Гигантское землетрясение в сфере хранения криптовалют! Японская компания DMM взломана, ущерб составляет 312 миллионов, ожидается обязательная регистрация к 2026 году

Японская Финансовая служба (FSA) рассматривает возможность обязательной регистрации поставщиков услуг по хранению и торговле криптовалютами. Рабочая группа при Комитете по финансовой системе обсуждала этот вопрос 7 ноября и планирует ограничить деятельность бирж использованием только зарегистрированных провайдеров услуг. Этот шаг вызван хакерской атакой на DMM Bitcoin в 2024 году, в результате которой было украдено биткоинов на сумму примерно 48,2 миллиарда йен (около 312 миллионов долларов), а точкой входа злоумышленников стала внешняя компания Ginco.

Взлом DMM на 312 миллионов долларов стимулирует регуляторные реформы

«Никкей» 7 ноября сообщил, что рабочая группа при консультативной организации премьер-министра Японии — Комитете по финансовой системе — обсуждала новые правила по хранению криптовалют. Основным катализатором стала атака на DMM Bitcoin в 2024 году, которая потрясла японский крипторынок. В результате было украдено биткоинов на сумму около 48,2 миллиарда йен, что стало одним из самых серьезных инцидентов безопасности в истории японских криптовалют.

Еще более шокирующим оказалось место проникновения злоумышленников. Расследование показало, что атакующие не взломали напрямую систему биржи DMM Bitcoin, а проникли через ее внешнего подрядчика — японскую софтверную компанию Ginco, расположенную в Токио. DMM передала управление торговлей Ginco, а уязвимость в системе последней стала слабым звеном всей цепочки безопасности. Такой «атаки по цепочке поставок» выявили критические недостатки в текущей системе хранения криптовалют.

Согласно действующему законодательству, криптовалютные биржи обязаны строго управлять депозитами, включая хранение активов пользователей в холодных кошельках. После взлома Coincheck в 2017 году на сумму 530 миллионов долларов Япония создала один из самых строгих регуляторных режимов для бирж. Однако «Никкей» отмечает, что аналогичных требований к третьим сторонам, сотрудничающим с биржами, пока нет. Этот пробел стал причиной инцидента с DMM.

Уроки этого случая очень болезненны. Даже если сама биржа соблюдает все меры безопасности, хранит активы в холодных кошельках и использует мультиподписные схемы, наличие уязвимостей у сторонних поставщиков может свести на нет все усилия по защите. Злоумышленники не обязаны взламывать ядро системы биржи — достаточно найти слабое звено в цепочке поставок. Такой тип атак называется «атака по цепочке поставок» и в последние годы становится все более распространенным как в традиционных финансах, так и в технологическом секторе.

Большинство участников рабочей группы после обсуждения поддержали инициативу по введению нового регуляторного механизма и призвали к более четкому регулированию цифровых активов. Высокий уровень консенсуса демонстрирует, насколько сильно инцидент с DMM потряс японскую регуляторную среду. Когда одна ситуация приводит к потере 312 миллионов долларов, регуляторы имеют все основания принять решительные меры для устранения системных пробелов.

Ключевые положения системы регистрации криптовалютных хранителей

FSA планирует обязать поставщиков услуг по хранению и торговле криптовалютами регистрироваться в регуляторных органах и использовать только системы зарегистрированных провайдеров. Сообщается, что цель — устранить потенциальные уязвимости, ведущие к кражам или сбоям систем. Основная идея — включить сторонних поставщиков в тот же регуляторный каркас, что и сами биржи, чтобы ликвидировать регуляторные пробелы.

Предполагаемый регламент регистрации включает следующие ключевые требования.

• Капитальные стандарты: минимальный уставной капитал и требования к поддержанию достаточного уровня капитала для покрытия возможных убытков, чтобы в случае инцидента иметь возможность компенсировать клиентов.
• Аудит безопасности: обязательное проведение ежегодных независимых аудитов, включая тесты на проникновение и проверку кода, подтверждающих соответствие минимальным стандартам безопасности.
• Страхование: обязательное приобретение киберстраховки и страховки на хранение активов, чтобы обеспечить компенсацию пользователям при атаках или сбоях.
• Технические стандарты: регламенты по криптографической стойкости, управлению приватными ключами, мультиподписным схемам, разделению холодных и горячих кошельков.
• Регулярные отчеты: предоставление квартальных или годовых отчетов FSA о размере хранения активов, инцидентах безопасности, обновлениях систем.
• Штрафные меры: санкции за несоблюдение требований — штрафы, приостановка деятельности, уголовное преследование, включая ответственность за использование нерегистрированных сервисов.

