Криптобиржада активтерді сақтау қаншалықты қауіпсіз

Александр Лубневский

Mar 7, 2025

Өткен аптада біз жазған едік, криптобиржалар үшін бухгалтерлік есеп ережелерінің өзгеруі Coinbase компаниясын балансында көрсетілген активтердің құнын 10 еседен астам төмендетуге мәжбүр етті (229 миллиард доллардан 22 миллиард долларға дейін) және бұл компания клиенттері үшін нені білдіретіні туралы. Енді криптоиндустрия клиенттердің қаражатының қауіпсіздігіне қатысты мәселелер мен сындарға қалай жауап беретінін, қандай қорғаныс механизмдерін ұсынатынын және криптобиржадағы шоттағы қаражаттың қауіпсіз екеніне көз жеткізуге болатынын толығырақ айтып береміз.

Криптобиржа клиенттері қалай ақша жоғалтты

2022 жылдың қараша айында криптоәлем — және тек қана емес — FTX-тің тез банкротқа ұшырауынан таң қалды, сол кезде шамамен 5 миллион клиентке қызмет көрсететін үшінші ірі криптобиржа болды. Барлығы CoinDesk журналистері FTX-пен байланысты Alameda Research хедж-қорының ішкі құжаттарын жариялаудан басталды. Нәтижесінде, Alameda қаражатының жартысынан көбі FTT-нің өтімді емес токендері — FTX биржасының ішкі криптовалютасы екені анықталды. Еркін айналым жалпы токендердің шамамен 20% құрады, қалғанын FTX және Alameda бақылап отырды.

Әрі қарай Binance ірі криптобиржасының бас директоры Чанпэн Чжаоның (CZ) барлық FTT сатылымы туралы мәлімдемесі, FTX клиенттерінің қаражатын шығаруды тоқтату, аккаунттарды бұғаттау, биржаның банкротқа ұшырауы және FTX негізін қалаушы Сэм Бэнкман-Фридтің отставкасы болды, ол 2024 жылдың наурызында алаяқтық айыптары бойынша 25 жылға бас бостандығынан айырылды.

Компанияның жаңа басшылығы жүргізген аудит нәтижесінде компанияның балансында активтер мен міндеттемелер арасында шамамен 8 миллиард доллар көлемінде алшақтық бар екені анықталды. Сонымен қатар, FTX клиенттердің қаражатын Alameda Research-ке жасырын түрде аударып отырды, онда олар қарыздар мен сауда үшін кепіл ретінде пайдаланылды. Тағайындалған дағдарыс менеджері Джон Рэй (кездейсоқ, ол бұрын Enron-ның банкроттығын талдаған) атап өткендей, «клиенттердің ақшасын бөлу болған жоқ» және тиісті есеп жүргізілмеді. Шын мәнінде, клиенттердің қаражаты компанияның ақша ағындарымен бақылаусыз араласып отырды.

FTX-тің құлауы — ерекше жағдай емес. QuadrigaCX — канадалық биржа, мұнда жалғыз иесі кілттерді толық бақылауға алды. 2018 жылдың желтоқсанында оның кенеттен қайтыс болғаннан кейін кілттердің жазбаларының жоқтығы және пайдаланушылар мен компанияның қаражаты бөлінбегені анықталды. Криптоактивтердің едәуір бөлігі негізін қалаушының жеке шоттарына аударылып, жоғалды​. Биржа классикалық Понци схемасы болып шықты, ал пайдаланушылар шамамен 190 миллион доллар жоғалтты.

2014 жылы сол кездегі ең ірі биткоин-биржа Mt. Gox бұзылып, шамамен 650 мың биткоин жоғалғаннан кейін құлады, бұл банкроттық кезінде шамамен 480 миллион долларды құрады. Кейінірек Mt. Gox клиенттердің биткоиндерін бір пулда сақтағаны және аккаунттар бойынша бөлмегені анықталды; жеткілікті мөлшерде суық (офлайн) әмияндар болмады және қаражаттың көп бөлігі онлайн ыстық әмияндарда қалды. Мұндай «пулдық» сақтау клиенттердің заңды түрде бөлінген монеталары болмағанын білдірді — банкроттық кезінде олардың талаптары басқа кредиторлармен араласып кетті. Сот процестері жылдарға созылды, және тек он жылдан кейін MT. Gox кредиторлары өз қаражаттарын қайтару үшін төлемдер ала бастады.

