Як українець Дмитро Будорін будує щит, що рятує світові компанії від зломів

Після зламу на більш $1.5 мільярдів, одна з найбільших криптобірж світу, Bybit, зберегла довіру користувачів саме завдяки аудиту від Hacken – компанії, заснованої українцем Дмитром Будоріним. 

У минулому – аудитор Deloitte і керівник центру кіберзахисту в “Укроборонпромі”, сьогодні він очолює одну з найвідоміших компаній із кібербезпеки, що співпрацює з ПУМБ, Binance, Ethereum та іншими лідерами ринку. 

У межах спецпроєкту з Ethereum Ukraine напередодні хакатону ETHKyiv 2025, ми поспілкувалися з Дмитром про необхідні навички для молодих спеціалістів і розробників, виклики ринку кібербезпеки, поради для користувачів та майбутнє Web3, яке вже розпочалося.

– У 2024-2025 роках спостерігається зміщення від атак на DeFi-протоколи до централізованих бірж. Чим ви пояснюєте цю тенденцію?

– Справді, згідно з дослідженням Hacken, у 2024 році втрати в DeFi знизились на 40%, тоді як централізовані біржі зазнали значного збільшення втрат, які більше ніж удвічі перевищили попередні показники. 

У 2025 році тенденція збереглася: DeFi втратили $93 млн у першому кварталі, що є схожим до попередніх трьох кварталів 2024 року, тоді як централізовані біржі втратили рекордні $1,55 млрд – 75% від усіх крипто-інцидентів цього періоду.

Причина такої зміни в тому, що централізовані біржі все ще стикаються з серйозними проблемами безпеки, зокрема через уразливості в операційній безпеці – в інтерфейсах підпису та засобах перевірки транзакцій. Це призвело до великих інцидентів, таких як злом Bybit на $1,5 млрд у лютому цього року. Це не поодинокий випадок. Це вже третій квартал поспіль, коли найбільші втрати пов’язані з використанням multisig гаманців.

Ще два роки тому ситуація була зовсім інша. Найбільші взлами припадали на крос-чейн мости. За цей час DeFi-протоколи почали імплементувати нові технології, такі як zk-криптографія та багатопартійні обчислення (MPC), що дозволяє їм значно знижувати ризики та втрати.

– Після масштабного зламу Bybit у лютому 2025 року, де втрати склали понад $1,5 млрд, які структурні слабкості в захисті централізованих бірж ви вважаєте найкритичнішими? Що могло б запобігти цьому зламу?

– Якщо коротко, головним уроком з цього інциденту є те, що зараз більшість втрат у Web3 виникають не через помилки в смарт-контрактах, а через операційні помилки, зокрема у сфері контролю доступу та безпеки підписантів. Це підкреслює необхідність надання пріоритету цим аспектам у кожному серйозному проекті Web3.

Основними структурними слабкостями в захисті централізованих бірж можна вважати:

1. Недостатню безпеку в інтерфейсах підпису (Signer Interfaces). В атаці Bybit використовувалася вразливість в інтерфейсі підпису Safe{Wallet}, де зловмисники впровадили шкідливий код через JavaScript. Це дозволило маніпулювати транзакцією та переписати логіку гаманця, що дало змогу атакувальникам отримати доступ до коштів.
   
2. Уразливості в multisig системах. Хоча multisig гаманці, як Safe{Wallet}, є важливим елементом для забезпечення безпеки, їх використання часто піддається атакам через слабкі місця в операційній безпеці та роботі з підписантами. Випадки, як зломи на Bybit, WazirX та Radiant Capital, підтверджують, що недостатня увага до перевірки транзакцій і слабкі операційні процеси призводять до серйозних збитків.
   
3. Відсутність автоматизованого моніторингу та швидкої реакції. Відсутні системи виявлення аномалій в транзакціях, що виникали в момент маніпуляцій з інтерфейсом підпису.

Щоб запобігти цьому зламу, потрібно використовувати кращі механізми контролю доступу та захисту підписантів, такі як:

1. Автоматизований моніторинг на всіх етапах транзакцій з інтеграцією AI для виявлення аномалій,  великих змін у балансах та інших підозрілих операцій.
   
2. Людську перевірка попереджень про підозрілі транзакції, що могли б бути пропущені автоматичними системами, а також підписи на основі EIP-712 для чіткої перевірки даних транзакцій підписантами.
   
3. Використання апаратних гаманців для підписантів, щоб захистити від зловмисних маніпуляцій через комп’ютери підписантів.

Також, ми рекомендуємо наступні практики з безпеки:

• Мінімізацію складності смарт-контрактів і зменшення площі атаки. Використовуйте спеціалізовані multisig контракти, які підтримують лише необхідні операції, такі як трансфери токенів ERC-20 або нативних токенів, і уникайте зайвих функцій, таких як загальні delegate calls. Це зменшує площу атаки та спрощує аудит.
• Забезпечення офф-лінійних компонентів. Веб-інтерфейси, SDK та інші інструменти, що використовуються для взаємодії з multisig, повинні бути частиною безпекової периметру. Важливо впроваджувати заходи безпеки, такі як пінінг JavaScript, перевірки цілісності та контроль безпеки постачальників.
• Проведення професійних тестів на вразливості (Penetration Testing). Регулярне проведення тестів на вразливості дозволяє виявити потенційні слабкі місця в інфраструктурі.
• Урахування людських факторів. Безпека – це не тільки технічні рішення, а й освіта, організаційна політика та операційна дисципліна. Без цього нікуди.

