции, кастомизацию и контроль для роста собственных ончейн-экономик, одновременно распространяя базовые свойства Ethereum на большее число пользователей.

Сильная сеть L2 усиливает экосистему и "центр тяжести" Ethereum.

L2 - спектр решений с разными типами отношений к L1 в зависимости от их целей.

Связь с L1

L2, стремящиеся к максимально тесной интеграции с L1, должны двигаться к:

синхронной композируемости;
полной интероперабельности;
общей ликвидности;
Stage 2;
механизмам вроде native rollups.

Масштаб применения

Множество L2 с разными бизнес-моделями и технической специализацией продолжат играть ключевую роль. Все они будут предлагать то, чего нет у L1.

Ethereum Foundation будет инвестировать в технологии, которые позволят L2:

более бесшовно расширять свойства L1;
безопасно получать доступ к ликвидности и капиталу между L1 и другими L2.

L2 должны обеспечивать прозрачность и проверяемость своих свойств безопасности.

Иными словами - обе стороны важны, и "настроение должно соответствовать содержанию".

Интро

За последние 5 лет вокруг Ethereum L1 сформировалась экосистема цепочек.

Они могут наследовать разные свойства Ethereum:

полную децентрализацию (например, rollups Stage 2);
часть свойств безопасности (validiums, prividiums);
только стандарт EVM (не являясь L2).

Многие всё ещё находятся в разработке: часто стартуют как независимые цепочки и постепенно интегрируются глубже с L1.

Почему модель нужно обновить?

Последний раз пересмотр отношений L1–L2 произошёл около 5 лет назад - при появлении rollup-centric roadmap.

С тех пор многое изменилось:

технологии совместного использования безопасности и ликвидности L1 сильно продвинулись;
преимущества L2 стали яснее;
L2 сами превратились в полноценные экосистемы;
план масштабирования L1 стал более чётким.

Экосистеме необходимо признать эти изменения и извлечь уроки из успехов и ошибок.

Новое видение отношений L1 ↔ L2

За последние месяцы сформировалась более чёткая картина будущего:

1. Сильная база L1 - обязательна

Процветающая экосистема Ethereum должна опираться на мощный L1.

2. L1 будет масштабироваться на порядки

При этом сохранятся:

максимальная безопасность;
децентрализация;
роль ядра ончейн-экономики;
статус центра DeFi.

3. Экосистема независимых, совместимых L2 будет расти

L2 предложат:

больше кастомизации;
больше контроля;
функции, невозможные на L1.

Они укореняются в экосистеме Ethereum, потому что это лучший выбор для их пользователей, сообществ и бизнеса.

4. L2 одновременно конкурируют и сотрудничают

Это нормально и полезно.

Они обеспечивают:

разнообразный специализированный блокспейс;
сервисы;
активы.

Цель документа

Подробно объяснить видение отношений L1 ↔ L2 и предложить путь к созданию взаимно усиливающих связей между Ethereum L1 и любыми цепочками, которые хотят стать частью экосистемы.

Каковы роли L1 и L2 и как они могут работать вместе?

Ethereum L1 - ведущий программируемый блокчейн в мире. Ни одна другая цепочка сегодня не приближается к нему по уровню:

принятия пользователями;
внимания разработчиков;
децентрализации;
устойчивости;
"жёсткости" (hardness);

Ethereum L1 - сердце экосистемы DeFi и обладает самой глубокой ликвидностью.

Ethereum L1 теперь имеет чёткий путь масштабирования без потери децентрализации и надёжности. Технологии ZK развиваются быстрее ожидаемого благодаря усилиям множества команд экосистемы. В ближайшие годы L1 Ethereum сможет масштабироваться на несколько порядков, оставаясь верным своей идее - не жертвовать базовыми ценностями.

Почему одного L1 недостаточно?

Ни одна отдельная цепочка не сможет удовлетворить все потребности глобальной ончейн-экономики.

Даже если Ethereum останется ведущим блокчейном и увеличит масштаб в 1000 раз, всё равно будет существовать множество цепочек, потому что они обеспечивают специализацию и кастомизацию, недоступные L1:

специализация под конкретные приложения или кейсы;
функции вне EVM;
дополнительные гарантии приватности;
собственные механизмы ценообразования и включения транзакций;
сверхнизкая задержка или особые свойства секвенсирования;
экстремальная масштабируемость, недостижимая для L1;
специализированные экономики и стратегии роста;
модульные архитектуры для комплаенса и бизнес-требований;
инновации, которые можно внедрять быстрее, чем на L1;
модели управления, дающие участникам детальный контроль над средой исполнения.

Взаимодополняющие роли

Это создаёт возможность для взаимовыгодных отношений между Ethereum L1 и L2, где каждый выполняет свою роль.

Почему другим цепочкам выгодно быть L2 на Ethereum?

Безопасность и децентрализация дешевле

Высокая безопасность, минимальный риск контрагента и максимальная децентрализация достигаются гораздо дешевле, чем у альтернативных L1.

Создание собственной глобальной сети валидаторов:

дорого;
долго;
сложно.

L2 могут переложить эту задачу на Ethereum L1 и "платить за использование", а не нести огромные фиксированные расходы.

Пользователи и разработчики

L2 получают доступ к крупнейшему сообществу:

пользователей;
разработчиков.

Через безопасную интероперабельность с крупнейшим L1 и крупнейшей сетью L2.

Кроссчейн-UX будет ускоряться благодаря:

ZK-технологиям;
доказательствам в реальном времени;
более быстрой финализации L1;
ускоренным расчётам L2;
развитию агентной инфраструктуры.

Интероперабельность

Хорошо спроектированные L2 получают безопасный доступ к:

активам L1;
ликвидности DeFi;
аккаунтам пользователей на L1;
сервисам L1 (например, оракулы, ENS).

Выход на рынок (Go-to-market)

Членство в экосистеме Ethereum даёт:

сильный бренд;
репутационные преимущества;
лучший трек-рекорд по безопасности;
более высокое регуляторное признание среди L1.

Как L1 выигрывает от L2?

Размещение Ethereum L1 в центре растущей сети L2 усиливает уникальную роль Ethereum и ETH в ончейн-экономике.

Основные выгоды:

Рост спроса на ETH:безопасные мосты между ETH и другими активами.

ETH одновременно выступает как:

средство сбережения;
деньги;
приложение внутри экосистемы.

Усиление сетевых эффектов:

распространение EVM;
обучение разработчиков;
инструменты разработки;
онбординг пользователей;
взаимодействие между L2.

Закрепление роли ядра мультичейн-мира.Ethereum становится:

центральным слоем расчётов;
главным источником ликвидности;
основой ончейн-экономики.

Дополнительное развитие бизнеса и маркетинга.L2 косвенно продвигают Ethereum в целом.

L2 как "двигатели распространения"

L2 помогают реализовать ключевую идею Ethereum: они распространяют базовые свойства Ethereum (безопасность, устойчивость, надёжность) на гораздо большее число людей.

Выступая как "двигатели дистрибуции" и дополнительного масштабирования, L2 увеличивают количество пользователей, которые могут получать устойчивую ценность от Ethereum.

Важное предупреждение

Эти преимущества не следует воспринимать как гарантированные:

некоторые из них обсуждаются внутри сообщества;
часть - долгосрочные гипотезы;
их нужно подтверждать экспериментами и анализом.

В конечном итоге отношения L1 ↔ L2 должны быть взаимовыгодными, иначе модель не будет работать.

Первые пять лет уже принесли множество успехов и ключевых строительных блоков для будущего.

Что это означает для L2 в будущем?

Что новая модель означает для L2, их команд и сообществ?

Наши рекомендации

L2 должны сосредоточиться на стратегиях, которые дополняют L1 и одновременно отличают их платформы.

Многие L2 уже успешно движутся в этом направлении - через:

инновационные функции;
фокус на конкретных кейсах (например, app-chains);
новые модели дистрибуции;
нестандартные стратегии выхода на рынок.

Это позволило им создать собственные уникальные сообщества и распространить свойства Ethereum на миллионы новых пользователей.

Свобода дифференциации

L2 должны чувствовать себя свободными отличаться любыми способами.

Уже наблюдается дифференциация по:

масштабируемости;
степени trustlessness;
приватности;
корпоративному комплаенсу;
отраслевой специализации;
сообществу;
техническим инновациям.

Другие потенциальные кейсы для L2:

публичные доски объявлений для криптографического e-голосования;
системы прозрачности сертификатов.

Наследование свойств Ethereum - выбор L2

L2 могут наследовать:

все свойства Ethereum,
или
только часть.

В зависимости от своих целей.

Однако пользователи должны чётко понимать, какие свойства безопасности предоставляются, а какие - нет.

Требования к trust-minimized L2

L2, стремящиеся к минимизации доверия, должны как минимум:

достичь Stage 1;
пройти тест "walkaway".

Это означает, что пользователи могут безопасно выйти в L1 даже при:

злонамеренных операторах;
отказе security council.

L2, максимально близкие к L1

Такие L2 должны стремиться к:

Stage 2
Синхронной композируемости, включая:

только чтение (например, L1SLOAD / L1STATICCALL);
чтение и запись.

Как на уровне протокола, так и приложений.

Например:

если активность происходит на L2 - должны ли аккаунты быть на L2?
если сделки происходят на L1 - должны ли активы выпускаться на L2?

Native rollups

Стать native rollup -> позволит:

отказаться от security council
полностью наследовать безопасность L1

Интероперабельность и общая ликвидность

L2 должны продолжать развивать механизмы:

взаимодействия между сетями;
общей ликвидности.

Рекомендуется исследовать:

Open Intents Framework;
Fast Confirmation Rule;
решения, позволяющие использовать капитал L1, не покидая L2;
технологии синхронной композируемости.

Прозрачность

L2 должны работать открыто и ясно сообщать:

свои свойства безопасности
степень зависимости от L1

Важную роль здесь играет L2Beat, повышая прозрачность экосистемы.

Что делает Ethereum Foundation?

Чтобы реализовать это видение отношений L1 ↔ L2:

Масштабирование L1 и blobs

EF работает над увеличением масштабируемости L1 и blob-пространства без потери децентрализации и надёжности.

Сейчас blobs заполнены примерно на (примерно) 30%, поэтому есть значительный запас роста.

Поддержка L2 с сильными базовыми свойствами

Особенно тех, кто усиливает ключевые направления EF:

приватность;
безопасность;
trustlessness.

Команда Platform

Под руководством Джоша Рудольфа она:

улучшает платформу Ethereum в целом;
выступает интерфейсом между L2 и развитием протокола.

Улучшение ликвидности L1

И облегчение доступа к ней для L2:

более быстрая финализация;
ускоренные выводы средств;
быстрые депозиты.

Работа с командами L2

EF тесно взаимодействует с L2-проектами, чтобы:

понимать их потребности;
учитывать их в приоритетах протокола;
прояснять модель отношений L1 ↔ L2.

Цель - укреплять ценность участия в экосистеме Ethereum.

