33.5 мільярдів доларів США «податок на рахунки»: коли EOA стає системною вартістю, що може принести AA для Web3?

2025年，Web3 світ не позбавлений грандіозних наративів, особливо в умовах завершення регуляторної трансформації, поступового включення стабільних монет у систему TradFi, дискусій про «відповідність», «інкорпорацію» та «відновлення порядку наступного етапу», що майже стали головною темою року (додаткове читання «2025 глобальна карта криптовалютного регулювання: початок епохи інкорпорації, рік «злиття» Crypto та TradFi»).

Але за цими, здавалося б, високорівневими структурними змінами, на поверхню виходить більш базова, але довгий час ігнорована проблема — сама обліковий запис, який стає системним джерелом ризику для всього сектору.

Нещодавній звіт CertiK про безпеку дає досить шокуючу цифру: у 2025 році у Web3 сталося 630 інцидентів безпеки, загальні збитки склали близько 3,35 млрд доларів. Якщо зупинитися лише на цій сумі, це може бути черговим щорічним повторенням про складність ситуації з безпекою, але при детальнішому аналізі типів інцидентів виникає більш тривожна тенденція:

Досить значна частина збитків не пов’язана з складними вразливостями контрактів або прямими атаками на протоколи, а зосереджена на більш примітивних і тривожних рівнях — фішингових атаках. За рік зафіксовано 248 випадків, що спричинили збитки близько 723 мільйонів доларів, навіть трохи більше, ніж атаки через вразливості у коді (240 випадків, близько 555 мільйонів доларів).

Інакше кажучи, у багатьох випадках втрат користувачів, блокчейн не винен, криптографія не була зламаною, транзакції цілком відповідали правилам.

Проблема полягає у самому обліковому записі.

1. EOА-рахунок стає найбільшою «історичною проблемою» Web3

Об’єктивно, незалежно від Web2 чи Web3, фішинг завжди був найпоширенішим способом втрати коштів.

Різниця у тому, що Web3 через введення смарт-контрактів та механізмів необоротного виконання ризики стають ще більш екстремальними. Щоб зрозуміти це, потрібно повернутися до базової, найсуттєвішої моделі EOA (Externally Owned Account):

Її логіка дуже проста: приватний ключ — це власність, підпис — це воля, хто володіє приватним ключем, той контролює весь обліковий запис. У ранніх етапах ця модель була революційною, оскільки обійшла посередників і системи довіреності, безпосередньо передаючи суверенітет активів користувачу.

Але ця модель також передбачає дуже радикальний припуск: що користувачі не потраплять у фішингові пастки, не зроблять помилок, не будуть втомлені, нервові або під тиском часу і не зроблять неправильний вибір. Тільки підписавши транзакцію, користувач нібито виражає свою волю, повністю розуміючи наслідки.

Реальність ж зовсім інша.

Часті безпекові інциденти 2025 року — це наслідок саме порушення цієї гіпотези. Вони трапляються, коли користувачі підписують зловмисні транзакції або переказують кошти без достатньої перевірки. Спільне у всіх випадках — не технічна складність, а відсутність у моделі EOA механізму пом’якшення людських помилок (додаткове читання «Від EOA до абстракції облікових записів: чи станеться наступний великий прорив у «системі облікових записів» Web3?»).

Типовий сценарій — довготривале використання механізму Approval для авторизації. Коли користувач надає доступ до свого облікового запису, він фактично дозволяє сторонній адресі без повторної перевірки переказувати активи з його рахунку. Це зручно і ефективно з точки зору контрактної логіки, але у реальності часто стає причиною фішингових атак і крадіжки активів.

Наприклад, нещодавній випадок з адресою, що отримала 50 мільйонів доларів, — зловмисник не намагався зламати систему, а створив «подібну» адресу, схожу на справжню, і під час поспіху переконав користувача переказати кошти. Недолік моделі EOA тут очевидний: дуже важко гарантувати, що кожного разу користувач зможе швидко і точно перевірити довгу рядкову інформацію без помилок.

