Гігантське землетрус у сфері зберігання криптовалют! Японська компанія DMM зазнала хакерської атаки на суму 312 мільйонів, що спричинило обов’язкову реєстрацію до 2026 року

Японська фінансова агенція (FSA) розглядає можливість обов’язкового реєстрування постачальників послуг з управління криптовалютними депозитами та торгівлею, а також планує обмежити біржі використанням лише зареєстрованих сервісів. Це рішення було підсилене хакерською атакою на DMM Bitcoin у 2024 році, внаслідок якої було викрадено криптовалют на суму приблизно 48.2 мільярдів ієн (близько 312 мільйонів доларів США), причиною якої став зовнішній підрядник Ginco.

DMM з хакерською атакою на 312 мільйонів доларів сприяє регуляторній революції

«Нікеї» 7 листопада повідомили, що робоча група під керівництвом комітету з фінансової системи при консультаційному органі прем’єр-міністра Японії обговорила нові правила щодо зберігання криптовалют. Основним каталізатором стала хакерська атака на DMM Bitcoin у 2024 році, яка стала однією з найсерйозніших у історії японського криптосвіту. Вкрадено криптовалют на суму близько 48.2 мільярдів ієн (приблизно 312 мільйонів доларів), що зробило цю подію однією з найжорсткіших у сфері безпеки японських криптовалют.

Що ще більш вражає — це точка проникнення хакерів. Розслідування показало, що нападники не зламали безпосередньо систему біржі DMM Bitcoin, а проникли через її зовнішнього підрядника — токійську компанію Ginco. DMM делегувала управління торгівлею Ginco, у системі якої були виявлені вразливості, що зробили її найслабшим ланцюгом у системі безпеки. Такий тип атаки — «атака через ланцюг постачання» — викриває критичні недоліки сучасної системи зберігання криптовалют.

Згідно з чинним законодавством, біржі криптовалют мають суворо контролювати депозити, зокрема зберігати активи користувачів у холодних гаманцях. Після хакерської атаки на Coincheck у 2017 році, що скоїла втрату активів на 530 мільйонів доларів, Японія створила один із найжорсткіших регуляторних каркасів для бірж у світі. Однак «Нікеї» зазначають, що наразі відсутні подібні норми щодо третіх сторін, що співпрацюють із біржами. Це — регуляторна прогалина, яка і стала причиною інциденту з DMM.

Уроки цієї справи дуже болючі. Навіть якщо біржа дотримується всіх правил безпеки, зберігаючи активи у холодних гаманцях і застосовуючи мультипідпис, якщо її сторонні постачальники мають вразливості, усі заходи безпеки можуть бути марними. Злочинці не обов’язково зламати основну систему біржі — достатньо знайти найслабше місце у ланцюгу постачання. Такий тип атаки — «атака через ланцюг постачання» — стає все більш поширеним у кібербезпеці, особливо у фінансовому та технологічному секторах.

Більшість учасників робочої групи підтримали запропоновану нову систему та закликали до більш чітких правил регулювання цифрових активів. Це високий рівень консенсусу свідчить про сильний вплив інциденту з DMM на японські регуляторні кола. Коли одна подія призвела до втрат у 312 мільйонів доларів, регулятори мають підстави діяти рішуче, щоб закрити прогалини у системі.

Основний зміст реєстраційної системи для криптовалютних зберігань

FSA планує обов’язково вимагати реєстрації постачальників послуг з управління депозитами та торгівлею, а також вимагати, щоб біржі використовували лише системи зареєстрованих постачальників. Згідно з повідомленнями, мета — вирішити питання безпеки, що може призвести до крадіжок або збоїв систем. Основна ідея цієї системи — включити третіх постачальників у той самий регуляторний каркас, що й біржі, щоб уникнути регуляторних прогалин.

Очікується, що реєстраційна система матиме такі ключові вимоги. Стандарти капітальної достатності забезпечать фінансову спроможність постачальників компенсувати потенційні збитки і відшкодувати клієнтам у разі інцидентів. Обов’язки щодо безпеки передбачають регулярний незалежний аудит безпеки, включаючи тестування на проникнення та перевірку коду, щоб підтвердити відповідність систем мінімальним стандартам безпеки. Страхові вимоги передбачають обов’язкове страхування кібербезпеки та активів у депозитах для захисту користувачів у разі атак або збоїв.