FTX-тің банкроттығынан кейін криптоәлем қандай сабақ алды

FTX-тің құлауынан кейін және одан кейінгі сыннан кейін ірі криптобиржалардың басшылары клиенттердің қаражатының қауіпсіздігіне кепілдік беріп, FTX-тен алшақтауға тырысты.

Мысалы, Binance бас директоры Чанпэн Чжао үнемі атап өтті, биржа клиенттердің қаражатын қозғамайтынын, Binance пен FTX жағдайы арасында нақты шекара жүргізетінін айтты​. Binance өкілдері биржа «клиенттердің активтерін пайдаланбайды, сауда жасамайды және несие бермейді» деп нақтылады. FTX-тің құлауынан кейін Binance бірінші болып өз әмияндарының мекенжайларын жариялады — кез келген адам блокчейнде Binance әмияндарында қанша актив бар екенін көре алды. «Сенімді қалпына келтірудің ең жақсы жолы — ашықтық», — деп жазды сол кезде Чжао. Мұндай мәлімдемелер клиенттерді сендіруге арналған, Binance-де қаражат жоғалып кетпейді немесе иелерінің келісімінсіз пайдаланылмайды.

Crypto.com басшысы Крис Маршалек платформаға қатысты күмәндарға жауап беру үшін AMA-сессиясын өткізді. Ол тікелей мәлімдеді: «Біз ешқашан жауапсыз несие беруге қатыспадық, сыртқы тәуекелдерді қабылдамадық. Біз хедж-қор емеспіз және клиенттердің активтерімен сауда жасамаймыз». Маршалектің айтуынша, Crypto.com «әдеттегідей» жұмыс істейді, клиенттердің қаражаты толық қамтамасыз етілген және шығаруға қолжетімді. Бұл кепілдіктер биржа кездейсоқ Gate.io басқа биржасына 400 миллион доллар эфир жібергені туралы ақпарат пайда болғаннан кейін айтылды (кейін олар қайтарылды). Маршалек қателік түзетілгенін және барлық қаражаттың бүтін екенін түсіндірді.

FTX-тің құлауынан кейін сенімді қалпына келтірудің шешімдерінің бірі Proof of Reserves (PoR) — биржаның «резервтерінің дәлелі» болды. Бұл механизм клиенттер мен сыртқы бақылаушыларға биржаның балансында барлық клиенттердің депозиттерін жабу үшін жеткілікті активтер бар екеніне көз жеткізуге мүмкіндік береді. PoR-дың негізгі техникалық құралы Меркл ағашы (Merkle Tree) болып табылады — әрбір клиенттің жеке ақпаратын ашпай-ақ үлкен деректер жиынтығының тұтастығын тексеруге мүмкіндік беретін криптографиялық деректер құрылымы (хеш-ағаш).

Proof of Reserves қалай жұмыс істейді

Биржа клиенттердің барлық баланстарының белгілі бір сәттегі суретін (snapshot) жасайды және бұл деректерді Merkle Tree түрінде ұйымдастырады. Ағаштың жапырақтары — пайдаланушылардың жеке баланстары туралы деректердің хештері. Әдетте, әрбір аккаунтқа оның балансынан алынған хеш сәйкес келеді, анонимділік үшін кездейсоқ «тұз» қосылады​.

Содан кейін хеш жұптары біріктіріліп, қайтадан хештеледі, жоғарғы деңгейдегі түйіндер қалыптасады. Бұл процедураны қайталап жалғастыра отырып, барлық шоттардың жиынтық күйін криптографиялық түрде көрсететін бірегей түбірлік хеш (Merkle Root) алынады. Биржа бұл түбірлік хешті (мысалы, өз сайтында) жариялайды және пайдаланушыларға Merkle Proof — олардың жеке жапырағынан бастап түбірге дейінгі хештер тізбегін беретін құралды опционалды түрде ұсынады.

Мұндай дәлелдеменің көмегімен әрбір клиент оның балансы жиынтық резервтерде ескерілгенін өз бетінше тексере алады (пайдаланушы жергілікті түрде ағаш жолындағы хештерді қайта есептейді және алынған жоғарғы хешті жарияланған түбірмен салыстырады). Егер бірде-бір клиенттік шот жасырын түрде алынып тасталса немесе бұрмаланса, түбірлік хеш сәйкес келмейді — және бұзушылық бірден анықталады. 

Сонымен қатар, биржа блокчейнде өз резервтері туралы ақпаратты ашады. Мысалы, жоғарыда айтылғандай, өз әмияндарының мекенжайлары мен баланстарын жариялайды.