Native rollups (нативные роллапы)

EF инвестирует в R&D технологий, которые позволят:

L2 полностью и trustlessly проверяться L1;
Обеспечить синхронную композируемость;
Безопасную интероперабельность.

Мониторинг безопасности L2

Совместная работа с L2Beat и другими организациями для:

оценки свойств безопасности L2;
честной прозрачности относительно того, насколько они наследуют безопасность L1.

Это важно, чтобы пользователи и разработчики могли принимать осознанные решения.

Борьба с фрагментацией

Главный недостаток мультичейн-мира - фрагментация.

EF будет работать с:

сетями;
кошельками;
инфраструктурными провайдерами.

чтобы улучшить интероперабельность и устранить:

проблемы UX;
фрагментацию платформ для разработчиков;
разрозненность нарратива Ethereum.

Итог

Совместно экосистема стремится создать:

глобальную permissionless ончейн-экономику;
лучшую платформу для всех пользователей.

P.S. Дополнительно

https://teletype.in/@menaskop/zk-evm

До!

DeFi. Balancer закрывается? И да, нет

2026-03-24T06:28:49.549Z

Балансер

Перевод

Это вольный перевод: https://forum.balancer.fi/t/on-the-future-of-balancer-shutting-down-balancer-labs-supporting-the-path-forward/7002. Далее - цитата и небольшие комменты.

О будущем Balancer: закрытие Balancer Labs и поддержка дальнейшего пути

Привет всем,

Пишу это, потому что считаю, что вы заслуживаете полной прозрачности относительно моей позиции, решения по Balancer Labs и того, почему по-прежнему верю в людей, которые продолжают строить этот протокол.

Последние 6 месяцев стали самым тяжёлым периодом с момента запуска Balancer. Ноябрьский эксплойт, ущерб репутации, торговля токена ниже NAV - всё это мне прекрасно известно. Я провёл месяцы, размышляя о том, какой путь вперёд будет честным - не только для меня и BLabs, но и для каждого держателя BAL, каждого LP и каждого участника, вложившего свою энергию в проект.

Balancer Labs закрывается

После тщательного анализа я решил свернуть деятельность Balancer Labs.

Это решение далось мне нелегко - B.Labs был изначальным домом протокола, инкубатором идеи, источником финансирования ранней разработки и силой, которая воплотила Balancer в жизнь.

Но реальность такова, что BLabs как корпоративная структура стал скорее обузой, чем активом для будущего протокола, и в текущем виде неустойчив без источников дохода.

Причины просты. Эксплойт v2 от 3 ноября 2025 года создал реальные и продолжающиеся юридические риски. Содержать компанию, несущую ответственность за прошлые инциденты безопасности, в то время как сам протокол должен двигаться дальше без этих обременений - безответственно.

Протокол Balancer давно перерос необходимость традиционной компании (стоящей) "над ним". Сегодня он функционирует через DAO, Foundation и модель сервис-провайдеров - и именно такая структура подходит для будущего.

Ключевые сотрудники BLabs планируется перевести в Balancer OpCo (при условии одобрения голосованием). Marcus и Danko представят предложение BIP по операционной деятельности, и я полностью поддерживаю этот процесс.

Почему не призываю полностью закрыть всё?

Я буду честен: рассматривал возможность закрыть всё. Серьёзно.

Рыночный сигнал жесток.

Но вот к чему постоянно возвращаюсь: протокол всё ещё генерирует реальную выручку. За последние три месяца Balancer получил более 1 млн долларов годовой выручки (annualized) в виде комиссий.

Это не ноль - это работающий протокол, скрытый под сломанной токеномикой и раздутыми расходами.

Проблема не в том, что Balancer не работает. Проблема в том, что не работает экономика вокруг него. А это можно исправить.

Я видел, как команда реагировала на эксплойт, работала над reCLAMM и миграцией на v3. Те, кто остался - Danielmk, Danko, Xeonus, Fábio, Marcus и многие другие - здесь потому, что верят в проект. Они пережили самый тяжёлый период в истории протокола и вернулись с планом, который выглядит реалистично.

Путь "бережливого продолжения" - обнуление эмиссий BAL, реструктуризация комиссий, чтобы DAO реально получало доход, максимальное сокращение команды и снижение операционных расходов - это не фантазия.

Это реальный шанс на разворот!

Что поддерживаю?

Полностью поддерживаю предлагаемую реструктуризацию токеномики и связанное операционное предложение BIP. В частности:

Прекращение утечки через эмиссию

Эмиссия BAL размывала доли держателей и финансировала круговую экономику "взяток", которая обходилась дороже, чем приносила. Обнуление эмиссии - самое важное решение для токена и казны.

Сворачивание veBAL

Модель ve выполнила свою роль, но стала инструментом захвата мета-управления. Aura, Humpy и рынки взяток превратили управление veBAL в систему, не отражающую реальное сообщество Balancer. Более лёгкая модель управления позволит сосредоточиться на главном.

Реструктуризация комиссий

Направление 100% протокольных комиссий в казну DAO и снижение доли протокола в V3 до 25% для привлечения органической ликвидности - путь к самоокупаемости. Текущая модель, где DAO получает лишь 17,5% доходов, больше нежизнеспособна.

Выкуп BAL

Предоставление держателям BAL возможности выйти по справедливой цене - правильный шаг. Веришь в обновлённый Balancer - остаёшься. Не веришь - получаешь честный выход.

Фокус на продукте

Сосредоточение на reCLAMM, LBP, пулах стейблкоинов/LST, weighted pools и меньшем числе EVM-сетей - это необходимая дисциплина для небольшой команды.

Моя роль дальше

Я уже некоторое время не участвую в операционной деятельности, а после закрытия B.Labs не буду иметь формальных связей с протоколом. Тем не менее, продолжаю верить в технологию и команду. Готов помогать как советник и сторонник.

Я видел, как DeFi-проекты после потери импульса делали "чистый разрыв" и возвращались сильнее. Это возможно - но требует жёстких решений, честности перед рынком и способности работать с гораздо меньшими ресурсами.

Заключение

Пять лет назад мы хотели создать программируемую ликвидность для DeFi. Мы создали нечто реальное - технологию, на которой строят Aave, Gnosis, Lido, CoW и десятки других проектов. Архитектура v3 надёжна, а продукты в разработке уникальны.

Провалилась не технология. Провалилась экономическая модель вокруг неё и накопленные последствия инцидентов безопасности, подорвавшие доверие.

Я считаю, что у Balancer всё ещё есть шанс восстановиться и доказать оставшимся держателям токенов наличие product-market fit и устойчивости. Следующие 12 месяцев будут решающими.

Этот пост отражает мои личные взгляды как со-основателя и акционера BLabs. Формальные предложения готовятся основной командой и будут опубликованы отдельно для обсуждения и голосования сообщества

Выводы

Я заработал на BAL и не плохо, но он очень мал в моём "вечном портфеле", потому что указанный взлом был не первым, потому что все остальные огрехи, перечисленные выше, - реальность.

И именно по этой причине 1001-й раз скажу (за уже 10+ лет), что токеномика - это не просто таблица: https://t.me/web3news/7733 - это куда многим бОльшее. Многим.

До!

DeFi. Где создаются и торгуются RWA?

2026-03-23T05:05:42.874Z

RWA - реальные токенизированные активы

TL;DR

Рынок токенизированных публичных акций (stocks/ETFs) уже имеет вполне измеримый ончейн-след: по данным RWA.xyz, суммарная стоимость сегмента составляет что-то около $1.08B, а месячный объём переводов (трансферов) - примерно $2.30B (правда, это метрики платформы: как правило, это прокси‑показатели активности, а не “биржевой объём” в классическом смысле).

Крупнейшие платформы токенизации в этом сегменте - Ondo и xStocks, далее - Securitize и другие.

На стороне доступа сформировались два доминирующих UX‑канала:

CEX‑листинги с возможностью вывода токенов в self‑custody;
“Кошельковые” интерфейсы (например, MetaMask Swaps) с котированием 24/5 и переносимостью токенов 24/7.

Основные риски концентрируются вокруг регулирования (территориальные ограничения, статус ценных бумаг и т.п.), контрагента и программируемого комплаенса (возможность паузы/заморозки/принудительных действий на уровне токена).

Об остальном - читайте ниже :)...

Методология и терминология

В отчёте "сервисы торговли токенизированными акциями и RWA", который, как и ряд других, лёг в основу этого исследования, участники подобного типа интерпретируются широко:

Торговые площадки (CEX/DEX);
Специализированные эмитенты;
Платформы токенизации;
Кошельки‑интерфейсы;
Агрегаторы (которые либо дают прямой доступ к операциям покупки/продажи/свопа, либо обеспечивают инфраструктуру и ликвидность для такого доступа).

Для различения моделей полезна базовая рамка RWA.xyz:

Distributed assets - токены, которые можно выводить из платформы эмитента/дистрибьютора во внешние кошельки и передавать P2P (иногда - с ограничениями).
Represented assets -токены/записи, которые не предназначены для свободного вывода и P2P‑перемещения (чаще используются как слой учёта и reconciliation, т.е. сведение к единому состоянию, для институциональных процессов).

В качестве метрик ликвидности/объёмов используются:

Объём переводов и активные адреса из агрегаторов;
Данные самих провайдеров (например, cumulative volume в официальных публикациях).

Если атрибут не удалось подтвердить первоисточниками, он помечается как "не указано/не найдено" и т.п.

Архитектура экосистемы RWA

В типичной цепочке создания и торговли RWA есть несколько слоёв:

Underlying (off‑chain): акции/ETF/облигации/казначейские бумаги/товары и т.д., которые существуют в традиционной правовой системе, т.е. в прямом смысле - оффчейн.
Кастодиальная/брокерская инфраструктура: покупка/удержание underlying и ведение правового титула (иногда у токена - ограниченные права). Пример: в xStocks на Solana описана схема "купили реальную акцию → держим у регулируемого кастодиана → чеканим 1:1 SPL‑токен".
Эмитент/платформа токенизации: выпускает токен (ERC‑20/SPL/token‑2022 и др.), задаёт комплаенс‑правила, раскрытия, корпоративные действия. В xStocks это дополнительно усилено Solana Token Extensions (делегаты, потенциальные transfer‑controls для комплаенса и др.).
Дистрибуция и торговля: CEX‑листинг (orderbook), DEX/AMM‑ликвидность, OTC/P2P‑инструменты, а также свопы в кошельках (часто RFQ‑подобная модель с котировками). Пример: xStocks - листинг на Kraken/Bybit и onchain‑торговля через Raydium/Jupiter, плюс использование как collateral (залог) на Kamino и отображение в Phantom/Solflare.
Аналитика/мониторинг: агрегаторы вроде RWA.xyz и DeFiLlama для обзора рынка, платформ, сетей и onchain‑активности.

Сравнение ключевых сервисов по атрибутам

Контекст по сегменту: по RWA.xyz на начало марата 2026 г. лидируют Ondo (ок. $644M) и xStocks (ок. $252.8M); далее идёт Securitize (ок. $98M), затем - провайдеры поменьше.