Загалом, логіка EOA визначає, що вона не цікавиться тим, чи обманутий користувач, а лише тим, чи підписано транзакцію.

Саме тому успіх адресного отруєння — не випадковість, і атаки такого типу з’являються у новинах останні роки. Зловмисники не потребують складних 51% атак, достатньо створити схожу адресу і чекати, поки користувач випадково скопіює, вставить або підтвердить її.

Адже EOA не може визначити, що це новий, раніше не взаємодіявший об’єкт, і не може оцінити, чи відхиляється ця операція від історичних звичок. Для системи це — легальна транзакція, яку потрібно виконати.

Звідси випливає парадокс: хоча криптографічно система дуже безпечна, на рівні облікових записів вона надзвичайно вразлива.

Тому, з огляду на це, втрати у 33.5 мільярдів доларів у 2025 році — не просто наслідок «неуважності користувачів» або «злочинних методів хакерів», а сигнал про те, що, коли модель облікового запису досягає масштабів реальних фінансів, її історичний борг починає проявлятися.

2. Історичний шлях AA: системна корекція облікової системи Web3

Коли багато втрат трапляється у системі, яка «повністю за правилами», це вже сама по собі проблема.

Згідно з даними CertiK, фішинг, адресне отруєння, зловмисні авторизації, помилкові підписи — всі ці інциденти мають спільний передумову: транзакція легальна, підпис дійсний, виконання необоротне. Вони не порушують консенсусні правила і не викликають аномалій, а у браузері блокчейна виглядають цілком нормально.

З системної точки зору, це не атаки, а правильне виконання користувацьких команд.

Головна причина — модель EOA зводить «особистість», «повноваження» і «ризик» до одного приватного ключа. Після підпису особистість підтверджена, повноваження надані, ризик — цілком і безповоротно прийнятий. Це дуже ефективно у ранніх етапах, але при зростанні активів, кількості користувачів і складності сценаріїв ця модель починає мати системні недоліки.

Особливо, коли Web3 переходить у режим високої активності, міжпротокольних операцій і тривалого онлайн-режиму, обліковий запис вже не просто холодний гаманець для разових операцій, а виконує функції платежів, авторизацій, взаємодій і розрахунків. У таких умовах припущення «кожен підпис — це раціональне рішення» стає все менш обґрунтованим.

З цієї точки зору, причина, чому адресне отруєння так часто спрацьовує, не у хитрості зловмисників, а у відсутності механізмів пом’якшення людських помилок у моделі облікового запису — система не питає, чи це новий об’єкт, не оцінює суму операції, не затримує виконання у разі підозр. Для EOA підпис дійсний, і транзакція має бути виконана.

Вже давно у традиційних фінансах існують механізми захисту: ліміти переказів, періоди охолодження, блокування підозрілих операцій, рівні доступу і відкликання дозволів. Вони базуються на простій, але реальній істині: людина не завжди раціональна, і облікова система має це враховувати.

Саме тому Account Abstraction (AA) починає займати своє місце у історії — це не просто технічне оновлення облікових записів, а системна переосмислення їхньої суті. Мета — перетворити обліковий запис із пасивного інструменту підпису у суб’єкта управління наміром.

Головна ідея — у логіці AA обліковий запис більше не рівнозначний приватному ключу. Він може мати кілька шляхів підтвердження, різні рівні дозволів для різних операцій, затримки у разі підозр, можливість відновлення контролю за умовами.

Це не суперечить ідеї децентралізації, а навпаки — підвищує її стійкість. Саме децентралізоване управління не означає, що користувач має нести відповідальність за кожну помилку назавжди, а що обліковий запис здатен захистити себе і пом’якшити наслідки помилок.