PoR-дың екінші кезеңінде тәуелсіз аудитор (немесе қауымдастық) клиенттік деректер бойынша жиынтық балансты (Merkle Tree арқылы есептелген) биржаның ончейн активтерінің жиынтығымен салыстырады. Идеалында бұл шамалар сәйкес келуі керек (немесе блокчейн әмияндарындағы резервтер үлкен болуы керек). Егер солай болса — бұл биржаның пайдаланушылар алдындағы барлық міндеттемелерін жабу үшін әмияндарда жеткілікті активтері бар екенін білдіреді. 

Мысалы, ірі криптовалюта биржасы OKX хабарлайды, оның PoR-ға сәйкес клиенттер «олардың активтері 1:1 қатынасында сақталатынына сенімді бола алады», өйткені Merkle Tree-дегі пайдаланушылардың жиынтық баланстары OKX әмияндарындағы қорлар туралы жарияланған деректерге сәйкес келеді.

Криптоактивтердің биржаларда сақталуын қорғаудың тағы қандай дәлелдері бар

Сегрегация биржаның пайдаланушы қаражатын өзінің операциялық шоттарынан бөлек ұстайтынын білдіреді, көбінесе арнайы кастодиалды аккаунттарда немесе трасттық шоттарда, олардың қауіпсіздігін үшінші тарап қамтамасыз етеді. Сегрегация банкроттық немесе биржаның қарыздары жағдайында клиенттердің активтері оның міндеттемелерін өтеу үшін пайдаланылмайтынына кепілдік береді​. Мысалы, Coinbase криптоактивтерді Нью-Йорк штатында фидуциарлық мәртебеге ие Coinbase Custody бөлек кастодиалды компаниясы арқылы сақтайды. Бұл компания клиенттердің мүддесінде әрекет етуі керек дегенді білдіреді, өз мүддесінде емес. 

Міне, биржалар клиенттердің қаражатының қауіпсіздігін қалай қамтамасыз етуі керек.

1. Суық сақтау және киберқауіпсіздік. Биржалар криптовалюталардың негізгі бөлігін суық әмияндарда (офлайн) сақтауға тырысады, интернет арқылы қолжетімсіз. Тек аз пайызы ыстық әмияндарда жедел шығаруға арналған. Мұндай архитектура (мысалы, қаражаттың ~95% суық сақтауда) бұзылған жағдайда ұрлық ықтималдығын азайтады. Mt. Gox-тың банкроттығында жеткілікті суық сақтаудың болмауы шешуші рөл атқарды — биткоиндардың көп бөлігі онлайн болды және ұрланды, ал офлайн қорлар оларды бұзудан кейін клиенттерге қайтаруға жеткіліксіз болды. Қазір дерлік барлық ірі биржалар көп деңгейлі әмиян жүйесіне ие: ыстық — аз сомалар мен күнделікті операциялар үшін, жылы — аралық сомалар үшін, суық әмияндар — негізгі масса үшін. 

2. Көпқолтаңба (multisig) — тағы бір стандарт: әмияндарға қолжетімділік бірнеше қызметкерлер арасында бөлінген, сондықтан бірде-бір адам активтерді жеке өзі шығара алмайды. Бұл сыртқы шабуылдардан, ішкі теріс пайдаланудан немесе кілттің жоғалуынан қорғайды. Кері мысал — QuadrigaCX, мұнда парольдерді тек бір иесі сақтаған, ал оның қайтыс болғаннан кейін компания барлық суық әмияндарға қолжетімділікті жоғалтты.

3. Сақтандыру қорлары мен полистері. Көптеген биржалар пайдаланушылардың күтпеген шығындарын жабу үшін резервтер жасайды. Мысалы, Binance 2018 жылы пайдаланушыларға арналған Secure Asset Fund (SAFU) — арнайы сақтандыру резервін құрды, оған комиссиялардың бір бөлігі аударылады. Қордың мөлшері 1 миллиард доллардан асады. Бұл қаражат бөлек суық әмияндарда сақталады және төтенше жағдайларда пайдаланушыларға зиянды өтеу үшін арналған. Binance 2019 жылы хакерлік шабуылдан келген шығындарды жабу үшін SAFU-ды қолданды.

Coinbase, өз кезегінде, ыстық әмияндардан цифрлық активтердің ұрлануын жабатын қылмыстық тәуекелдерден ең ірі сақтандыру бағдарламасы туралы мәлімдейді. Алайда, сақтандыру сомасы мен сақтандырушы туралы ақпарат көпшілікке жарияланбайды. Бірақ бұл полис пайдаланушылардың есептік деректерін жоғалту немесе бұзу салдарынан олардың жеке аккаунттарына рұқсатсыз қолжетімділікпен байланысты шығындарды қамтымайды.