Ниже - сравнительная таблица сервисов, которую для удобства чтения в блоге превратил в список: это сервисы, которые либо (а) непосредственно обеспечивают торговлю, либо (б) являются ключевыми точками доступа (или даже инфраструктурой наблюдения) для RWA.

Что касается ликвидности объёмов в таблице, то я брал либо официальные заявления провайдеров, либо данные из RWA.xyz, где прямые биржевые объёмы недоступны.

Базовая структура списка такова:

Сервис
Тип
Поддерживаемые RWA
Блокчейны/стандарты
Юрисдикция и статус
KYC/AML
Способы торговли
Ликвидность/объёмы (последние 6–12 мес, если доступно)
Комиссии
Интеграции
Риски (ключевые)
Официальные источники
Иное

Итак...

Kraken

Данные:

CEX
Токенизированные акции/ETF через xStocks
xStocks выводятся onchain; на Solana - SPL по кейсу xStocks
Доступность: не для граждан США; при старте xStocks требуется подтвердить, что вы - не в США/не U.S. Person (не резидент)
Требуется верификация/опросник KYC в рамках AML
24/5 на Kraken; после вывода - 24/7 onchain; Kraken Pro (orderbook)
Как прокси по экосистеме xStocks: на март 2026-го ежемесячный объём составляет ок. $657.5M и при количестве участников ок. 124k
Нет общей комиссии при покупке xStocks за USDG/USD; конверсия на Kraken Pro - фиксированная: 1% (естественно - возможен спред)
Интеграции: Solana DeFi: Raydium / Jupiter; collateral в Kamino; кошелёк‑поддержка Phantom/Solflare
xStocks не дают shareholder rights (например, голосование); underlying хранится в депозитариях по отдельным соглашениям; возможны комплаенс‑ограничения/приостановки
Источники основные: xStocks страница/FAQ/риски
Иное: N/A

Hyperliquid

Данные:

DEX (деривативы + spot), CLOB (Central Limit Order Book)
RWA как класс: не указано/не найдено (платформа - perps + спот по списку активов)
Собственный L1; HyperCore (order books) + HyperEVM
Юрисдикция/регстатус: не указано/не найдено
В торговых доках KYC не указан как обязательный; при этом в отдельных программах (delegation) требуется KYC/KYB, но есть ограничения кошельков через Chainalysis
Spot + perpetuals; fully on‑chain order book, price‑time priority
Публичные 6-12м объёмы в официальных доках: не найдено (для оценки часто используют внешнюю DEX‑аналитику)
Fees зависят от объёма ваших торгов за последние 14 (?) дней
Интеграции: API/info эндпоинты для перпов (open interest, funding и т.д.)
Риск ликвидаций/маржин‑модели; техриск L1; регуляторная неопределённость для RWA‑деривативов (если будут/есть)
Источники: Hyperliquid docs: About/Order book/Fees

Ondo Global Markets

Данные:

Специализированный (эмитент/платформа)
Tokenized stocks/ETFs (100+), включая индексы и fixed‑income ETF; также другие (commodities и т.п. через партнёрские интерфейсы)
Токены ERC‑20‑совместимые; мультисетевые развёртывания (пример: ERC‑20 на EVM‑сетях; встречается token‑2022 на Solana по сущностям активов)
Эмитент - Ondo Global Markets (BVI) Limited; запреты для U.S. persons и ряда юрисдикций (в основном - санкционных)
Onboarding/KYC описан в документации; через MetaMask заявлен "без отдельного signup/KYС", но с региональными ограничениями
Покупка/продажа по котировкам; торговля 24/5 (в т.ч. overnight через ATS‑ликвидность), P2P‑трансферы 24/7
По данным RWA.xyz: distributed asset value ок. $2.59B; monthly transfer volume примерно $2.26B; держателей (holders) ок. 83.6k
Fee‑механика через отклонение котировки и/или комиссия (fee) в цене; газ оплачивает инвестор; дивиденды реинвестируются
Поддержка кошельков и некоторых кастодианов/инфраструктур; пример совместимости названы с MetaMask/Trust Wallet/OKX Wallet и др.
Регуляторный риск (санкции/запрещённые юрисдикции), риск ценовых дислокаций/спредов в ночной сессии, кастодиальный/контрагентный риск эмитента
Источники: Ondo документы (Global Markets) + market hours/fees

Backed Finance AG

Данные:

Специализированный (эмитент)
bTokens (например, bCSPX как трекер на ETF) и линия xStocks (tokenized stocks/ETFs)
bTokens: ERC‑20 (пример bCSPX). xStocks: SPL на Solana + мультисети по аналитике
Компания/структура: в Final Terms для Backed bCSPX указан эмитент Backed Assets (JE) Limited (Jersey)
KYC/ограничения: зависит от канала дистрибуции и продукта; в открытых промо‑доках детально не унифицировано → частично не найдено
Торговля через партнёров‑CEX и Solana DeFi (DEX/агрегатор/лэндинг)
По данным RWA.xyz для xStocks: asset value ок. $257.3M; monthly transfer volume примерно $657.5M; держателей (holders) - в районе 124k
Комиссии: зависят от площадок (CEX/DEX); единый fee‑лист (лист комиссий) эмитента в открытом виде: не найдено
Экосистема Solana: Raydium/Jupiter/Kamino; отображение в Phantom/Solflare
Риск ограниченных прав держателя (часто price exposure, без голосования); риск "программируемого комплаенса" (pause/controls) для SPL‑токенов (стандарт цифровых активов в блокчейне Solana, аналогичный ERC-20 на Ethereum, предназначенный для создания, управления и передачи взаимозаменяемых токенов)
Данные: Backed документы + Solana case study

Dinari

Данные:

Специализированный (эмитент/интеграции в DeFi и CEX)
dShares: токенизированный доступ к акциям/ETF (модель может трактоваться как дериватив/контракт в зависимости от канала)
Основной onchain‑фокус по аналитике - Arbitrum/Base/Ethereum (как сети развёртывания)
Регуляторика: Reuters сообщали о "broker‑dealer registration" для дочерней структуры, например
KYC/AML: зависит от дистрибуции (CEX/партнёр); в публичных KID‑материалах описан контракт с эмитентом
Спот‑торговля/интеграция внутри протоколов (API/партнёрские UX); конкретные механики: частично не найдено
По данным RWA.xyz: distributed asset value всего ок. $10.45M; monthly transfer volume примерно $3.70M; holders - ок. 4.7k
Комиссии (fees): не указано/не найдено(зависит от площадки/интегратора)
Ориентация на встраивание "в DeFi‑протоколы"
Контрагентный/юридический риск (структура "токен=контракт"), регуляторные ограничения по странам, риск ликвидности (малый TVL против лидеров)
Данные: Dinari документы + Reuters + RWA.xyz

Securitize

Список:

Специализированный (токенизация + брокер/ATS через аффилиаты)
Широкий спектр (фонды, частный кредит, др.); в tokenized stocks сегменте фигурирует как платформа
Мультисети (по аналитике платформы: Ethereum/Solana/BNB Chain и др.)
Securitize через дочерние структуры описывается как "SEC‑registered broker dealer / transfer agent / operator of SEC‑regulated ATS"
Для инвесторов в секьюрити токены (security tokens) обычно требуется KYC/аккредитация; публичный fee‑schedule (расписание комиссий, то есть таблица или набор правил, который показывает: какие комиссии взимаются, за какие действия, в каком размере и при каких условиях) относится к Securitize Markets (ATS)
Вторичный рынок через ATS (orderbook/брокерские процессы); также нацеленность на onchain‑ликвидность (пример интеграции с UniswapX для BUIDL)
По данным RWA.xyz: distributed asset value примерно $2.98B; monthly transfer volume ок. $94.1M, с холдерами пока сложно свести данные
В fee schedule указана trade commission 1% на вторичном рынке (ATS)
Интеграции/кроссчейн: пример - BUIDL и UniswapX
Регуляторный и кастодиальный риск security tokens; ограниченная доступность по юрисдикциям/категориям инвесторов
Данные: SEC/EDGAR‑релизы, fee schedule, интеграции

INX

Вводные следующие:

Cпец. площадка (security tokens + crypto)
Security tokens + крипто (торговля токенизированными ценными бумагами на регулируемой инфраструктуре)
Стандарты токенов: не указаны в одном месте, т.е. разные
Securities offered через INX Securities (broker‑dealer + ATS), SEC registration + FINRA/SIPC membership: указаны прямо на сайте
KYC/AML: подразумевается для broker‑dealer/ATS; конкретные требования: не найдено в одном документе
Orderbook/ATS‑торги; security tokens trades включают комиссии и фиксированный fee на settlement
Публичные и подтверждённые объёмы: не найдено
Fee schedules вынесены отдельно; support‑статья описывает наличие комиссии + fixed fee для onchain settlement
Интеграции: не указано/не найдено
Регуляторные ограничения, операционный риск брокерской модели, ликвидность security tokens часто фрагментирована
Документы: INX сайт + help center

tZERO

Данные:

Специализированный (регулируемые digital securities)
Digital securities (issue/trade/transfer/custody)
Блокчейн‑стандарты по продуктам: не указано/не найдено (фокус на регулируемой инфраструктуре)
SEC‑ и FINRA‑regulated entities как основа экосистемы; tZERO Securities - SEC‑registered broker‑dealer, FINRA/SIPC; оператор ATS
End‑to‑end стек включает KYC/AML onboarding
ATS‑торговля (orderbook), брокерские процессы; отдельные компоненты для токенизации и трейдинга
Публичные объёмы: не найдено (унифицированно именно)
Комиссии: зависят от продуктов; публичная детализация «по рынку» в одном документе: не найдена
Интеграции: сервисы investor onboarding/verify (KYC/AML) как часть стека
Контрагентный/операционный риск regulated‑инфраструктуры; юрисдикционные ограничения доступа
Данные собраны по: tZERO сайт + релизы

MetaMask

Список:

Кошелёк/агрегатор свопов
В приложении заявлен доступ к 200+ RWAs (stocks/ETFs/commodities/treasuries и др.) через Ondo Global Markets
Описан поток через USDC на Ethereum mainnet для свопов; токены - GM tokens (экономическая экспозиция)
Доступность - только вне США
Для доступа через интерфейс заявлено "без отдельного signup/KYC", но с региональными ограничениями
Swap‑интерфейс (котирование 24/5), трансферы токенов 24/7
Заявление: обработано (якобы) более $7 млрд торгового объёма (официально в MetaMask news/FAQ)
Fee‑детали: искать можно по "subject to applicable terms and fees"; точные ставки в новостях не раскрыты, но есть по продуктам
Интеграция с OGM; RWA доступны в MetaMask Mobile через Swaps
Риск - экономической экспозиции (степень подверженности активов компании или инвестора влиянию рыночных колебаний) вместо прав акционера; регуляторные ограничения; риск price‑impact/spread в отдельных сессиях
Данные взяты из: MetaMask новостей/support + FAQ