Важливо зазначити, що Proof of Reserves Audit, який Hacken проводить для Bybit на регулярній основі з червня 2024 року допоміг біржі залишитися фінансово стабільним після інциденту, надавши докази того, що вони має достатні резерви для покриття своїх зобов’язань перед користувачами

– Як звичайному користувачу зрозуміти, наскільки безпечний той чи інший Web3-проєкт? Які “червоні прапорці” мають насторожити?

– Щоб зрозуміти, наскільки безпечний Web3-проєкт, важливо звертати увагу на кілька ключових факторів і уникати поширених “червоних прапорців”:

1. Відсутність аудиту. Одним із найкращих способів оцінити безпеку проєкту є наявність незалежного аудиту від авторитетних компаній. Перевірте, чи має проєкт аудити безпеки, виконані сторонніми організаціями, такими як Hacken. Відсутність аудиту або неповний аудит може бути сигналом небезпеки.
   
2. Мертва спільнота. Перевірте, чи є в проєкту активна спільнота. Якщо проєкт має велику кількість користувачів на форумах, у соціальних мережах і в Telegram/Discord, це зазвичай хороший знак. Однак будьте обережні, якщо вся активність виглядає надто організовано або орієнтована на підвищення ціни токена, а не на розбудову екосистеми.
   
3. Закрита токеноміка. Завжди читайте токеноміку проєкту. Якщо розподіл токенів сильно зосереджений на розробниках або кількох великих гравцях, це має насторожити. Перевірте через блок-експлори (наприклад, Etherscan), як токени розподіляються серед власників, і чи є у проєкту прозорість у цьому питанні.
   
4. Значні стрибки ціни. Якщо токен показує раптові та нереалістичні стрибки ціни, це може бути ознакою маніпуляцій з ціною. Велика кількість таких стрибків може означати, що хтось активно маніпулює ринком, щоб привернути увагу до проєкту.
   
5. Анонімні команди. Будьте насторожі, якщо команда проєкту невідома або прихована. Проєкти, які не надають достатньо інформації про своїх засновників та розробників, можуть мати приховані мотиви, і це один із головних червоних прапорців.
   
6. Відсутність періодів lock-up або vesting. Проєкти без обмежень на продаж токенів після запуску можуть бути небезпечними, оскільки це дає можливість розробникам або раннім інвесторам вивести значні суми, швидко зменшуючи ліквідність.
   
7. Мемкоїни та інфлюенсери. Уникайте інвестицій у мемкоїни, токени від інфлюенсерів чи політичних фігур. Ці токени часто зазнають різких падінь вартості через маніпуляції ціною або нечесні дії з боку розробників.
   
8. Невиправдані обіцянки прибутку. Якщо проєкт обіцяє дуже великі прибутки за короткий час з мінімальними зусиллями, це має бути великим червоним прапорцем. “Гарантовані прибутки” часто є ознакою шахрайства або нестабільної економічної моделі.

Важливо проводити власне дослідження перед тим, як інвестувати в будь-який проєкт. Перевіряйте команду, досліджуйте проєкт на різних платформах, читайте відгуки інших користувачів і дивіться на те, як вони взаємодіють із проєктом.

– Ви провели ICO для фінансування Hacken. На вашу думку, чи досі актуальна токенізація для фінансування продукту й онбордингу в нього?

–  ICO є ефективним інструментом фінансування, але найважливіше – це продумати всі етапи та побудувати стійку токеноміку, яка відповідатиме цілям проєкту та забезпечить стабільний ріст. Це включає багато змінних: vesting, staking, lock-up періоди, правильну дистрибуцію токенів, платформу для запуску, ліквідність і доступність. Головне – зробити так, щоб користувачі мали стимул тримати ваш токен, а не продати за першої нагоди.

– Які навички ви шукаєте в молодих спеціалістах сьогодні? Чи змінилися ці вимоги останнім часом?

– Сьогодні важливі не лише технічні навички, а й soft skills –  комунікація, командна робота, критичне мислення та вміння швидко адаптуватися до змін. З новими загрозами, важливо також мати навички роботи з AI для аналізу і виявлення вразливостей.

– Що ви думаєте про квантово-стійку криптографію? Чи готується Hacken до епохи квантових комп’ютерів?

– На сьогоднішній день немає реальної загрози від квантових комп’ютерів у найближчому майбутньому. Всі, хто спекулюють на цьому, не знають реального стану розвитку квантових комп’ютерів.

– Чи думали ви колись: “Можливо, блокчейн – це просто хайп”? Чи були у вас сумніви, якщо так, то як ви з ними впорались?

– Ми будуємо справедливу, прозору, децентралізовану фінансову інфраструктуру. Так, блокчейн супроводжується спекуляціями з боку поганих акторів, але це характерно для будь-якої нової технології.

Про Ethereum Ukraine

Ethereum Ukraine – найбільша некомерційна Web3-спільнота в Україні, організатори щорічного хакатону ETHKyiv і міні-хакатонів ETHKyiv Impulse. За останні три роки команда провела понад 40 подій, залучила більше 3000 спеціалістів та розподілила понад $480 000 в грантах.

Про Hacken

Hacken – це міжнародний аудитор блокчейн-кібербезпеки, заснований у 2017 році в України. За час свого існування компанія захистила понад 1500 клієнтів, виконала більше 1500 аудитів безпеки, має команду з понад 100 спеціалістів (включаючи 60+ сертифікованих інженерів) та отримала визнання як “Blockchain Security Auditor of the Year 2024”.