Безопасна ли Phemex? Разбираем прозрачность резервов и защиту активов
23 января 2025 года Phemex потеряла более $70 млн в результате атаки Lazarus Group на горячие кошельки. Через месяц те же хакеры взломали Bybit — уже на $1,5 млрд.
Возросшая активность киберпреступников заставляет трейдеров пересматривать баланс между централизованными и децентрализованными сервисами. Команда Phemex поделилась с ForkLog тем, как биржа усилила защиту после взлома.
Из DeFi обратно на CEX?
Любая централизованная биржа (CEX) подразумевает делегированное хранение приватных ключей. Пользователь обменивает контроль на удобство и принимает риски, связанные с возможной недобросовестностью руководства торговой площадки и потенциальными внешними атаками на горячие кошельки.
Альтернативой CEX выступают DeFi-сервисы — не только DEX или perp-DEX, но и протоколы кредитования или ликвидного стейкинга, так как большинство централизованных бирж давно вышли за рамки трейдинга и предлагают широкий спектр финансовых продуктов.
Апрель 2026 года стал худшим месяцем для DeFi-протоколов за последние годы. 1 апреля хакеры атаковали Drift Protocol — ущерб составил $280 млн. Инцидент связали с группировкой TraderTraitor — подразделением Lazarus Group, стоящим за взломами Bybit и Phemex.
Через две недели злоумышленники атаковали протокол Kelp и похитили $293 млн в токенах rsETH, которые затем использовали как залог для получения займов в Aave. Это спровоцировало массовый отток депозитов из крупнейшего лендингового протокола: по данным Standard Chartered, пользователи вывели оттуда $17 млрд, а количество активных займов сократилось на $5,5 млрд.
На этом атаки не закончились. 22 апреля хакеры скомпрометировали платформу ликвидного стейкинга Volo на Sui и похитили $3,5 млн. 27 апреля — атаковали кредитную платформу Scallop в том же блокчейне. 28 апреля пострадали сразу три проекта: кроссчейн-сеть ZetaChain ($334 000), инфраструктурный Ethereum-проект Syndicate ($330 000) и биржа Aftermath Finance на Sui ($900 000). 30 апреля злоумышленники взломали протокол Wasabi — ущерб превысил $5 млн.
Многие инвесторы, державшие стейблкоины и Ethereum в «проверенных» протоколах вроде Aave и Lido, начали выводить капитал. При этом от дополнительной доходности готовы отказаться не все: часть пользователей переключилась на Earn-продукты и вернулась к торговле на централизованных биржах.
В последние годы CEX усиливают защиту по трем ключевым направлениям:
- Proof-of-Reserves (PoR) — криптографическое доказательство того, что биржа держит активы, покрывающие обязательства перед клиентами. Стало де-факто стандартом после краха FTX в ноябре 2022 года;
- многоуровневое хранение — разделение средств на холодные, теплые и горячие кошельки с применением мультиподписи;
- компенсационные механизмы — биржи начали создавать страховые фонды на случай непредвиденных обстоятельств.
Phemex выстраивает доверие на пересечении этих трех элементов. Разберем, что стоит за каждым из них.
Proof-of-Reserves
Phemex одной из первых среди централизованных бирж запустила Proof-of-Reserves на базе дерева Меркла 21 ноября 2022 года — через десять дней после краха FTX. На старте механизм охватывал резервы в биткоине, Ethereum, USDT и USDC. К маю 2026 года список расширился до 11 активов, включая TRX, BNB, XRP, SOL, SUI и AVAX.
Отчеты публикуются ежемесячно. По данным на май 2026 года, совокупный коэффициент обеспечения составил 129,75% — резервы по активам превышали обязательства биржи перед клиентами. Это создает буфер на случай экстремальных рыночных сценариев или операционных сбоев.
«Данные о резервах должны регулярно обновляться и легко проверяться пользователями. Ежемесячная публикация Proof-of-Reserves превращает этот принцип в стандарт операционной работы. Для нас „пользователь прежде всего" означает, что трейдеры получают информацию для самостоятельной оценки платформы, а не вынуждены просто верить на слово», — заявил CEO Phemex Федерико Вариола.
Дерево Меркла дает пользователю возможность проверить включение собственного баланса в общий снапшот без раскрытия данных других клиентов.
«Балансы клиентов попарно хешируются, затем хеши снова попарно хешируются — и так до единственного значения (корня Меркла). Изменение любого баланса хотя бы на 1 сатоши полностью меняет корень. Чтобы убедиться, что собственные средства учтены, пользователь копирует Hashed Client ID из личного кабинета и сверяет его на странице Proof-of-Reserves», — объясняют в Phemex.
Адреса части холодных кошельков биржи публичны. Любой пользователь может проверить балансы через обозреватели соответствующих сетей.