Phantom

Данные:

Кошелёк
Нативно поддерживает хранение токенов в поддерживаемых сетях; способен держать RWA‑токены как обычные SPL/ERC‑20 (если сеть поддерживается)
Поддерживаемые сети перечислены в help‑центре (Solana/Ethereum/Base/Polygon/Sui/Bitcoin и др.)
Юрисдикция/регстатус: не применимо/не указано (не биржа; self‑custody)
KYC: не требуется (по модели self‑custody; в help‑центре нет требований)
Свопы в кошельке и кроссчейн‑свапы через интеграции (0x/Jupiter/Li.Fi)
Liquidity: зависит от подключённых DEX/агрегаторов; собственные объёмы кошелька: не найдено
Комиссии: сетевой газ + возможные комиссии/спреды интеграторов; точные ставки: не указано
Для xStocks: "wallet‑native in Phantom" в кейсе Solana
Риск фишинга/подписей; риск «permissioned tokens» (может потребоваться whitelist)
Данные взяти из: Phantom help + Solana case study

RWA.xyz

Данные:

Агрегатор/монитор
Аналитика по RWA (stocks/treasuries/credit/real estate и др.), платформам и сетям
Не применимо (агрегатор данных); описывает метрики и модель данных
Юрисдикция/статус: не указано/не найдено (хотя есть отсылки общие)
KYC: обычно не нужен для просмотра базовой аналитики; для части данных/скачиваний - учётные записи (по продуктовым обновлениям)
Не торгует; предоставляет метрики (transfer volume, holders, supply, и т.д.)
Рыночные сводки: distributed asset value / represented и др. (как метрики)
Комиссии: не применимо
API/data downloads/каталог метрик
Риск методологии/классификации и неполного покрытия; важно сверять с offering docs эмитента
Данные взяты из: сайта RWA.xyz и каталога данных

Дополнительные специализированные провайдеры токенизации

Ниже описаны провайдеры, которые часто выступают инфраструктурным слоем (выпуск/комплаенс/кастодия/маркетплейс) или эмитенты крупных классов RWA. Это не полный список рынка, а подборка наиболее часто встречающихся в первичных источниках и аналитике.

Tokeny Solutions

Разработчик и популяризатор стандарта ERC‑3643 для permissioned‑токенов (идентификация/трансфер‑рестрикшны и комплаенс‑логика «вшиты» в токен).

Polymesh

Публичный permissioned L1, позиционируемый как инфраструктура purpose‑built для security tokens/RWA с упором на комплаенс.

Archax

UK‑провайдер, заявляющий FCA‑регистрацию и услуги токенизации/торговли/OTC для RWA и фондов.

OpenEden

Эмитент для США. через TBILL Vault; в документации TBILL описан как EIP‑20 (экономического интереса в фонде).

Matrixdock

Эмитент STBT (tokenized T‑Bills) с ребейз‑моделью распределения доходности; в документации отмечены вайтлист и KYC и проверка статуса аккредитованного инвестора.

Franklin Templeton

Тут, думаю, всё и так ясно: платформа для токенизированных долей фонда FOBXX: "1 share of FOBXX = 1 BENJI token"; официальная страница подчёркивает блокчейн-интеграцию и использование публичных сетей.

BlackRock

Тоже в представлении не нуждается. BUIDL (tokenized fund) запущен на публичном блокчейне через инфраструктуру Securitize; в релизах подчёркиваются 24/7 P2P-трансферы (в рамках разрешённых правил).

Uniswap Labs

Тоже имеют пример «DeFi‑интеграции институционального токенизированного фонда»: запуск BUIDL на UniswapX (как канал получения ликвидности/маркет‑механики).

Кошельки и клиентские интерфейсы с поддержкой RWA

Важно разделять: (а) есть техническая совместимость кошелька (умеет держать ERC‑20/SPL/token‑2022 и т.д.) и (б) комплаенс‑доступ (эмитент может требовать whitelist, KYC или ограничивать регионы).

Phantom: официально перечисляет поддерживаемые сети (Solana/Ethereum/Base/Polygon/Sui/Bitcoin и др.).
MetaMask: объявлен доступ к tokenized RWAs через Ondo Global Markets внутри MetaMask Mobile; при этом подчёркнуты региональные ограничения (non‑US) и режим торговли 24/5.
Для Ondo Global Markets в документации отдельно сказано, что "Ondo tokenized stocks are ERC20 compliant and transferable" и могут храниться в любых кошельках (в числе примеров названы MetaMask, Trust Wallet, OKX Wallet и др.), а также у некоторых кастодианов/инфраструктурных провайдеров.

Моя практическая рекомендация при оценке кошелька для RWA: помимо поддерживаемых сетей, проверяйте поддержку “token extensions / permissioned transfers / compliance hooks” (например, Solana token‑2022 или ERC‑3643), потому что именно там часто и содержатся ограничения и механизмы принудительных действий.

Агрегаторы и мониторы типа RWA.xyz

Агрегаторы нужны для трёх задач: (1) быстро понимать "что существует", (2) проверять относительные масштабы и динамику, (3) делать чек ликвидности через onchain‑метрики.

Ключевые инструменты:

RWA.xyz: методология, схемы данных, каталог метрик (daily/weekly/monthly transfer volume, active addresses и т.д.), а также срезы по платформам/сетям/классам активов.
DeFiLlama (RWA dashboard): агрегирует onchain‑данные по категориям (treasuries/private credit/real estate/commodities), рынкам, yields и проч.
Dune: полезен для операционных метрик конкретных продуктов (mint/burn/holders), часто используется институциональными ресёрч‑командами и провайдерами.
CoinMarketCap (Tokenized assets): ориентирован на рынок токенов (цены/объёмы) и удобен как вторичный навигатор, но обычно хуже по юридическим деталям и структуре обеспеченности.

Лайфхак мой: как интерпретировать ликвидность? Transfer volume и активные адреса показывают факт перемещения токенов, но не гарантируют глубину orderbook/AMM. Академические работы отмечают, что у многих RWA‑токенов высокая капитализация может сочетаться с редкими транзакциями и тонким вторичным рынком, поэтому лучше смотреть несколько метрик совместно.

Риски и регуляторные выводы

Регуляторный риск и территориальные запреты

Для токенизированных ценных бумаг почти всегда действуют ограничения по странам и статусу инвестора. В Ondo Global Markets прямо перечислены запрещённые юрисдикции (включая США и ряд санкционных территорий) и требования eligibility. Для Kraken xStocks процесс «unlock» также включает подтверждение, что клиент не находится в США/не является U.S. Person.

Риск неполных прав держателя

Даже при 1:1 обеспечении underlying, токен не обязательно даёт права обычной (или даже привилегированной) акции. Для xStocks на Kraken отдельно отмечено, что токены не дают shareholder rights (например, голосование) и описываются как инструмент ценовой экспозиции. Это критично для инвесторов, которым важны корпоративные действия и юридическое владение.

Кастодиальный и контрагентный риск

Модель "эмитент держит underlying у кастодиана → выпускает токен" создаёт зависимость от устойчивости юридических договоров, депозитариев и процедур исполнения. В risk disclosure по xStocks отмечено, скажем, что Kraken не является стороной custody agreement, а underlying хранятся в депозитарных институтах.

Программируемый комплаенс и риск заморозки

В xStocks на Solana описаны Token Extensions уровня "pausable config", "permanent delegate" и др., которые технически позволяют приостанавливать операции и выполнять принудительные действия для комплаенса/судебных требований. В EVM‑мире аналогичную роль могут играть permissioned‑стандарты вроде ERC‑3643, где трансферы разрешены только для верифицированных участников.

Риск ликвидности и рыночных дислокаций

Даже при наличии 24/5 торговых сессий, качество цены зависит от того, где и как формируется ликвидность. В Ondo Global Markets указано, что overnight‑ликвидность может быть ниже (более широкий bid‑ask spread, меньшие лимиты ордеров).

У Swarm для крупных сделок заявлен отдельный dOTC‑механизм (P2P‑эскроу‑контракт) как способ снизить slippage и counterparty risk при соблюдении "verified users".

В сумме, если ваша цель - торговля токенизированными акциями, на практике наиболее "зрелыми" выглядят связки:

CEX‑дистрибуция + onchain‑вывод (пример: Kraken xStocks → Solana DeFi), где выигрыши в UX и доступности компенсируются рисками прав держателя и комплаенс‑контролей токена.
Кошелёк‑как‑брокерский интерфейс (пример: MetaMask Swaps через Ondo Global Markets), где торговля формализуется как котируемая 24/5 операция с переносимостью токенов 24/7, но сохраняются региональные ограничения и вопросы юридической природы экспозиции.

Но пока всё это сыро, вяло и мало: поэтому - буду продолжать наблюдения, которые, между прочим, веду с 2016-го года :).

До!

Web3. Глобальный рынок деривативов (2000–2025) и влияние на крипто-мир

2026-03-20T05:38:52.163Z

Деривативы

Дисклеймер

Представленные ниже данные - агрегированные, поэтому цифры могут "не биться" по ряду источников, но для меня был важнее синтез данных и их динамика, а не статика.

Суть

Данное мини-исследование призвано показать, что гос. долг и деривативы имеют прямые взаимосвязи (корреляции) и в итоге они именно отражаются на рынке крипто-активов (об этом - в следующий раз).

Введение. Общие данные

Общий объём мирового рынка деривативов (суммарный номинал всех открытых контрактов, OTC + биржевые) вырос с примерно $90–100 трлн в 2000 году до сотен триллионов к 2025 году: обычно речь идёт о пике в 700-900 трлн, но многое зависит от системы учёта/расчёта.

Скажем, на пике перед кризисом 2008 года совокупный номинал достигал примерно $684 трлн (июнь 2008). После кризиса произошла значительная расчистка и компрессия позиций, и к концу 2015 г. объём сократился до $493 трлн.

Однако с 2016 г. начался новый рост: по данным BIS, к концу 2021 г. номинальный объем OTC-деривативов составил ок. $598 трлн, а на конец 2022 г. достиг примерно $618 трлн. В первой половине 2023 г. наблюдался резкий всплеск до рекордных ~$715 трлн (на июнь 2023), хотя к концу 2023 г. показатель откатился примерно до $667 трлн. Таким образом, за 25 лет глобальный рынок деривативов увеличился в разы (см. график ниже).

Основную долю (ок. 85%) составляют процентные деривативы (свопы, фьючерсы и т.д.), тогда как валютные, товарные, акционерные и кредитные производные инструменты занимают меньшие сегменты по номиналу.

Для контекста, суммарная рыночная стоимость (gross market value) всех OTC-деривативов значительно ниже номинала – порядка $12–21 трлн в последние годы, что отражает масштабы компенсирующих позиций и неттинга (процедура взаимозачёта встречных финансовых требований и обязательств между двумя или несколькими участниками).

