Технологии, сохраняющие деньги
Как Passkey меняет безопасность в криптомире и минимизирует потери.
С развитием цифровизации и доступности технологий деньги все реже существуют в физической форме. Особенно актуально это в криптомире, где активы находятся внутри блокчейна под прямым контролем человека. Однако и банковские счета, и инвестиционные платформы, и криптовалютные цифровые активы объединяет одно: доступ к ним определяется не физическим владением, а контролем над учетной записью.
В этих условиях экономическая защита смещается в зону технологий доступа. Если раньше главными угрозами были сбои системы или уязвимости протоколов, то теперь ключевой точкой риска становится аутентификация – то, как система определяет инициатора действий. Потеря доступа – не просто неудобство, а финансовый ущерб.
Цена слабой аутентификации
По мере взросления криптографических технологий атаки на протоколы стали редкими и дорогими. Их сложнее реализовать, они быстрее определяются и требуют высокого уровня знаний. На этом фоне фокус мошенников сместился к самому слабому элементу системы – пользователя. Вместо поиска уязвимостей в коде атакуются механизмы доступа: от украденного пароля или поддельного интерфейса до перехваченной сессии или ошибки, которую система не смогла предотвратить.
Результат тот же, но достигается он быстрее, дешевле и масштабнее. Сколько активов индустрия теряет ежегодно? В 2024 году криптовалютный мир потерял активы на 1,2 млрд долл. (от действий хакеров – 7%, мошенников – 93%). По версии компании Chainalysis, этот показатель еще выше: 3,38 млрд долл. за год.
В первой половине 2025 года потери составили 2,47 млрд долл. Большая часть из них пришлась на крупнейший в истории взлом криптобиржи ByBit на 1,5 млрд долл. Согласно новому отчету Chainalysis, потери за 2025 год достигли 3,41 млрд долл. Это больше, чем за предыдущий год. Кроме того, о ряде потерь становится известно только задним числом.
Дисбаланс показателен: в августе 2024 года было украдено 313,8 млн долл., 93% из которых – через фишинг. Этот тренд прослеживается и на короткой, и на длинной дистанциях. Причиной взлома ByBit стала подмена интерфейса и ошибка работника биржи.
Chainalysis также сообщила о значительном росте количества атак на seed-фразы для личных криптокошельков и пароли для криптобирж: с 7,3% от суммы похищенных средств в 2022 году до 44% в 2024-м. Причина – старая модель аутентификации.
Уязвимость паролей цифрового мира
Пароли появились для физической идентификации пользователя, где на кону стоят данные, а не деньги. Суть пароля – общий секрет, который должен быть известен и пользователю, и системе, а значит, по определению может быть передан третьей стороне или изъят из хранилища. Как только это происходит, мошенник получает то же, что и владелец учетной записи: полный экономический контроль.
До этого момента пароль остается единственной точкой входа, но последствия его компрометации в крипте становятся необратимыми. Система не различает владельца и злоумышленника. Для нее это одна и та же экономическая сущность, поэтому безопасность зависит не столько от криптографии, сколько от качества аутентификации.
Осознав, что пароль не защищает деньги, индустрия пошла по пути усложнения доступа и ввела многоуровневую проверку, биометрию и диверсификация ключей.
Двухфакторная аутентификация повышает порог для атаки, добавляя новые "факторы" поверх пароля. Это самая оптимальная модель, сохраняющая привычную систему.
Смс-проверка привязывает доступ к номеру телефона. Это удобная модель, но уязвимая к подмене SIM и перехвату. Скорее психологический барьер, чем защита.
Аппаратные ключи – устройства, подтверждающие вход владельца, – безопаснее паролей, но требуют девайса и плохо масштабируются для массового пользователя.
Multi-Party Computation – модель, используемая в некоторых криптокошельках: ключ разделяется на части и не существует целиком. Снижает риск кражи, но усложняет архитектуру и решает проблему хранения ключей, а не доступа.