Технічні стандарти регулюють рівень криптографічних алгоритмів, методи генерації та зберігання приватних ключів, вимоги до мультипідпису, а також розподіл холодних і гарячих гаманців. Регулярні звіти повинні подаватися до FSA щоквартально або щорічно, з інформацією про обсяг депозитів, безпекові інциденти, оновлення систем тощо. За порушення правил передбачені штрафи, призупинення діяльності або кримінальна відповідальність, включно з санкціями проти бірж, що використовують нереєстровані сервіси.

Очікуваний каркас реєстраційних вимог

Капітальна достатність: мінімальні реєстраційні капітали та постійні вимоги до капіталу

Аудит безпеки: щорічний незалежний аудит і звіти про тестування на проникнення

Страхове покриття: обов’язкове страхування кібербезпеки та активів у депозитах

Технічні стандарти: криптографічна міцність, управління приватними ключами, мультипідпис

Регулярні звіти: щоквартальні або щорічні розкриття обсягів депозитів і безпекових інцидентів

Порушення правил: штрафи, призупинення діяльності або кримінальні санкції

Якщо ця всеохоплююча регуляторна модель буде впроваджена, Японія стане однією з найжорсткіших країн у світі щодо регулювання криптовалютних сервісів зберігання. Порівняно з США та Європою, де регулювання також посилюється, але переважно зосереджене на біржах, контроль за сторонніми сервісами зберігання залишається менш суворим.

Звіти свідчать, що FSA планує швидко підготувати відповідний документ на основі цих обговорень і подати до парламенту у 2026 році з поправками до Закону про фінансові інструменти та біржову торгівлю. Це означає, що нові правила можуть набрати чинності вже наприкінці 2026 або на початку 2027 року. Процес від обговорення до закону зазвичай триває 12–18 місяців, що дає існуючим сервісам час на підготовку.

Глобальний вплив на індустрію зберігання криптовалют

Ця ініціатива Японії може викликати ланцюгову реакцію у світі. Як третя за обсягами криптовалют країна після США та Китаю, її регуляторна політика часто стає орієнтиром для інших. Після хакерської атаки на Coincheck у 2017 році, Японія створила один із найжорсткіших регуляторних режимів для бірж, який був запозичений Південною Кореєю, Сінгапуром та іншими країнами. Нові правила щодо сторонніх сервісів зберігання, ймовірно, матимуть подібний приклад.

Для глобальних постачальників сервісів зберігання криптовалют, входження на японський ринок стане більш складним. Малі компанії, як Ginco, які не зможуть відповідати реєстраційним вимогам, або покинуть ринок, або інвестують значні кошти у відповідність. Це — ефект відбору, який у короткостроковій перспективі підвищить витрати галузі, але у довгостроковій — підвищить рівень професіоналізму та безпеки.

Великі міжнародні гравці, такі як BitGo, Fireblocks, вже мають налагоджені системи відповідності та безпеки у Європі та США, і зможуть з мінімальними додатковими витратами увійти до японського ринку. Малі компанії без достатніх ресурсів ризикують зникнути або бути змушеними до масштабних інвестицій у відповідність.

Для японських бірж це означає необхідність переоцінити існуючі рішення щодо зберігання активів. Якщо поточні постачальники не отримають реєстрацію, біржі змушені будуть шукати альтернативи, що може спричинити міграцію систем, перезаключення контрактів і ризик перерв у бізнесі. Однак у довгостроковій перспективі ця регуляція підвищить безпеку та зменшить ризики втрат через сторонні вразливості.

Одночасно, фінансова агенція прискорює запуск внутрішньої програми стабільних монет. Минулого місяця було затверджено перший японський стабільний токен JPYC, прив’язаний до ієни, який швидко запустили. Минулого тижня оголосили про підтримку пілотного проекту з трьома найбільшими японськими банками — Міцуі, Міцуі Суміто та Міцубісі — щодо випробувань стабільної монети. Така політика відкритості регулювання у поєднанні з посиленням контролю за зберіганням активів демонструє прагнення Японії до балансу між інноваціями та безпекою.

З точки зору глобальних регуляторних трендів, ця ініціатива може стати новим стандартом. Рамки MiCA у Європі є всеосяжними, але не деталізують вимоги до сторонніх сервісів зберігання. Регулювання у США є більш фрагментованим, з різними стандартами у штатах. Якщо японська реєстраційна система доведе свою ефективність, інші країни можуть її наслідувати, формуючи глобальні стандарти для криптозберігання.

Для галузі зберігання криптовалют це — можливість для стратегічного планування. Постачальники, які першими відповідатимуть японським вимогам, зможуть закріпитися на японському ринку і отримати переваги у майбутніх країнах із подібним регулюванням. Інвестиції у безпеку, відповідність і страхування стануть конкурентною перевагою у умовах посилення регуляції.