Динамика номинального объёма глобального рынка деривативов (включая биржевые и OTC), в трлн долларов США: сводный и упрощённый график.

Деривативы на криптовалюты

Специализированный сегмент деривативов на цифровые активы появился лишь в последние 10 лет, но уже достиг значительных объёмов. По данным EY, ежемесячный объём торгов крипто-деривативами (фьючерсами и бессрочными свопами на BTC, ETH и др.) взлетел с <$0.1 трлн в начале 2019 г. до пика >$4 трлн в месяц в мае 2021 г. на фоне крипто-бума: а дальше пошло уже планомерное развитие. Особенно - в хайп perp DEXs.

После спадов крипто-зимы 2022 г. обороты сократились: например, в сентябре 2023 г. совокупный месячный объем торгов составил ок. $1.33 трлн (в 4 раза больше, чем объём спот-рынка). К 2024 г. объёмы частично восстановились (более $2 трлн в месяц в отдельных периодах).

На графике ниже видно резкий рост 2020–2021 гг. и последующую волатильность этого сегмента. Также вырос и открытый интерес: так, суммарный OI по фьючерсам на биткоина всех биржах достиг примерно $20-25 млрд в 2024 г. (причём примерно 78% этого объёма торгуется на крипто-биржах, а ок. 22% - на регулируемой CME).

Для ETH открытый интерес составлял ок. $8.5 млрд. Эти цифры несопоставимо малы относительно традиционных деривативов, но тенденция роста очевидна: даже на регулируемой CME объёмы фьючерсов и опционов на BTC и ETH достигали рекордных значений в 2023 г. - интерес институциональных инвесторов сохраняется несмотря на волатильность рынка.

Месячный объем торгов деривативами на криптовалюты (фьючерсы/свопы), трлн $ (данные: CoinGecko, EY)

Денежная масса (M1, M2) – мир и США

Глобальная денежная масса существенно расширилась за последние 25 лет на фоне экономического роста и политики центробанков.

По оценкам BIS/IMF, совокупная широкая денежная масса M2 (включая наличные, счета до востребования, срочные депозиты и т.д.) выросла с $26 трлн в 2000 г. до примерно $142 трлн к сентябрю 2025 г.

Это соответствует среднегодовому росту в 7%.

Резкое ускорение произошло в 2020–2021 гг.: глобальный M2 подскочил на 25% за два года (особенно вследствие антикризисных вливаний ликвидности во время пандемии), достигнув ок. $100++ трлн к 2020 г. и ок. $125 трлн в 2022–2023 гг.. Лишь в 2021–2023 гг. темпы несколько замедлились (и всё же это был рост на 1.4% в год).

Узкая денежная масса M1 глобально также увеличилась (наличные и вклады до востребования – составляющая части M2), хотя точные агрегированные данные по миру ограничены.

Тем не менее, тенденция схожа: например, в еврозоне M1 за 2000–2025 гг. выросла примерно в 5 раз, а в некоторых странах после 2020 г. M1 расширился особено сильно из-за перевода средств в наиболее ликвидную форму. На графике ниже показана траектория мирового M2.

Глобальная денежная масса (широкий агрегат M2), оценка совокупного объема по всем странам, трлн $

В США денежные агрегаты выросли взрывными темпами, особенно во время пандемии. M2 США увеличилась с $4.7 трлн в 2000 г. до более чем $22 трлн к началу 2025 г. –> почти пятикратный рост!

Наиболее резкий скачок пришелся на февраль-июнь 2020 г., когда M2 прыгнула с $15.3 трлн до $18 трлн (+17% за несколько месяцев) вследствие беспрецедентных мер стимулирования.

M1 США (наличность и средства до востребования) выросла многократно за тот же период: с $4 трлн в 2019 г. до $16 трлн летом 2020 г. Причиной стала как монетарная экспансия, так и пересмотр классификации: с мая 2020 г. ФРС включила средства на сберегательных счетах в агрегат M1, что технически перевело $8-9 трлн из M2 в M1, мгновенно увеличив M1.

В результате американский M1 сравнялся по величине с M2 (фактически M1 сейчас ок. 86% от M2, поскольку почти все депозиты стали "чековыми").

На конец 2024 г. M1 США составляла $18.9 трлн, M2 - $21.7 трлн.

На графике ниже показано, как M1 долгое время была значительно меньше M2, но в 2020–2021 гг. разрыв практически исчез. Такая беспрецедентная ликвидность (рост денег в обращении) стала одним из факторов повышения инфляции в 2021–2022 гг., и ФРС перешла к количественному ужесточению в 2022 г., что стабилизировало M2 около $22 трлн.

Денежная масса США, трлн $: агрегат M2 (широкие деньги) и M1 (наличные и чековые депозиты). Видно резкий рост и сближение агрегатов в 2020–21 гг.

Важно, что федеральный долг США увеличился более чем в 6 раз за последние 25 лет – с $5.7 трлн в 2000 г. до $38 трлн в 2025 г.. В относительном выражении долг вырос с 55% ВВП в 2000 г. до 124% ВВП в 2022 г.

Рост был относительно умеренным в начале 2000-х, но ускорился после кризиса 2008 г.: к 2008 г. долг США удвоился до $10 трлн, достиг $18 трлн к 2015 г., а затем – $27 трлн к 2020 г. (аккурат накануне пандемии).

В 2020–2021 гг. дефицитные стимулы привели к самому быстрому накоплению долга в мирное время: +$4–5 трлн за один год. К октябрю 2025 г. совокупный федеральный долг достиг $38 трлн (из них примерно $25 трлн - в руках публичных инвесторов, остальное в гос. секторе).

График ниже иллюстрирует эту экспоненциальную траекторию. Такой уровень долга близок к историческому максимуму (сопоставимому с окончанием Второй мировой войны в терминах % ВВП) и сопровождается возрастающими расходами на обслуживание долга по мере роста процентных ставок.

Тем не менее, США пока сохраняют статус резервной экономики, что позволяет финансировать долг под относительно низкие ставки (средняя ставка ~ 3% годовых в 2023 г.).

Рост совокупного федерального долга США, трлн $ (источник: U.S. Treasury)

Глобальный совокупный государственный долг также существенно вырос. По данным МВФ и World Bank, общий объем публичного долга всех стран мира увеличился с оценочных $20–30 трлн в 2000 г. до полных $111 трлн в 2025 г.

Глобальный долг поставил новые рекорды: например, в 2024 г. он достиг $102 трлн, а за один лишь 2024–2025 г. вырос еще на $8.3 трлн.

На графике ниже представлена динамика (агрегат) с учётом крупнейших заемщиков. Крупнейший должник – США (34% мирового долга), на втором месте Китай (18%).

Вместе эти две страны генерируют ок. 52% совокупного госдолга. Значительные долги также у Японии, стран Евросоюза, Великобритании и других развитых экономик. Многие развивающиеся страны имеют гораздо меньший долг, однако в относительном выражении (долг/ВВП) некоторые тоже испытывают давление.

В среднем по миру отношение госдолга к ВВП выросло с 60% в 2000 г. до 100% в 2020–2022 гг., хотя к 2023 г. стабилизировалось (благодаря росту номинального ВВП).

Таким образом, мировая долговая нагрузка государств сейчас беспрецедентно высока в историческом контексте, что вызывает озабоченность у МВФ и других организаций касательно устойчивости фискальных позиций, особенно в странах с формирующимся рынком.

Совокупный государственный долг в мире (номинал, трлн $). К 2025 г. глобальный публичный долг превысил $110 трлн.

Выводы

Графики выше представил специально дискретно, чтобы был заметен взрывной рост там, где он играет лишь негативную роль: больше всего (мне лично) это напоминает рост раковых клеток: точка, точка - взрыв - полное покрытие.

А вам?..

До!

Web3. Безопасность. DeFi. Случаи взломов форков

2026-03-19T12:51:11.861Z

DeFi

Введение

С ростом популярности децентрализованных финансов (DeFi) многие разработчики форкали исходный код топовых ("тир-1 // 2") DeFi-протоколов – таких как Uniswap, Curve, Compound, MakerDAO – и запускали свои версии на новых блокчейнах или с дополнительными функциями.

Однако, отклонения от проверенного боем кода или недостаточное тестирование приводили к уязвимостям.

Ниже приведены основные случаи взломов форков известных DeFi-протоколов в 2017–2025 гг., не включая оригинальные тир-1 протоколы. Каждый случай содержит название проекта, год инцидента, форк какого протокола он представляет, краткое описание вектора атаки, оценку ущерба и рекомендации, как избежать подобных атак.

Краткий обзор случаев

Список составлен по следующему образцу:

Проект (форк)
Год
Ущерб
Причина атаки (вектор)

Lendf.Me (fork Compound):

2020
примерно $25 млн
Reentrancy-атака через ERC777-токен

Uranium Finance (fork Uniswap V2):

2021
ок. $50 млн
Логическая ошибка инварианта AMM (опечатка в коде)

BurgerSwap (fork Uniswap V2):

2021
ок. $7.2 млн
Flash loan + отсутствие проверки xy=k* (манипуляция ценой)

Venus Protocol (fork Compound):

2021
$100 млн (долг)
Манипуляция ценой токена XVS (оракул/коллатерал)
В 2026-ом - снова взлом

Cream Finance (fork Compound):

2021
ок. $130 млн
Flash loan с манипуляцией oracle/залога (сложная логика)

EasyFi (fork Compound):

2021
ок. $60 млн
Компрометация админ-ключа (взлом аккаунта)

Rari Fuse (Fei) (fork Compound):

2022
$80 млн
Reentrancy-уязвимость в коде (exitMarket в Compound)

Saddle Finance (fork Curve):

2022
ок. $10 млн
Ошибка расчёта цены в метапуле (неточный алгоритм)

Hundred Finance (fork Compound):

2023
ок. $7.4 млн
Ошибка округления при низкой ликвидности (манипуляция exchangeRate)

Теперь попробую рассмотреть эти случаи более подробно...

Lendf.Me (2020) – форк Compound (dForce)

Описание атаки

Проект Lendf.Me от dForce (Ethereum) был форком протокола Compound для лендинга и заимствований. В апреле 2020 года хакер воспользовался уязвимостью повторного входа (reentrancy): платформа добавила поддержку нестандартного токена imBTC на базе ERC-777, который позволяет вызывать обратные вызовы при переводах токенов.

Злоумышленник сначала внёс imBTC в залог, а затем в ходе обратного вызова повторно вывел первоначальный депозит до обновления баланса, создав иллюзию дополнительного залога. Это позволило многократно увеличить "баланс" залога и затем вывести почти все средства из пулов Lendf.Me.

Ущерб

За несколько транзакций было похищено около $25 млн в различных криптоактивах. (Примечательно, что спустя некоторое время хакер вернул большую часть средств под давлением сообщества и правоохранителей, но сам факт взлома выявил серьёзную уязвимость).