Предварительный регуляторный каркас

Капитальные стандарты: минимальный уставной и поддерживающий капитал
Аудит безопасности: ежегодные независимые проверки и тесты на проникновение
Страховое покрытие: обязательное страхование кибербезопасности и хранения активов
Технические стандарты: криптографическая стойкость, управление ключами, мультиподписные схемы
Регулярные отчеты: раскрытие данных о размере хранения и инцидентах
Штрафы и санкции: штрафы, приостановка деятельности, уголовное преследование

Если эта регуляторная модель будет реализована, Япония станет одной из самых строгих стран в мире по регулированию криптовалютных услуг по хранению. В то время как США и Европа также усиливают контроль, их подходы в основном сосредоточены на самих биржах, а требования к сторонним хранителям пока менее жесткие.

Сообщается, что FSA планирует как можно скорее подготовить отчет по результатам обсуждений и представить в парламент поправки к Закону о финансовых инструментах и биржах (FIEA) к заседанию 2026 года. Это означает, что новые правила могут вступить в силу во второй половине 2026 или в начале 2027 года. Обычно процесс от обсуждения до принятия занимает 12–18 месяцев, что даст текущим провайдерам время подготовиться.

Глобальные последствия для индустрии криптографического хранения

Инновации в японском регулировании могут вызвать цепную реакцию по всему миру. Япония — третий по величине рынок криптовалют после США и Китая, и ее регуляторная политика часто служит образцом для других стран. После взлома Coincheck в 2017 году японская строгая система регулирования бирж была заимствована Южной Кореей, Сингапуром и другими странами. Новые требования к сторонним хранителям, вероятно, также станут примером для подражания.

Для глобальных поставщиков услуг хранения криптовалют Япония станет более сложной для входа. Малые компании вроде Ginco, не способные выполнить требования регистрации, могут быть вынуждены покинуть рынок или инвестировать в масштабную адаптацию. Такой эффект «отбора» повысит профессионализм и стандарты безопасности в отрасли, хотя и увеличит издержки в краткосрочной перспективе.

Крупные международные игроки, такие как BitGo, Fireblocks, уже внедрившие соответствующие регуляторные системы и инфраструктуру, скорее всего, выиграют от этой реформы. Вход на японский рынок для них — относительно небольшие дополнительные затраты. В то время как мелкие провайдеры без достаточных ресурсов столкнутся с угрозой выживания.

Для японских криптовалютных бирж новая регуляция потребует переоценки текущих схем хранения. Если текущие поставщики не смогут получить регистрацию, биржам придется искать альтернативные решения, что может привести к миграции систем, пересмотру контрактов и рискам прерывания бизнеса. Однако, в долгосрочной перспективе, такие меры повысят общую безопасность и снизят риски потерь из-за уязвимостей сторонних сервисов.

Также стоит отметить, что регулятор активно продвигает внутренние проекты по стабильным монетам. В прошлом месяце было одобрено создание первой японской йена-обеспеченной стабильной монеты JPYC, которая уже запущена. Недавно объявлено о пилотных проектах с участием крупнейших японских банков — Мицуи, Мицубиси UFJ и Сумитомо. Такой баланс между регуляторным контролем и инновациями показывает, что Япония ищет оптимальный путь для развития безопасной и технологичной экосистемы.

На международной арене японский опыт может стать новым стандартом. Хотя рамки MiCA в ЕС достаточно широки, требования к сторонним хранителям остаются размытыми. В США регулирование более фрагментарное и разнится по штатам. Если японский регуляторный подход докажет свою эффективность, другие страны могут последовать примеру, сформировав глобальный стандарт для криптовалютных хранителей.

Для участников рынка хранения криптовалют это шанс заранее подготовиться. Те, кто сможет быстро соответствовать японским требованиям, получат преимущество на японском рынке и в будущем — при внедрении аналогичных правил в других странах. Инвестиции в безопасность, соответствие и страховые схемы станут важными конкурентными преимуществами в условиях ужесточения регулирования.