Где лежат активы пользователей
Phemex использует трехуровневое хранение:
- холодные кошельки — более 70% средств клиентов. Приватные ключи полностью изолированы от интернета. Каждая транзакция требует одобрения нескольких независимых подписантов, физически отдаленных друг от друга. Все переводы обрабатываются вручную после многократных верификаций;
- теплые кошельки — около 20% активов. Безопасный мост между холодным и горячим хранением. Ограниченный объем для управления ликвидностью без прямого выхода в интернет;
- горячие кошельки — менее 8% средств. Отвечают за оперативные депозиты и выводы. Даже при полной компрометации горячих кошельков более 90% капитала остаются нетронутыми в холодном и теплом хранилище.
Приватные ключи горячих кошельков защищены схемой разделения секрета Шамира: ключ математически разделяется на N зашифрованных фрагментов, для восстановления нужны K из N (например, 3 из 5). Фрагменты хранятся в разных местах, и компрометация одного из них бесполезна без остальных. Сами фрагменты обрабатываются внутри AWS Nitro Enclaves — изолированных вычислительных сред, недоступных операционной системе и администраторам.
Кастодиальная инфраструктура усилена партнерством с Fireblocks — институциональным провайдером с MPC-моделью хранения. Технология распределяет криптографические доли ключа между несколькими защищенными средами. Ни одно устройство и ни один сотрудник не хранит полный приватный ключ.
«Дополнительно работает круглосуточный мониторинг кошельков: автоматический анализ активности по всем трем уровням, отслеживание частоты и размера транзакций, адресов получателей и отклонений от поведенческих паттернов. Подозрительные транзакции автоматически приостанавливаются и направляются на ручную проверку», — добавляют в Phemex.
Что защищает аккаунт
Меры защиты аккаунта на Phemex пользователь активирует сам. Обязательна только двухфакторная аутентификация для входа, вывода средств, создания API-ключей и изменения настроек учетной записи.
Дополнительно пользователь может включить:
- антифишинговый код — строку текста, которая отображается во всех легитимных email-уведомлениях биржи. Если в письме кода нет или он не совпадает — это фишинг;
- белый список адресов для вывода. Это защищает от ситуации, когда злоумышленник получил доступ к аккаунту и пытается быстро перевести деньги на новый адрес.
На уровне инфраструктуры Phemex использует корпоративные файрволы Palo Alto Networks, сетевую сегментацию (торговые движки отделены от веб-серверов, кошельковая инфраструктура — от публичных API) и глобально распределенную защиту от DDoS. По данным биржи, аптайм по итогам 2025 года составил 99,999%.
Что показал стресс-тест
Взлом — главный довод против любого утверждения о «полной безопасности». В январе 2025 года внутренний мониторинг Phemex зафиксировал аномальную активность в горячих кошельках. Через несколько часов Cyvers Alerts и PeckShield публично сообщили о подозрительных транзакциях. Phemex полностью приостановила депозиты и выводы по всем сетям.
Биржа возместила пользователям убытки из корпоративных резервов. В отличие от Binance с отдельным страховым фондом, у Phemex нет выделенного страхового пула — выплаты идут из корпоративного баланса.
После инцидента биржа перестроила систему хранения: внедрила трехуровневую архитектуру с теплым промежуточным слоем, снизила долю горячих кошельков до менее 8%, добавила Fireblocks MPC и AWS Nitro Enclaves, расширила мониторинг адресов.
Что учитывать перед регистрацией
Phemex остается централизованной биржей. Никакая архитектура хранения и никакой PoR не делают CEX функционально эквивалентной самостоятельному хранению активов в холодном кошельке.
Биржа зарегистрирована как MSB в FinCEN и имеет VASP-лицензию в Польше. Для пользователей из России, Беларуси и Украины действуют ограничения на фиатные операции — депозиты и выводы через партнера Legend Trading недоступны.
Процедура KYC обязательна для торговли и вывода. Без верификации открыт доступ только к материалам Phemex Academy. Проверку проводит Jumio, процедура занимает от двух до пяти минут.
Подробнее о функционале платформы читайте в обзоре Phemex на ForkLog.
Так безопасна ли Phemex?
Короткий ответ: да, если понимать «безопасность» в применимом к CEX смысле. Phemex после взлома компенсировала пользователям ущерб, перестроила систему хранения и сделала прозрачность ядром публичной коммуникации.
К весне 2026 года это выглядит так: около 130% совокупного PoR с ежемесячной публикацией, открытые адреса для ончейн-верификации, более 70% активов в холодных кошельках, мультиподпись для критических операций.
Кастодиальный риск — неотъемлемая черта любой CEX. Минимальный набор защиты аккаунта включает двухфакторную аутентификацию, антифишинговые коды и белые списки адресов. Независимо от репутации биржи крупные суммы лучше хранить за ее пределами на аппаратном кошельке.