Uranium Finance (2021) – форк Uniswap V2 (BSC)

Описание атаки

Uranium Finance - автоматизированный маркет-мейкер (AMM) на Binance Smart Chain, форк Uniswap V2 (через код SushiSwap). В апреле 2021 года, во время миграции на версию 2.0, команда внесла мелкие изменения в код протокола, которые оказались фатальными.

В частности, разработчики заменили кое-где константу комиссии 1000 на 10000, но допустили ошибку в проверке инварианта x*y=k. Из-за этой опечатки проверка баланса токенов после свопа перестала корректно работать.

В результате атакующий смог за один минимальный обмен получить практически весь резерв второго токена из пула - то есть обменять ничтожное количество одного актива на десятки миллионов долларов другого. По сути, из-за неверного коэффициента в формуле протокол позволил обойти принцип сохранения произведения резервов.

Ущерб

В течение нескольких минут злоумышленник опустошил 26 пулов на общую сумму около $50–57 млн (в различных токенах: BNB, BUSD, ETH, BTCB, ADA и др.).

Этот взлом стал одним из крупнейших на BSC на тот момент. Команда Uranium успела осознать наличие бага и планировала обновление, однако атакующий опередил их, воспользовавшись уязвимостью в период между миграциями.

BurgerSwap (2021) - форк Uniswap V2 (BSC)

Описание атаки

BurgerSwap - ещё один форк Uniswap V2 на BSC. В мае 2021 года он подвергся flash loan-атаке с повторным входом и манипуляцией цены. Атакующий взял мгновенный займ (flash loan) в WBNB через PancakeSwap, после чего создал фейковый токен и торговую пару BURGER/фейк-токен на BurgerSwap.

Отсутствие полноценной проверки инварианта x*y=k в форке (кусок кода Uniswap был попросту опущен) позволило провернуть следующую схему: сначала злоумышленник ввёл в пул 100 фейковых токенов и 4500 BURGER, искусственно завысив цену BURGER, затем обменял эти 100 фальшивых токенов обратно на 4400 WBNB. Используя уязвимость повторного входа, он затем ещё раз обменял ок. 45 тысяч BURGER на 4400 WBNB по нереалистично завышенному курсу. В итоге через пару итераций атакующий вывел из протокола большое количество разных токенов, включая ок. 4 млн долларов в BURGER/xBURGER и другие альткоины.

Ущерб

Общий прямой ущерб пользователям составил примерно $7.2 млн (в эквиваленте). Цена токена BURGER резко упала из-за мгновенной продажи похищенных монет.

Причиной уязвимости стала отсутствующая критическая проверка формулы постоянного произведения (x*y=k) в коде форка: контракт позволял выкупать активы из пула по искаженной цене.

Venus Protocol (2021) - форк Compound/Maker (BSC)

Описание атаки

Venus Protocol - крупнейший лендинговый протокол на BSC, форк Compound с элементами MakerDAO (алгоритмический стейблкоин VAI). В мае 2021 года Venus понёс огромные потери из-за манипуляции ценой собственного токена управления XVS.

Перед инцидентом параметры протокола были изменены: доля заёмных средств под залог XVS (Collateral Factor) увеличена с 60% до 80%. Это позволило заемщикам брать больше средств под залог XVS. Затем в течение нескольких часов некий крупный игрок начал агрессивно скупать XVS, взвинтив цену с ~$80 до ~$145. На пике цены XVS этот участник внёс огромный депозит XVS в Venus и занял против него максимальные объёмы BTC и ETH. Как только токены были выведены, XVS стремительно обрушили обратно до $80, вызвав массовую ликвидацию залогов.

Ущерб. Поскольку цена XVS вернулась к исходной, проданный залог не покрыл выданные займы, и на балансе протокола образовался невозмещённый долг свыше $100 млн.

В ходе этой "волатильности" было ликвидировано позиций более чем на $200 млн (часть средств ушла ликвидаторам и самому манипулятору), а непокрытый убыток Venus составил примерно $100 млн "плохих" долгов.

Данная атака не эксплуатировала баг в коде – вместо этого был использован экономический уязвимый момент: зависимость протокола от рыночной цены токена XVS и слишком высокий допустимый процент заимствования под него.

Cream Finance (2021) - форк Compound (Multi-chain)

Описание атаки

Cream Finance – мультичейн-протокол кредитования, один из известных форков Compound. К несчастью, 2021 год стал для него чередой взломов. Крупнейший инцидент произошёл 27 октября 2021 года: атакующий провёл сложную многоэтапную атаку, задействовав flash-loan и уязвимости в ценообразовании залоговых токенов.

В частности, Cream поддерживал в качестве залога токен Yearn yUSD - долю в доходном агрегаторе. Смарт-контракт Cream рассчитывал стоимость yUSD через так называемый гибридный оракул, зависящий от pricePerShare внутри самого Yearn-вуалта.

Атакующий взял в долг огромные суммы (через flash mint DAI и flash loan ETH), внёс их в Yearn-пулы, получил yUSD и несколько раз депонировал один и тот же залог через разные аккаунты, тем самым многократно увеличив "виртуальный" баланс своего обеспечения.

Затем он искусственно завысил цену yUSD, внеся ок. $10 млн в базовый пул Yearn непосредственно (что увеличило pricePerShare токена). Благодаря завышенной оценке залога и тройному учёту одного и того же депозита, злоумышленник смог сразу вывести весь доступный остаток ликвидности Cream (ETH, токены) под псевдо-залог и скрыться, погасив флэш-займы.

Ущерб

Атака опустошила эфирный пул Cream, ущерб оценён примерно в $130 млн. Это был третий взлом Cream за год (до этого были эксплойты на $37 млн и $19 млн), после которого доверие к проекту было подорвано.

EasyFi (2021) - форк Compound (Polygon)

Описание атаки

EasyFi - кросс-чейн протокол кредитования (Polygon/BSC/Ethereum), основанный на коде Compound. В апреле 2021 года EasyFi не был взломан технически через смарт-контракт - вместо этого произошёл взлом административного ключа. Злоумышленнику удалось получить удалённый доступ к компьютеру основателя EasyFi (через малварь или фишинг) и завладеть приватным ключом администратора протокола.

Обладая админ-ключом, атакер перевёл себе 2.98 млн токенов EASY (управляющий токен платформы) с официального кошелька проекта. Затем эти токены были оперативно обменяны на стейблкоины (USDC) через Ethereum, что обвалило цену EASY (ок. $20 до взлома). Кроме того, используя ключ, хакер вывел ликвидность из пулов протокола на $6 млн (stablecoins, депозиты пользователей).

Ущерб

Суммарно проект оценивал потери примерно в $59–80 млн (разница возникает из-за волатильности EASY: около $6 млн напрямую из пулов + оставшаяся ценность 2.9 млн токенов EASY).

Токен EASY обесценился, и впоследствии команда выпустила новый токен EZ взамен, чтобы попытаться компенсировать инвесторам часть утраченной стоимости.

Rari Fuse / Fei Protocol (2022) - форк Compound (Ethereum)

Описание атаки

Rari Capital Fuse - модуль кастомных пулов кредитования, построенный на форке Compound, интегрированный в протокол Fei. 30 апреля 2022 года несколько Fuse-пулов были атакованы посредством уже известной уязвимости в исходном коде Compound.

Атакующий эксплуатировал ошибку повторного входа (reentrancy) в функции exitMarket() смарт-контракта, благодаря чему смог выкачать средства из пулов, вызывая запрещённые действия до обновления состояния контракта. Фактически, это была повторная атака типа, который ранее выявлялся в Compound: злоумышленник через вложенный вызов добился того, что протокол позволял забрать залог, не погасив полностью заем. В результате несколько Fuse-пулов Rari (включая пулы Fei) были опустошены.

Ущерб

Суммарные потери оцениваются примерно в $80 млн. Команда Fei приостановила заимствования во всех пулах и попыталась связаться с хакером, предлагая ему оставить $10 млн в качестве вознаграждения и вернуть остальное без вопросов.

Однако похищенные средства возвращены не были, и впоследствии сообщество Fei/Rari приняло решение закрыть Fuse-модули, столкнувшись с невозможностью покрыть ущерб.

Saddle Finance (2022) - форк Curve (Ethereum)

Описание атаки

Saddle Finance – AMM для стейблкоинов, во многом основанный на идеях Curve Finance. Вместо прямого форка кода Curve (написанного на Vyper) команда Saddle решила переписать логику Curve Meta-Pool на Solidity, чтобы настроить под свои нужды. К сожалению, при этой реализации были допущены ошибки.

В Curve Meta-Pool один из токенов представляет ликвидность из другого пула (LP-токен базового пула), поэтому при свопах нужно учитывать виртуальную цену LP-токена.

В коде Saddle эта корректировка не была учтена при обмене LP-токена на основной стейблкоин – формула рассчитывала количество выдаваемого стейблкоина без поправки на возросшую со временем виртуальную цену LP-токена.

В результате LP-токен оценивался чересчур дорого, и злоумышленник мог получить больше базового актива, чем должен. 30 апреля 2022 года атакующий через три последовательные транзакции (с флэш-займами) как раз воспользовался этим несоответствием в пуле sUSD – Saddle DAI/USDC/USDT Meta-Pool.

Он обменивал USDC на sUSD, затем sUSD на LP-токен пула, затем обратно на sUSD и в конечном счёте выводил больше USDC, чем внёс, повторяя цикл.

Ущерб

За утро 30 апреля было украдено около $10–11 млн в эквиваленте. Примечательно, что одна из трёх атакующих транзакций исходила от "белого хакера", который выявил уязвимость почти одновременно с черным хакером и сумел вывести ок. 25% средств в безопасное место, чтобы затем вернуть их проекту.

Остальные 75% (около $7.5 млн) потеряны для протокола.

Hundred Finance (2023) - форк Compound (Multichain)

Описание атаки

Hundred Finance - форк Compound V2, развёрнутый на нескольких сетях (Ethereum, Optimism и др.). 16 апреля 2023 года его пул на Optimism подвергся специфической атаке, связанной с ошибкой округления и пустыми пулами.

В Compound-подобных протоколах для каждого актива существует производный токен (например, hUSDC для USDC), и курс обмена между ними (exchangeRate) определяется формулой, учитывающей баланс актива в контракте, суммарные займы, резервы и эмиссию hToken.

Если пул почти пустой (низкий totalSupplyhToken) и возникают дробные значения при вычислении, неточности округления могут резко завысить exchangeRate.

В случае Hundred атакующий воспользовался рынком с очень малой ликвидностью: внёс крохотный депозит, спровоцировав экстремальное значение exchangeRate, после чего смог вывести непропорционально большую сумму базового актива.

По сути, он манипулировал курсом обмена hToken через “пустой” пул, получив на вывод больше, чем изначально внёс (в комбинации с flash loan для увеличения эффекта).

Ущерб

Атака привела к потере примерно $7.4 млн с платформы Hundred Finance. Средства были выведены в токенах, после чего, вероятно, конвертированы и отмыты, т.к. возврата не произошло.

