Журнал "Information Security/ Информационная безопасность" #3, 2022

В Минфине России с опа- сением следят за тем, как развиваются DeFi, в том числе и потому, что в децентрализованных финансах высока веро- ятность появления финансо- вых пузырей. Стандартная схема Rug Pull: дождаться, пока торгов- ля в пуле "разогреется" и цена токена подскочит, а потом вывести всю лик- видность и исчезнуть с деньгами. Секрет успеха DeFi в их доступности и независимо- сти: участвовать в создании продуктов DeFi и пользо- ваться ими может каждый. что составляет примерно $1,68 млрд. Эксперты считают, что большая часть этих средств досталась хакерским группам, связанным с правительствами. Дело в том, что при возник- новении критической ошибки в любом из протоколов появляет- ся риск уязвимости всей систе- мы, через которую можно про- никнуть в любую точку цепи. Так, 10 августа 2021 г. в резуль- тате крупной хакерской атаки был взломан межсетевой про- токол Poly Network, и злоумыш- ленникам удалось украсть $611 млн. Это на сегодняшний день считается крупнейшей кражей в истории децентрализованных финансов. Кроме того, рост транзакций DeFi создает новые технические проблемы для исследователей криптовалют и комплаенс-групп, поскольку децентрализованные протоколы и приложения, кото- рые они используют, создают трудно отслеживаемые тран- закции, более сложные, чем традиционные централизован- ные сервисы. Неопределенность с регулированием DeFi Изначально децентрализо- ванная архитектура DeFi делает практически невозможным их регулирование со стороны госу- дарства. По крайней мере, это невозможно в том виде, в кото- ром происходит регулирование традиционных CeFi. Тем не менее DeFi – это состоявшийся феномен, а государство априо- ри берет на себя задачи пред- отвращения отмывания денег и финансирования терроризма через любой новый инструмент. Например, в Минфине России с опасением следят за тем, как развиваются DeFi, в том числе и потому, что в децентрализо- ванных финансах высока веро- ятность появления финансовых пузырей, которые могут причи- нить вред национальной эконо- мике. В России действует закон № 259 от 31.07.2020 г. "О циф- ровых активах" (ЦФА) , согласно которому с 1 января 2021 г. к выпуску и обороту разрешены только токены, эмитент которых зарегистрируется в ЦБ РФ. Ана- логичное разрешение ЦБ долж- ны иметь и торговые платфор- мы. Существуют и другие ограничения вроде максималь- ной суммы для покупки токенов неквалифицированными инве- сторами. Впрочем, токены DeFi, обра- щающиеся на публичных блокчейнах, не попадают в предусмотренную законом категорию ЦФА, так как их разработчики вряд ли будут регистрироваться в ЦБ РФ – они останутся в "серой зоне". 18 февраля 2022 г. Минфином направлен в Правительство России проект закона о регули- ровании криптовалют "О циф- ровой валюте". В нем указано, что использование цифровых валют в качестве средства пла- тежа на территории РФ будет запрещено. В рамках предла- гаемого регулирования цифро- вые валюты рассматриваются исключительно в качестве инструмента для инвестиций. Впрочем, специального регу- лирования для сферы DeFi пока не существует и в других стра- нах, так как даже статус крипто- валют еще мало где определен. В странах, где есть регулирова- ние и налогообложение крипто- активов, например в Японии, Австралии, США и некоторых странах ЕС, доходы от DeFi рас- сматриваются в рамках соответ- ствующего законодательства. Мошенничество В 2021 г. злоумышленники похитили более $10 млрд на инвестициях с применением тех- нологии децентрализованных финансов. Мошенники выпус- кают токены-пустышки и завле- кают инвесторов обещаниями чрезвычайно высоких доходов (так называемый Rug Pull). Стандартная схема Rug Pull: дождаться, пока торговля в пуле "разогреется" и цена токена подскочит, а потом вывести всю ликвидность и исчезнуть с день- гами. В июне 2021 г. был опублико- ван стандарт ISO 23195:2021 Security Objectives of Information Systems of Third-Party Payment (TPP) Services – "Цели обес- печения безопасности инфор- мационных систем сторонних платежных сервисов". Согласно стандарту, провайдер TPP – это услуга, которая дает продавцам возможность принимать онлайн-платежи без необходи- мости иметь торговый счет. Но когда речь идет о безопасности, факт наличия посредника повы- шает риск мошенничества при обработке платежа. ISO 23195 содержит согласо- ванный на международном уровне перечень терминов и определений, две логические структурные модели и перечень целей безопасности. Для обес- печения максимальной акту- альности логические структур- ные модели, активы, угрозы и цели безопасности в этом доку- менте основаны на реальных практиках. Учитывая, что поставщики услуг TPP постоянно стремятся снизить риски мошенничества при проведении платежей, дан- ный стандарт служит хорошим дополнением к уже существую- щим мерам по обеспечению безопасности платежей. Низкая производительность DeFi Блокчейны по своей природе работают медленнее, чем их централизованные аналоги. Поэтому при накоплении боль- шого количества транзакций производительность протоко- лов DeFi начинает заметно сни- жаться. Беспорядочность экосистемы DeFi Как любая растущая сфера, экосистема DeFi еще не успела полностью сформироваться. Поэтому поиск наиболее под- ходящего, надежного и защи- щенного приложения может оказаться довольно сложной задачей. Однако сервисы в области DeFi активно разви- ваются, их цель – облегчить использование этой технологии и компенсировать ее недостат- ки, в том числе и в части без- опасности. Заключение Секрет успеха DeFi в их доступности и автономности: участвовать в создании про- дуктов DeFi и пользоваться ими может каждый, независи- мо от гражданства и места жительства, ведь протоколы и экономические модели сер- висов открыты для проверки и аудита. Однак, увеличиваю- щиеся инвестиции в DeFi при- влекают внимание все боль- шего количества хакерских групп, что усугубляется техни- ческой сложностью этой сферы, не всегда достаточной квалификацией пользовате- лей и отсутствием эффектив- ного регулирования со стороны законодательства. l • 51 КРИПТОГРАФИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru