Самая большая угроза биткойн-ETF, о которой никто не говорит

Пока я вместе со всем миром ждал одобрения первого биткойн-ETF, меня грызла одна вещь: за некоторыми исключениями, включая Fidelity и VanEck, почти каждый претендент на спотовый биткойн-ETF намеревается использовать Coinbase в качестве хранитель.

Дэвид Швед — главный операционный директор Halborn.

Как лидера в области кибербезопасности, специализирующегося на блокчейнах, эта концентрация риска наряду с изначально высоким риском хранения криптовалюты и все еще развивающимся характером лучших практик безопасности заставляет меня задуматься.

Меня здесь беспокоит не сама Coinbase. Фирма ни разу не подверглась известному взлому, что объясняет, почему так много традиционных институтов доверяют ее ноу-хау. Однако не существует такого понятия, как цель, которую невозможно взломать: что угодно и кто угодно может быть скомпрометирован, если дать достаточно времени и ресурсов, и это урок, который я усвоил за свою карьеру на стыке кибербезопасности и управления активами.

Что меня беспокоит, так это чрезвычайная концентрация активов у одного хранителя. А учитывая, что криптоактивы похожи на наличные, это делает ситуацию по своей сути тревожной.

Возможно, пришло время переосмыслить определение «квалифицированного хранителя», нормативное одобрение, которое в его нынешней форме не обязательно гарантирует, что рискованные активы на основе блокчейна обязательно (или наилучшим образом) защищены. Кроме того, в идеале хранители цифровых активов должны подвергаться большему надзору со стороны более подготовленных регулирующих органов в соответствии с более строгими государственными и федеральными стандартами, чем сейчас.

Сегодня большинство квалифицированных кастодианов обеспечивают безопасность акций, облигаций или бумажных средств, отслеживаемых в цифровой форме, и все это по своей сути является юридическим соглашением, которое нельзя просто «украсть». Но биткойн (BTC), как и наличные деньги и золото, является так называемым инструментом на предъявителя. Успешный взлом криптовалюты похож на ограбление банка на Диком Западе: как только он попадает в руки вора, деньги просто исчезают.

Таким образом, для хранителя криптовалюты достаточно одной ошибки, чтобы активы полностью исчезли.

Мы также знаем, что силы глобальной криптопреступности огромны и решительны. Возьмем лишь один печально известный пример: группа хакеров Lazarus Group из Северной Кореи, как полагают, за последние шесть лет украла криптовалюту на сумму 3 миллиарда долларов, и не собирается останавливаться. Приток биткойн-ETF прогнозируется на уровне выше 6 миллиардов долларов в первую торговую неделю, что делает эти средства основной целью.

Если Coinbase окажется в своих цифровых хранилищах с десятками миллиардов биткойнов, Северная Корея сможет легко организовать операцию стоимостью 50 миллионов долларов по краже этих средств, даже если это займет несколько лет. Такие субъекты угроз, как российская группа Cozy Bear/APT29, также могут найти все более привлекательным занятие институциональной криптовалютой, поскольку эти пулы становятся больше — потенциально намного, намного больше.

Это тот уровень угрозы, к которому готовятся крупнейшие банки. Одна широко распространенная модель управления рисками для финансовых учреждений использует три уровня надзора. Во-первых, уровень управления бизнесом разрабатывает и реализует методы обеспечения безопасности; во-вторых, уровень риска контролирует и оценивает эти практики; и, в-третьих, уровень аудита гарантирует, что методы снижения рисков действительно эффективны.

Вдобавок ко всему, у устаревшего финансового учреждения будут внешние аудиторы и внешний ИТ-надзор, а также многочисленные государственные и федеральные регулирующие органы, которые будут следить за ним. Многие, многие глаза будут изучать каждый аспект риска и безопасности.

Но эти многочисленные уровни резервирования и вложенности отказоустойчивых систем требуют одной обманчиво простой вещи: численности персонала.

В то время, когда я был главой отдела технологий цифровых активов в BNY Mellon, в инвестиционном банке работало около 50 000 сотрудников, из которых около 1000 – или 2% – занимали должности в сфере безопасности. В Coinbase, даже после недавнего расширения, работает менее 5000 сотрудников. BitGo, также квалифицированный хранитель, сертифицированный штатом Нью-Йорк и другими юрисдикциями, насчитывает всего несколько сотен.

Это не ставит под сомнение намерения или навыки любой из этих организаций или их сотрудников. Но реальный надзор требует избыточности, которую эти новые институты могут с трудом обеспечить на уровне, подходящем для обеспечения десятков миллиардов долларов в инструментах на предъявителя.

Прежде чем эти цифры станут еще больше (и станут более привлекательными для злоумышленников), давно пора усовершенствовать стандарты кибербезопасности для назначения квалифицированных хранителей. В настоящее время это обозначение сопровождает трастовое или банковское лицензирование, контролируемое регулирующими органами штата и федеральным правительством. Это финансовые регуляторы, в основном ориентированные на традиционные банковские услуги, а не на экспертов по кибербезопасности и, конечно, не на экспертов по криптовалюте. Понятно, что они сосредоточены на балансах, юридических процессах и других финансовых операциях.

Но для хранителей криптовалюты это не единственные виды надзора, которые имеют значение, и даже не обязательно самые важные. Не существует общеотраслевых стандартов в области кибербезопасности и практики управления рисками со стороны криптохранителей, а это означает, что статус «квалифицированного хранителя» не так обнадеживает, как может показаться. Это подвергает не только инвесторов, но и весь зарождающийся сектор непрозрачному риску с потенциально тяжелыми последствиями.

Утверждение набора биткойн-ETF — это лишь последний шаг в продолжающейся интеграции цифровых активов в финансовую систему. Вам не обязательно доверять этому предсказанию сторонникам криптовалюты – просто спросите Blackrock, традиционного гиганта, который защищал ETF. По мере того, как эти события продолжаются, регулирующие органы, действительно заинтересованные в защите инвесторов, будут сосредоточены на адаптации к этому новому миру: миру, в котором строгие стандарты кибербезопасности так же важны для финансовой стабильности, как честное раскрытие информации и финансовый аудит.

Исходная ссылка