Этот инцидент привлёк внимание к целому классу уязвимостей, связанных с потерей точности чисел с плавающей запятой в DeFi-протоколах. Вслед за Hundred аналогичные атаки были зафиксированы на платформах Midas и Radiant (тоже форках Compound), использовавших схожие механизмы, что говорит о системности проблемы.

Заключение

Рассмотренные случаи демонстрируют, что форки топ-протоколов DeFi уязвимы к разнообразным атакам – от тривиальных опечаток в коде до сложных экономических манипуляций и компрометации ключей.

Главные уроки (для меня опять же) включают:

Необходимость тщательного аудита каждого изменения при форке,
Использование надёжных ценовых оракулов,
Внедрение лимитов и защит от флэш-кредитов и reentrancy,
Строгую операционную безопасность админ-ключей.

DeFi-протоколы должны не только копировать успешные решения, но и уделять первоочередное внимание безопасности, учитывая опыт предыдущих взломов. Только так можно снизить риски повторения этих инцидентов в будущем и защитить средства пользователей.

Что скажите?..

До!

Безопасность. Lazarus — северокорейская хакерская группировка. Перевод и вопросы Menaskop. Часть III

2026-03-17T05:26:49.592Z

Lazarus

Перевод

Это вольный перевод: hacken.io/discover/lazarus-group.

Предыдущие части:

Внутри Lazarus Group: анализ самых печально известных криптовзломов Северной Кореи

В период с 2021 по 2025 год Lazarus Group - поддерживаемая государством хакерская организация Северной Кореи - похитила более $5 млрд в криптовалюте, существенно дестабилизировав экосистему Web3.

Их атаки были направлены на крупные платформы, включая Upbit, KuCoin, Ronin Bridge, Atomic Wallet и, совсем недавно [Прим. Menaskop: на момент написания статьи оригинала], Bybit.

Кто такая Lazarus Group?

Lazarus Group - печально известная хакерская группировка, связанная с военной разведкой Северной Кореи. Они осуществили ряд громких кибератак и в последние годы сместили фокус на пространство Web3.

Эти атаки преследуют двойную цель:

Подрыв иностранных структур;
Получение доходов для поддержки северокорейского режима, включая его ядерную и ракетную программы.

Группа Lazarus известна под разными названиями, включая APT38, Labyrinth Chollima и HIDDEN COBRA.

Ранняя деятельность

Их ранние кибероперации подготовили почву для последующего перехода к криптовалютам. Краткий обзор их ранней истории взломов и эволюции:

Operation Flame (2007): одна из первых известных операций, направленная на государственные системы Южной Кореи.
Взлом Sony Pictures (2014): громкая атака в ответ на фильм «Интервью», сатирически изображающий лидера Северной Кореи.
WannaCry (2017): крупнейшая атака с использованием программы-вымогателя, затронувшая более 230 000 компьютеров в 150 странах.
Военный шпионаж: постоянные попытки получить разведданные о военных операциях и технологиях.
Атаки на южнокорейский бизнес: серия кибератак на различные сектора экономики Южной Кореи.

Эти операции продемонстрировали высокий уровень навыков группы и широкий спектр целей - от индустрии развлечений до критической инфраструктуры, связанной с предполагаемыми противниками северокорейского государства.

Переход к атакам на криптоиндустрию

Первый крупный криптовзлом Lazarus произошёл в июле 2017 года, когда была атакована биржа Bithumb и похищено более $7 млн за один день. С тех пор группа постоянно использует новые уязвимости в развивающейся криптоэкосистеме, вызывая колоссальные потери. Их переход в Web3 обусловлен высокой потенциальной прибылью: один успешный взлом - через компрометацию приватных ключей или эксплойт смарт-контракта - может мгновенно опустошить кошельки.

Ключевые факторы фокуса Lazarus на Web3:

Атаки социальной инженерии: большинство операций начинается с фишинга, поддельных предложений работы или компрометации учётных данных - достаточно одного слабого звена для катастрофических последствий.
Мгновенная и полная кража: в отличие от Web2, доступ к приватным ключам или уязвимым контрактам позволяет сразу вывести все средства.
Сложное отмывание средств: несмотря на глобальный контроль, они используют автоматизированные инструменты и многолетний опыт, чтобы скрыть происхождение средств и конвертировать криптоактивы в наличные.
Регуляторные пробелы: слабое регулирование криптосферы позволяет быстро перемещать крупные суммы с минимальными барьерами.
Постоянные и координированные операции: работа в сменах почти круглосуточно, постоянное совершенствование методов и направление похищенных средств в пользу режима КНДР.

Эти факторы демонстрируют уникальные уязвимости Web3, где даже одна точка компрометации может привести к огромным финансовым потерям.

Эскалация атак в Web3

С 2021 года активность Lazarus в Web3 резко возросла: миллиарды долларов были похищены у DeFi-проектов. Среди самых громких случаев:

взлом сети Ronin (Axie Infinity) в марте 2022 года - около $625 млн;
атака на Poly Network в августе 2021 года;

В 2023 году заметен сдвиг внимания к централизованным сервисам (CeFi), особенно в третьем квартале, когда группа похитила $208,6 млн - около 30% всех потерь крипто-экосистемы за этот период. Дополнительные атаки включали CoinEx, Alphapo, Stake и Coinspaid, где суммарные потери с июня по сентябрь 2023 года составили $308,6 млн.

Атаки 2024–2025 годов

В 2024–2025 годах фокус сместился на централизованные биржи и инфраструктуру:

В июне 2023 года был взломан Atomic Wallet - похищено более $100 млн у пользователей.
В феврале 2025 года произошёл крупнейший криптоограбление в истории: компрометация мультиподписного решения Safe{Wallet} биржи Bybit, в результате чего было похищено около $1,5 млрд в Ethereum.

Эти инциденты подчёркивают эволюцию тактик группы и её ориентацию на цели с максимально высокой стоимостью, используя уязвимости как CeFi, так и DeFi.

Крупнейшие криптокражи Lazarus Group

Атаки. Часть 01

Продолжение таблицы:

Атаки. Часть 02

Крупнейшие взломы

Топ-8 крупнейших краж Lazarus стоят за основной частью похищенных средств. Рассмотрим их в порядке убывания потерь.

1. Взлом Bybit

Дата: февраль 2025. Потери: $1,5 млрд. Использованные техники: атака на цепочку поставок (supply chain) с эксплуатацией стороннего мультиподписного кошелька и социальной инженерией.

Последствия: Bybit "ведёт войну против Lazarus". Генеральный директор Бен Чжоу инициировал масштабные меры, включая вознаграждение за возврат средств в размере 10%. Для поддержания ликвидности и доверия клиентов биржа привлекла экстренное финансирование инвесторов. [Прим. Menaskop: на самом деле тем доказав, что никаких резервов у неё нет]. Аудит резервов Hacken от 26 февраля подтвердил коэффициент резервов более 100% по всем кошелькам. Несмотря на глобальные усилия по отслеживанию средств, хакеры уже отмыли около $300 млн.

2. Взлом Ronin Bridge

Ronin Bridge был связан с популярной игрой Axie Infinity. Несмотря на то что мост обрабатывал огромные суммы, управление осуществлялось через небольшое число приватных ключей - что привело к крупнейшей атаке социальной инженерии и эксплойту в Web3.

Дата: март 2022. Потери: $625 млн. Техники: компрометация валидаторских узлов и социальная инженерия.

Последствия: Один из крупнейших взломов в истории DeFi. Привёл к усиленному контролю над кроссчейн-мостами и протоколами. ФБР подтвердило причастность Lazarus Group, связав кражу с финансированием северокорейских программ вооружений.

3. Взлом Poly Network

Poly Network - кроссчейн-протокол; были скомпрометированы его мостовые и межсетевые контракты, что выявило уязвимость мостов.

Дата: август 2021. Потери: $600 млн. Техники: эксплуатация уязвимостей смарт-контрактов.

Последствия: После общественного давления хакеры вернули значительную часть средств, однако инцидент показал уязвимости DeFi-протоколов. Из-за масштаба и сложности атака была приписана Lazarus Group.

4. Взлом WazirX

WazirX - ... инцидент с потерями более $200 млн. Индийская биржа потеряла большую часть средств из-за компрометации мультиподписного кошелька.

Дата: июль 2024. Потери: $235 млн. Техники: фишинг и эксплуатация API.

Последствия: Инцидент вызвал серьёзные опасения по поводу безопасности бирж в быстро меняющейся криптоэкосистеме и подчеркнул необходимость строгих протоколов безопасности и обучения пользователей против фишинга.

5. Взлом Nomad

После атаки на Ronin был взломан и мост Nomad - окончательно подтвердив, что мосты являются ключевой точкой уязвимости блокчейн-экосистемы.

Дата: август 2022. Потери: $190 млн. Техники: эксплуатация уязвимостей смарт-контрактов.

Последствия: Запустил широкую дискуссию о безопасности кроссчейн-протоколов. Часть средств удалось вернуть, однако инцидент усилил тревогу относительно необходимости более жёстких мер защиты.

6. Взлом Atomic Wallet

Компрометация кошелька; некоторые предполагали, что причиной могла быть ошибка в программном обеспечении.

Дата: июнь 2023. Потери: $100 млн. Техники: фишинг и социальная инженерия.

Последствия: Аналитические блокчейн-компании приписали атаку Lazarus Group, что подтвердило ФБР. Инцидент подчеркнул риски некастодиальных кошельков и важность осторожности пользователей.

7. Взлом Stake.com

Онлайн-криптоказино Stake.com было атаковано Lazarus - ещё один пример утечки приватных ключей.

Дата: сентябрь 2023. Потери: $41 млн. Техники: похищенные приватные ключи и социальная инженерия.

Последствия: Показал уязвимость онлайн-гемблинг-платформ и постоянную угрозу со стороны северокорейских хакеров. ФБР связало инцидент с Lazarus Group.

8. Взлом CoinEx

Дата: сентябрь 2023. Потери: около $70 млн. Техники: социальная инженерия и несанкционированный доступ.

Последствия: Очередной пример эволюции тактики Lazarus с фокусом на централизованные биржи. После инцидента площадки усилили меры безопасности и мониторинг подозрительных операций.

Техники и тактики, используемые Lazarus Group

Lazarus Group демонстрирует сложный и постоянно эволюционирующий набор методов атак. Эти операции привели к значительным финансовым потерям и вызвали серьёзную тревогу относительно безопасности всей криптовалютной индустрии.

Расследования ФБР и других ведомств продолжают проливать свет на масштаб и последствия киберпреступной деятельности, связанной с Северной Кореей.

Ниже приведён обзор их основных методов с конкретными примерами.

1. Социальная инженерия

Социальная инженерия остаётся одним из самых эффективных инструментов Lazarus:

Фальшивые предложения работы: взлом Ronin Network на $625 млн в марте 2022 года начался с поддельного предложения работы через LinkedIn старшему инженеру Axie Infinity.
Фишинговые кампании: при взломе Bithumb в 2017 году (ущерб $7 млн) использовались целевые фишинговые письма (spear-phishing) с вредоносным ПО для пользователей биржи.