Биометрия как способ подтверждения действия усиливает UX и безопасность, но это не модель аутентификации, а интерфейс к ней.
Все эти варианты были не революционным, а эволюционным шагом – попыткой укрепить фундамент старой системы, а не заменить его. Даже 2FA можно обойти через фишинговые сайты, где человек сам передает оба ключа. Радикально другой системой и решением проблемы паролей стала модель PassKey.
Концепция Passkey и ее технологическая основа
В основе Passkey – асимметричная криптография. Для каждой учетной записи в сети создается пара ключей: публичный хранится на стороне сервиса, а приватный остается на устройстве владельца и никогда не передается наружу.
Аутентификация построена не на его передаче, а на доказательстве владения им. Когда пользователь инициирует действие, устройство подписывает его своим ключом, а сервис проверяет публичным. Данных, которые можно перехватить и повторно использовать, не существует.
Ключевая особенность – прочная привязка к домену и устройству. Passkey работает только для конкретного сайта или приложения, для которого был создан. Если пользователь оказался на фишинговой странице, подпись не будет выполнена, потому что домен не совпадает. Это встроенное свойство, а не дополнительная проверка.
В итоге благодаря Passkey невозможно что-то украсть, потому что нечего перехватывать в сети; невозможно что-то переслать, потому что приватный ключ не экспортируется; невозможно что-то подсмотреть, потому что пользователь ничего не вводит вручную.
Аутентификация перестает быть действием и становится криптографическим фактом, подтвержденным устройством. PIN, биометрия или двухфакторная аутентификация становятся уровнем проверки на устройстве пользователя, который не имеет никакого смысла вне его.
Как Passkey снижает финансовые потери
Отказ от общего секрета меняет экономику атак. Большинство массовых краж цифровых активов базируется на масштабируемых сценариях: фишинг, утечки баз данных, повторное использование паролей. Passkey сводит эти возможности к нулю.
Фишинг как класс атак перестает работать. Даже если пользователь переходит по вредоносной ссылке, мошенник не получает ни пароля, ни кода, ни подписи.
Утечки баз данных теряют ценность. В базе сервиса хранятся только публичные ключи. Их компрометация не позволяет войти в аккаунт, продать данные или получить данные о пользователях для будущих атак на других платформах.
Полный захват учетной записи становится редким и дорогостоящим. Для атаки нужен физический контроль над устройством и прохождение проверки (биометрии или PIN). Это переводит угрозу из массовой в точечную, снижая "прибыль" атаки.
Экономический эффект для сервиса и человека проявляется на нескольких уровнях: снижение прямых финансовых потерь от взломов и мошенничества; рост доверия, так как пользователи реже теряют средства и покидают платформу; уменьшение операционных расходов на восстановление, расследование инцидентов и службу поддержки.
В результате метод Passkey работает не как "еще один способ входа", а как механизм снижения рисков, при котором атаки на доступ становятся просто нерентабельными.
Роль Passkey в будущем цифровых денег
Passkey выходит за рамки эксперимента и начинает играть практическую роль в криптомире. На платформах он используется как безопасный способ входа без паролей, в кошельках – как удобный и защищенный механизм подтверждения. Passkey становится мостом между UX и безопасностью: пользователь получает вход через PIN или биометрию, а система – криптографически надежное подтверждение доступа.
В "обычном" интернете Passkey уже внедрили Apple и Google, так что технологию используют миллиарды пользователей. В криптомире этот подход только формируется, но тоже применяется, например, в криптосервисе Trustee Plus. Там он выступает как главный, но не единственный элемент защиты активов и криптокарты.
В мире, где деньги существуют как записи, а не физические объекты, именно модель аутентификации определяет, кто реально владеет активами. Passkey еще не массовый инструмент, но в будущем он станет стандартом цифрового мира. Люди и сервисы, которые не перейдут на новую модель, неизбежно останутся в зоне риска.