:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/AZ5YH3DTDZB4LLCPUIGEEUGDKI.jpg)
Пока я вместе с остальным миром ждал одобрения первого Bitcoin ETF, меня грызла ONE вещь: за некоторыми исключениями, включая Fidelity и VanEck, почти каждый претендент на спотовый Bitcoin ETF намеревается использовать Coinbase в качестве хранитель.
Дэвид Швед — главный операционный директор Halborn .
Как лидера в области кибербезопасности, специализирующегося на блокчейнах, эта концентрация риска наряду с изначально высоким риском хранения Криптo и все еще развивающимся характером лучших практик безопасности заставляет меня задуматься.
Меня здесь беспокоит не сама Coinbase. Фирма ни разу не подверглась известному взлому, что объясняет, почему так много традиционных институтов доверяют ее ноу-хау. Однако не существует такого понятия, как цель, которую невозможно взломать: что угодно и кто угодно может быть скомпрометирован, если дать достаточно времени и ресурсов, и это урок, который я усвоил за свою карьеру на стыке кибербезопасности и управления активами.
Что меня беспокоит, так это чрезвычайная концентрация активов у одного хранителя. А учитывая, что Криптo похожи на наличные, это делает ситуацию по своей сути тревожной.
См. также: Шоу клоунов Bitcoin ETF Гэри Генслера
Возможно, пришло время переосмыслить определение «квалифицированного хранителя» — нормативное утверждение, которое в его нынешней форме T обязательно гарантирует, что рискованные активы на основе блокчейна обязательно (или наилучшим образом) защищены. Кроме того, в идеале хранители цифровых активов должны подвергаться большему надзору со стороны более подготовленных регуляторов в соответствии с более строгими государственными и федеральными стандартами, чем сейчас.
Сегодня большинство квалифицированных депозитариев обеспечивают безопасность акций, облигаций или бумажных средств, отслеживаемых в цифровой форме, и все это по своей сути является законным соглашением, которое T просто «украдить». Но Bitcoin (BTC), как и наличные деньги и золото, является так называемым инструментом на предъявителя. Успешный взлом Криптo похож на ограбление банка на Диком Западе: как только он попадает в руки вора, деньги просто исчезают.
Таким образом, для хранителя Криптo достаточно ONE ошибки, чтобы активы полностью исчезли.
Мы также знаем, что силы глобальной криптопреступности огромны и решительны. Возьмем лишь ONE печально известный пример: группа хакеров Lazarus Group из Северной Кореи, как полагают, за последние шесть лет украла Криптo на сумму 3 миллиарда долларов , и не собирается останавливаться. Приток Bitcoin ETF прогнозируется на уровне выше 6 миллиардов долларов в первую торговую неделю, что делает эти средства PRIME целью.
Если Coinbase окажется в своих цифровых хранилищах с десятками миллиардов Bitcoin , Северная Корея сможет легко организовать операцию стоимостью 50 миллионов долларов по краже этих средств, даже если это займет несколько лет. Такие субъекты угроз, как российская группа Cozy Bear/APT29, также могут найти все более привлекательным занятие институциональной Криптo , поскольку эти пулы становятся больше — потенциально намного, намного больше.
Это тот уровень угрозы, к которому готовятся крупнейшие банки. ONE широко распространенная модель управления рисками для финансовых учреждений использует три уровня надзора . Во-первых, уровень управления бизнесом разрабатывает и реализует методы обеспечения безопасности; во-вторых, уровень риска контролирует и оценивает эти практики; и, в-третьих, уровень аудита гарантирует, что методы снижения рисков действительно эффективны.
Кроме того, у устаревшего финансового учреждения будут внешние аудиторы и внешний ИТ-надзор, а также многочисленные государственные и федеральные регулирующие органы, которые будут следить за ним. Многие, многие глаза будут изучать каждый аспект риска и безопасности.
Но эти многочисленные уровни избыточности и вложенности отказоустойчивых систем требуют ONE обманчиво простой вещи: численности персонала.
В то время, когда я был руководителем отдела Технологии цифровых активов в BNY Mellon, в инвестиционном банке работало около 50 000 сотрудников, из которых около 1000 – или 2% – занимали должности в сфере безопасности. В Coinbase, даже после недавнего расширения, работает менее 5000 сотрудников. BitGo, также квалифицированный хранитель , сертифицированный штатом Нью-Йорк и другими юрисдикциями, насчитывает всего несколько сотен.
Это не ставит под сомнение намерения или навыки любой из этих организаций или их сотрудников. Но реальный надзор требует избыточности, которую эти новые институты могут с трудом обеспечить на уровне, подходящем для обеспечения десятков миллиардов долларов в инструментах на предъявителя.
См. также: Bitcoin -ETF: бычий случай
Прежде чем эти цифры станут еще больше (и станут более привлекательными для злоумышленников), давно пора усовершенствовать стандарты кибербезопасности для назначения квалифицированных хранителей. В настоящее время это назначение сопровождает трастовое или банковское лицензирование, контролируемое государственными и федеральными регулирующими органами. Это финансовые регуляторы, в основном ориентированные на традиционные банковские услуги, а не на экспертов по кибербезопасности и, конечно, не на экспертов по Криптo . Понятно, что они сосредоточены на балансах, юридических процессах и других финансовых операциях.
Но для хранителей Криптo это T единственные виды надзора, которые имеют значение, и даже не обязательно самые важные. Не существует общеотраслевых стандартов в области кибербезопасности и практики управления рисками со стороны Криптo , а это означает, что статус «квалифицированного хранителя»T так обнадеживает, как может показаться. Это подвергает не только инвесторов, но и весь зарождающийся сектор непрозрачному риску с потенциально тяжелыми последствиями.
Утверждение набора Bitcoin ETF — это лишь последний шаг в продолжающейся интеграции цифровых активов в финансовую систему. Вам T обязательно доверять этому предсказанию сторонникам Криптo – просто спросите Blackrock, традиционного гиганта, который защищал ETF. По мере того, как эти события продолжаются, регулирующие органы, действительно заинтересованные в защите инвесторов, будут сосредоточены на адаптации к этому новому миру: ONE , в котором строгие стандарты кибербезопасности так же важны для финансовой стабильности, как честное раскрытие информации и финансовый аудит.