Әртүрлі елдердегі реттеушілер не істеп жатыр

FTX-тің құлауынан кейін Бағалы қағаздар және биржалар жөніндегі комиссия (SEC) криптофирмаларды, ең алдымен криптобиржаларды, активтердің сақталу қағидаттарын сақтау тұрғысынан белсенді тексере бастады. Мысалы, 2023 жылдың қаңтар және ақпан айларында Kraken және Gemini Earn қызметтеріне қарсы тергеулер басталды, олар пайдаланушыларға криптовалюталық активтер бойынша пайыздар табуға мүмкіндік берді, өйткені олар SEC пікірінше, бағалы қағаздар туралы заңдарды бұзуы мүмкін және тиісті тіркеусіз ұсынылды.

Міне, басқа елдерде жағдай қалай:

• Австралияда және Сингапурда реттеушілер де криптоплатформалардан клиенттердің қаражатын бөлу және қорлар туралы мерзімді есеп беру талаптарын қоятын жаңа ережелер ұсынды. 
• Еуропалық Одақта 2023 жылдың мамыр айында MiCA (Markets in Crypto-Assets) регламенті қабылданды, ол 2024–2025 жылдары кезең-кезеңімен күшіне енеді. Ол криптосервис провайдерлерін (CASP) клиенттердің криптоактивтерін компанияның өз қаражатынан бөлуге және клиенттердің қаражатының сақталуын тексеру үшін тұрақты аудиттер жүргізуге міндеттейді.
• Ұлыбритания 2023 жылы криптоактивтерге клиенттердің ақшасын қорғау ережелерін (Client Money Rules) қолдану туралы нормативтер жиынтығын іске қосты — форекс-дилерлер немесе брокерлер реттелетіндей (олар клиенттердің қаражатын банктік жүйедегі бөлек трасттық шоттарда ұстауға міндетті).
• Жапонияда Mt. Gox-тың банкроттығы және 2018 жылы тағы бір криптобиржа Coincheck-ке кибершабуылдан кейін енгізілген қатаң модель қазірдің өзінде жұмыс істейді. Биржалар клиенттердің криптовалюталарын сыртқы сенімгерлік банк немесе траст бақылауында сақтауға міндетті, ал өз токендері бөлек болуы керек. Мысалы, FTX Japan ақырында клиенттерге қаражатты қайтаруға қол жеткізді, өйткені жергілікті талаптар оларды трасттық шотта ұстауға мәжбүр етті.
• БАӘ-де кастодиандардан резервтерді үнемі растауды және құлау жағдайында жоспар болуын талап ететін VARA регламенті қабылданды.

Неге назар аудару керек

Криптобиржалардың клиенттері криптоактивтерді сақтау үшін кастодиалды емес (өзіндік) әмияндарды пайдалана алады, бұл кезде жеке кілттер тек пайдаланушыда болады. Аппараттық әмияндар (Ledger, Trezor), бағдарламалық әмияндар (MetaMask, Trust Wallet) немесе тіпті қағаз әмияндар бар. Мұнда принцип қарапайым: кілтті кім бақылайды, сол блокчейнде криптовалютаны да бақылайды​.

Егер сізде мекенжайдың сид-фразасы және жеке кілті жазылған болса, онда тек сіз қаражатты қайда аудару керектігін шешесіз; ешбір биржа оларды бұғаттай алмайды немесе иемдене алмайды. Ертең кез келген биржа немесе сервис жабылса да, сіздің BTC/ETH мекенжайыңызда қалады және сіз оларды блокчейн арқылы басқара аласыз. Сондай-ақ, жаһандық бұзулар қаупі азаяды: мыңдаған жеке әмияндарды бұзу бір ірі ыстық биржа әмиянын бұзудан қиын.

Бірақ мұндай сақтаудың айқын кемшіліктері бар — қауіпсіздік үшін жауапкершілік толығымен иесіне жүктеледі. Кілтті сенімді сақтауды өзіңіз қамтамасыз етуіңіз керек (офлайн резервтік көшірмелер, жоғалту және ұрлықтан қорғау). Егер сіз жеке кілтті немесе сид-фразаны жоғалтсаңыз, қолжетімділікті қалпына келтіру іс жүзінде мүмкін емес — монеталар блокчейнде мәңгілікке «ілініп» қалады.