2. Инфильтрация

В последнее время группа всё чаще внедряется в легальные компании, выдавая себя за разработчиков или IT-специалистов. Получив доступ, они используют внутреннее положение для атак.

Примеры:

Инцидент KnowBe4: компания по обучению кибербезопасности наняла IT-сотрудника, который оказался подставным северокорейским разработчиком. Его поймали при попытке внедрения вредоносного ПО во внутренние системы.
Harmony Protocol: в июне 2022 года Lazarus предположительно внедрился в команду, что привело к взлому Horizon Bridge на $100 млн. Доступ был получен под видом блокчейн-разработчика.
DeFiance Capital: в 2023 году группа якобы проникла в инвестиционную фирму под видом разработчика смарт-контрактов и скомпрометировала внутренние кошельки, похитив миллионы долларов.

3. Эксплуатация инфраструктуры

Группа атакует уязвимости в инфраструктуре крипто-проектов:

Компрометация приватных ключей: взлом CoinEx в сентябре 2023 года (около $54 млн) предположительно связан с утечкой ключей.
Развёртывание вредоносного ПО: при атаке на CoinsPaid в июле 2023 года ($37,3 млн) злоумышленники использовали malware для удалённого доступа к системам компании.

4. Уязвимости смарт-контрактов

Хотя в последнее время группа чаще атакует централизованные сервисы, она также способна эксплуатировать слабости смарт-контрактов.

Взлом Poly Network в августе 2021 года ($600 млн) был осуществлён через уязвимости межсетевых контрактов.

5. Сложное отмывание средств

После успешных атак Lazarus применяет многоуровневые схемы отмывания:

Криптомиксеры: после взлома Atomic Wallet в июне 2023 года ($100 млн) использовался сервис Sinbad.io.
Кроссчейн-переводы: при взломе CoinEx средства были переброшены с одной сети в Ethereum через мосты, ранее связанные с Lazarus.
Многократное смешивание: средства, украденные у Stake.com ($41 млн), проходили несколько раундов микширования и частично смешивались с активами из других атак.

6. Атаки на централизованные биржи

Последние тенденции показывают смещение фокуса на централизованные сервисы:

Длительная разведка: перед атакой на CoinsPaid в июле 2023 года группа шесть месяцев изучала инфраструктуру биржи.
Использование сложной организационной структуры: взлом Alphapo в июле 2023 года ($60 млн) был направлен на централизованного криптоплатёжного провайдера.

7. Адаптация к усилению безопасности

По мере повышения безопасности DeFi-протоколов Lazarus адаптировался. В 2023 году пять крупных атак, приписанных группе (Atomic Wallet, CoinsPaid, Alphapo, Stake.com и CoinEx), произошли в централизованных сервисах, а не в DeFi.

Успешная атака социальной инженерии на CoinsPaid показывает их фокус на человеческом факторе - самом уязвимом элементе централизованных систем.

Lazarus Group использует комбинацию методов, постоянно меняя тактики, что затрудняет точную идентификацию исполнителей в пространстве Web3. Тем не менее, кибербезопасностное сообщество совместно с ФБР в большинстве случаев связывает эти атаки именно с Lazarus на основании характерных техник.

Их способность эксплуатировать как традиционные, так и специфические для Web3 уязвимости делает группу одной из самых серьёзных угроз для криптовалютной индустрии.

Глобальный ответ на действия северокорейских хакеров

Данные по розыску

Международная реакция на действия северокорейских киберпреступников включает санкции, меры правоохранительных органов и сотрудничество между государствами.

ООН ввела широкие санкции против Северной Кореи, направленные на сдерживание её ядерной программы и источников финансирования. Сейчас известно, что КНДР удалось похитить миллиарды долларов, которые, предположительно, идут на финансирование программ вооружений.

США ввели точечные санкции против физических лиц и организаций, связанных с северокорейскими кибероперациями.

Например, в 2022 году Министерство финансов США внесло в санкционные списки ряд хакеров и связанных с ними структур, чтобы разрушить их финансовые сети и предотвратить будущие атаки.

ФБР выпускает ордера на арест, активно расследует деятельность северокорейских хакеров и публикует предупреждения для частного сектора о потенциальных угрозах. Также предлагаются денежные вознаграждения за информацию, ведущую к задержанию ключевых участников Lazarus Group.

Усиление сотрудничества между государственными структурами и частными компаниями повышает эффективность защиты - в том числе за счёт обмена разведданными об уязвимостях и методах атак.

Меры безопасности и предотвращения

Северокорейская хакерская группа остаётся активной, поэтому понимание превентивных мер для протоколов Web3 и разработчиков критически важно. Команда Hacken выделила ключевые уязвимости, которые необходимо устранить.

1. Управление приватными ключами

Холодное хранение: держать крупные суммы в аппаратных кошельках или других офлайн-хранилищах;
Мультиподпись: использовать multisig-кошельки, требующие несколько ключей для подтверждения транзакций;
Ротация ключей: регулярно обновлять ключи, чтобы снизить последствия возможной компрометации.

2. Аутентификация и контроль доступа

KYC сотрудников: тщательная проверка всех сотрудников, особенно - удалённых;
Многофакторная аутентификация (MFA): обязательна для всех точек доступа, особенно привилегированных;
Архитектура Zero Trust: принцип "никому не доверяй, всё проверяй";
Принцип минимальных привилегий: доступ только к необходимым ресурсам.

3. Сетевая безопасность

Сегментация сети: ограничивает распространение атаки внутри инфраструктуры;
Файрволы и IDS: мониторинг и защита сетевого трафика;
VPN: безопасный удалённый доступ к критическим системам.

4. Безопасность конечных устройств

EDR-системы: обнаружение и реагирование на угрозы на устройствах;
Регулярные обновления: установка последних патчей безопасности;
Антивирус и анти-malware: на всех рабочих станциях.

5. Обучение сотрудников

Осведомлённость о фишинге: регулярные тренинги;
Защита от социальной инженерии: обучение распознаванию манипуляций;
Соблюдение политик безопасности: обязательное выполнение внутренних правил.

6. Непрерывный мониторинг и обнаружение угроз

SIEM-системы: анализ событий безопасности в реальном времени;
Threat Intelligence: использование данных о новых угрозах;
Обнаружение аномалий: выявление необычного поведения пользователей или сети.

7. Реагирование на инциденты и восстановление

План реагирования: разработка и регулярное тестирование;
Резервное копирование: надёжные бэкапы и проверка восстановления;
Анализ после инцидента: разбор причин и улучшение защиты.

8. Управление рисками третьих сторон

Аудит поставщиков: оценка безопасности партнёров;
Безопасность API: сильная аутентификация и мониторинг;
Защита цепочки поставок: контроль зависимостей ПО и оборудования.

9. Соответствие стандартам и аудит

Регулярные аудиты безопасности - внутренние и внешние;
Пентесты: выявление уязвимостей через имитацию атак;
Стандарты соответствия: ISO 27001, NIST и др.

10. Специализированные меры для криптоиндустрии

Аудит смарт-контрактов: обязательный для DeFi-проектов;
Мониторинг транзакций: обнаружение подозрительной активности;
Нативные меры блокчейна: time-lock, multi-sig-управление и др.

Внедрение этих мер значительно повышает устойчивость организаций к сложным атакам таких групп, как Lazarus. Однако важно помнить: безопасность - это непрерывный процесс, требующий постоянной бдительности, обновлений и адаптации к новым угрозам.

[Продолжение следует...]

До!

menaskop

Бесплатные и качественные аналоги скам-курса от Ивана Шашкова (CryptoInside, Web3Academy). Часть I

Структура

Рекомендуемые источники

Этап 1. Фундамент и контроль рисков

Выводы по первой части

Вводный курс DeFi для всех. Безопасность. Технические и экономические аудиты

Дисклеймер

Введение

Архитектура протоколов DeFi

Экономические риски в слоистой архитектуре

Что такое экономическая аудиты?

Соотношение технических и экономических уязвимостей

Критические уязвимости, выявленные экономическими аудитами

Зависимости токенов и каскадные эффекты

Зависимость от оракула и манипулирование ценами

Атаки на управление

Кризисы ликвидности и устойчивость протокола

Примеры экономических атак

Случай №01: Атака на рынок Mango

Случай №02: Атака Beanstalk

Случай 3: Депег UST и крах Terra Luna

Web 3.0 & Web3. Индексные фонды и децентрализованные крипто‑индексы

TL;DR

История и ключевые первоисточники

Ранние предпосылки и первый индексный фонд для институционалов

Запуск розничного индексного фонда Vanguard и роль первого продукта массового продукта

Регуляторные вехи, которые сделали индексные фонды массовыми

Мировая практика традиционных индексных фондов

Типология продуктов и технологическая механика индексного фонда

Распространённость по регионам: США и Европа как два центра тяжести

Сравнение крупнейших провайдеров и ориентиры комиссий

Vanguard

BlackRock (iShares)

State Street (SSGA)

Децентрализованные крипто‑индексные фонды

Что считать "реально децентрализованным индексным фондом" в крипто?

Классы децентрализованных крипто‑индексных продуктов

Полностью обеспеченные (fully‑backed) индекс‑токены с mint/redeem

Индекс‑токены на инфраструктуре модульного портфельного протокола (Set‑подобные конструкции)

Синтетические индексы (synthetic)

Индекс‑пулы/AMM‑индексы и LP‑индексы

Конкретные примеры децентрализованных продуктов и сравнение

DPI (DeFi Pulse Index)

MVI (Metaverse Index)

AMKT (Alongside Crypto Market Index)

TCAP (Total Crypto Market Cap Token)

Phuture (протокол on‑chain индексов; пример PDI)

Комиссии

Регуляция и налогообложение: ключевые юрисдикции (фокус на DeFi‑индексах)

Европейский союз (MiCA)

США: SEC/CFTC + AML‑контур FinCEN

Великобритания: финансовые промо‑правила и «high‑risk» режим

Налоги (обобщённо)

Традиционные индексные фонды vs крипто‑индексы: преимущества и риски

Преимущества традиционных индексных фондов (mutual funds/UCITS)

Ключевые риски традиционных индексных фондов

Преимущества реально децентрализованных крипто‑индексов

Практические критерии оценки децентрализованного крипто‑индексного продукта

Прозрачность методологии и говернанса

Механика репликации и источник трекинга

Комиссии и способ их взимания

Аудиты, обновления контрактов и сложность протокола

Ликвидность и стоимость выхода

Регуляторный и налоговый комплаенс‑профиль

Web3-раследования. Покупка дорогой недвижимости в крипто-проектах как возможный ранний индикатор проблем

Дисклеймер

Резюме

Методика и ограничения

Сводная таблица кейсов

Cryptsy

SafeMoon

Three Arrows Capital

EmpiresX

Exochain

HashFlare

AirBit Club

Celsius Network

QuadrigaCX

OneCoin