Phemex после взлома: безопасность и доверие

11.05.2026 Лонгриды Централизованные биржи (CEX)

23 января 2025 года Phemex лишилась более 70 миллионов долларов из-за атаки Lazarus Group на горячие кошельки. Спустя месяц те же хакеры атаковали Bybit, похитив уже 1,5 миллиарда долларов.

Рост числа кибератак заставляет трейдеров задуматься о выборе между централизованными и децентрализованными платформами. Представители Phemex рассказали ForkLog, какие меры безопасности биржа внедрила после инцидента.

Возвращение из DeFi на CEX?

Любая централизованная биржа предполагает, что приватные ключи хранятся у неё. Пользователь меняет контроль над средствами на удобство, принимая на себя риски, связанные с возможной недобросовестностью руководства и внешними атаками.

Альтернативой CEX являются DeFi-сервисы, включая не только DEX и perp-DEX, но и протоколы кредитования и ликвидного стейкинга. Большинство централизованных бирж давно вышли за рамки простой торговли, предлагая широкий спектр финансовых продуктов.

Апрель 2026 года стал худшим месяцем для DeFi-протоколов за последние годы. 1 апреля хакеры атаковали Drift Protocol, нанеся ущерб в 280 миллионов долларов. Этот инцидент связали с группировкой TraderTraitor, подразделением Lazarus Group, ответственным за взломы Bybit и Phemex.

Спустя две недели злоумышленники атаковали протокол Kelp, похитив 293 миллиона долларов в токенах rsETH. Эти токены были использованы в качестве залога для получения кредитов в Aave, что спровоцировало массовый отток депозитов из крупнейшего кредитного протокола. По данным Standard Chartered, пользователи вывели оттуда 17 миллиардов долларов, а объём активных займов сократился на 5,5 миллиарда долларов.

Атаки не прекратились. 22 апреля хакеры скомпрометировали платформу ликвидного стейкинга Volo на Sui, похитив 3,5 миллиона долларов. 27 апреля была атакована кредитная платформа Scallop в том же блокчейне. 28 апреля пострадали сразу три проекта: кроссчейн-сеть ZetaChain, инфраструктурный проект Syndicate и биржа Aftermath Finance. 30 апреля злоумышленники взломали протокол Wasabi, ущерб превысил 5 миллионов долларов.

Многие инвесторы, державшие стейблкоины и Ethereum в проверенных протоколах, начали выводить капитал. Однако не все готовы отказаться от дополнительной доходности: часть пользователей переключилась на Earn-продукты и вернулась к торговле на централизованных биржах.

В последние годы CEX усиливают защиту по трём ключевым направлениям:

* Proof-of-Reserves — криптографическое доказательство того, что биржа располагает активами, покрывающими обязательства перед клиентами. Это стало стандартом после краха FTX.
* Многоуровневое хранение — разделение средств на холодные, тёплые и горячие кошельки с использованием мультиподписи.
* Компенсационные механизмы — создание страховых фондов на случай непредвиденных обстоятельств.

Phemex строит доверие, опираясь на эти три элемента. Рассмотрим каждый из них подробнее.

Proof-of-Reserves

Phemex одной из первых среди централизованных бирж запустила Proof-of-Reserves на основе дерева Меркла 21 ноября 2022 года, через десять дней после краха FTX. Изначально механизм охватывал резервы в биткоине, Ethereum, USDT и USDC. К маю 2026 года список расширился до 11 активов, включая TRX, BNB, XRP, SOL, SUI и AVAX.

Отчёты публикуются ежемесячно. По данным на май 2026 года, совокупный коэффициент обеспечения составил 129,75% — резервы по активам превышали обязательства биржи перед клиентами. Это создаёт буфер на случай экстремальных рыночных сценариев или операционных сбоев.

«Данные о резервах должны регулярно обновляться и легко проверяться пользователями. Ежемесячная публикация Proof-of-Reserves превращает этот принцип в стандарт операционной работы. Для нас „пользователь прежде всего» означает, что трейдеры получают информацию для самостоятельной оценки платформы, а не вынуждены просто верить на слово», — заявил CEO Phemex Федерико Вариола.

Дерево Меркла позволяет пользователю проверить, включён ли его баланс в общий снимок, не раскрывая данные других клиентов.

«Балансы клиентов попарно хешируются, затем хеши снова попарно хешируются — и так до единственного значения. Изменение любого баланса хотя бы на 1 сатоши полностью меняет корень. Чтобы убедиться, что собственные средства учтены, пользователь копирует Hashed Client ID из личного кабинета и сверяет его на странице Proof-of-Reserves», — объясняют в Phemex.

Адреса части холодных кошельков биржи публичны. Любой пользователь может проверить балансы через обозреватели соответствующих сетей.

Где лежат активы пользователей

Phemex использует трёхуровневое хранение:

* Холодные кошельки — более 70% средств клиентов. Приватные ключи полностью изолированы от интернета. Каждая транзакция требует одобрения нескольких независимых подписантов, физически удалённых друг от друга. Все переводы обрабатываются вручную после многократных проверок.
* Тёплые кошельки — около 20% активов. Безопасный мост между холодным и горячим хранением. Ограниченный объём для управления ликвидностью без прямого выхода в интернет.
* Горячие кошельки — менее 8% средств. Отвечают за оперативные депозиты и выводы. Даже при полной компрометации горячих кошельков более 90% капитала остаются нетронутыми в холодном и тёплом хранилище.

Приватные ключи горячих кошельков защищены схемой разделения секрета Шамира: ключ математически разделяется на N зашифрованных фрагментов, для восстановления нужны K из N. Фрагменты хранятся в разных местах, и компрометация одного из них бесполезна без остальных. Сами фрагменты обрабатываются внутри AWS Nitro Enclaves — изолированных вычислительных сред, недоступных операционной системе и администраторам.

Кастодиальная инфраструктура усилена партнёрством с Fireblocks — институциональным провайдером с MPC-моделью хранения. Технология распределяет криптографические доли ключа между несколькими защищёнными средами. Ни одно устройство и ни один сотрудник не хранит полный приватный ключ.

«Дополнительно работает круглосуточный мониторинг кошельков: автоматический анализ активности по всем трём уровням, отслеживание частоты и размера транзакций, адресов получателей и отклонений от поведенческих паттернов. Подозрительные транзакции автоматически приостанавливаются и направляются на ручную проверку», — добавляют в Phemex.

Что защищает аккаунт

Меры защиты аккаунта на Phemex пользователь активирует сам. Обязательна только двухфакторная аутентификация для входа, вывода средств, создания API-ключей и изменения настроек учётной записи.

Дополнительно пользователь может включить:

* Антифишинговый код — строка текста, которая отображается во всех легитимных email-уведомлениях биржи.

Обменять