3. Еволюція облікових записів і їхній внесок у Web3

Я неодноразово наголошував: «За кожною успішною шахрайською схемою стоїть користувач, який перестає використовувати Web3, і без нових користувачів екосистема не має майбутнього».

З цієї точки зору, і безпекові організації, і гаманцеві продукти, і індустріальні гравці мають усвідомити, що «неправильна дія користувача» — це не просто його недбалість, а системна відповідальність за безпеку облікової системи, її здатність бути зрозумілою і пом’якшувати людські помилки.

Саме тому роль AA — історично важлива. Це не лише технічне оновлення, а системна зміна безпеки.

Зміни проявляються у тому, що відносини між обліковим записом і приватним ключем стають гнучкішими. Традиційно, мнемонічні фрази вважалися основним засобом самостійного управління у Web3, але практика показала, що цей підхід не дуже дружній до звичайних користувачів. AA через механізми соціального відновлення дозволяє розділити контроль над обліковим записом між кількома довіреними особами. Втрата пристрою або приватного ключа більше не означає втрату доступу — його можна відновити через довірених «захисників».

Навіть у поєднанні з Passkey, це дозволяє створити систему, що максимально нагадує реальні фінансові інститути щодо безпеки облікових записів (додаткове читання «Web3 без мнемонічних фраз: AA × Passkey — що визначить наступне десятиліття Crypto?»).

Ще одна важлива зміна — переробка механізму транзакційних операцій. У традиційних EOA Gas — це майже невидимий бар’єр для всіх операцій. AA через механізми Paymaster дозволяє стороннім оплачувати комісії або використовувати стабільні монети для оплати. Це зменшує бар’єри для користувачів і робить Web3 більш зручним і доступним.

Крім того, AA дозволяє об’єднувати кілька дій у одну атомарну операцію. Наприклад, у торгівлі на DEX раніше потрібно було окремо авторизувати, підписати, підтвердити транзакцію — тепер все можна зробити одним кліком, і вона або виконається цілком, або ні. Це економить ресурси і зменшує ризик невдалих операцій.

Ще глибше — у гнучкості управління дозволами. AA дозволяє створювати облікові записи з різними рівнями доступу, обмеженнями, чорними і білими списками. Навіть у разі компрометації приватного ключа, активи не будуть миттєво втрачені — система має резерви для захисту.

Звичайно, еволюція безпеки не зводиться лише до AA. Поточні гаманці, наприклад imToken, вже використовують функції збереження довірених адрес, що зменшує ризик помилок при переказах.

Ще важливий принцип — «Що бачиш — те і підписуєш» (What You See Is What You Sign). Це означає, що користувачі повинні бачити і розуміти, що саме вони підписують, щоб уникнути непорозумінь і шахрайства. У імToken і інших гаманцях це реалізовано через структуроване і зрозуміле відображення транзакцій перед підписом, що додає ще один рівень захисту.

Загалом, еволюція облікових записів — це фундаментальний крок у підготовці Web3 до масового використання. Вона змінює базові припущення, робить систему більш стійкою до людських помилок і підвищує довіру користувачів.

Саме тому AA — це не просто додатковий функціонал, а необхідність для переходу Web3 у нову еру. Це не лише технічна модернізація, а системна переорієнтація безпеки і управління.

Підсумовуючи, можна сказати, що 33.5 мільярдів доларів збитків — це своєрідний «учбовий внесок» галузі у 2025 році.

Це нагадує нам, що, коли обговорюємо регулювання і залучення традиційних інвестицій, важливо пам’ятати: якщо облікові записи залишаться у старій моделі «підписати і забути», то вся інфраструктура буде побудована на піску.

Можливо, справжня проблема не у тому, чи стане AA mainstream, а у тому, що без еволюції облікових систем Web3 ризикує залишитися на рівні експерименту без майбутнього.

Саме це і є найціннішим уроком безпеки, який залишає 2025 рік для всієї галузі.