Аналитики SlowMist бьют тревогу по поводу уязвимостей на бирже с ежедневным объемом торгов в 3,7 млрд долларов.

Компания SlowMist, специализирующаяся на безопасности блокчейна,dentсерьезные уязвимости на двух криптовалютных биржах, которые, по ее данным, затрагивают безопасность средств на их платформах. 

Основатель SlowMist, использующий псевдоним Evilcos, выразил разочарование по поводу отсутствия ответа. 

«Неизвестные биржи действительно ненадежны», — написал он на X. «Наша команда безопасности обнаружила серьезные уязвимости на двух биржах (напрямую влияющие на безопасность средств), но мы не смогли ни с кем связаться, и даже публичные упоминания остались без ответа».

По данным Evilcos, рассматриваемые биржи обрабатывают значительные ежедневные объемы торгов: одна из них , по данным Evilcos , управляет суточным объемом торгов в 3,7 миллиарда долларов, а другая — примерно 240 миллионами долларов .

Попытки раскрытия информации были отклонены.

Компания SlowMist направила уведомления о рисках зарегистрированной на Сейшельских островах бирже Azbit и турецкой бирже ICRYPEX Global 16 и 17 декабря соответственно. Компания также заявила, что пыталась связаться с обеими платформами посредством личных сообщений и публичных публикаций, следуя стандартной практике ответственного раскрытия информации, но не получила ответа.

Компания ICRYPEX, основанная в 2018 году и имеющая лицензии на предоставление услуг в сфере виртуальных активов в двух странах Европейского союза, сообщает об обслуживании миллионов пользователей в более чем 30 странах.

Компания Azbit была основана в конце 2019 года и работает на Сейшельских островах; однако ранее в этом году регулирующий орган Сейшельских островов заявил, что «компания не имеет и не имела разрешения на деятельность в соответствии с Законом о поставщиках услуг виртуальных активов 2024 года и является просто международной коммерческой компанией («IBC»), зарегистрированной в соответствии с Законом о IBC».

Невозможность установить контакт побудила SlowMist предпринять необычный шаг, публично обнародовав обнаруженные уязвимости до их устранения, что вызывает некоторое беспокойство, хотя можно предположить, что соответствующие биржи уже работают над их устранением. 

Однако публичное заявление или признание результатов исследования SlowMist в значительной степени помогут успокоить их клиентов.

Проблемы безопасности, распространенные в масштабах всей отрасли.

Этотdent произошел на фоне сохраняющихся проблем с безопасностью в криптовалютном секторе. В годовом отчете SlowMist за 2024 год зафиксировано 410dent, повлекших за собой убытки на сумму более 2,013 миллиарда долларов.

Компания CertiK , сообщила, что в ноябре 2025 года криптовалютные биржи потеряли более 29 миллионов долларов, заняв второе место в списке по объему убытков после децентрализованных финансов (DeFi).

В соответствии с передовыми практиками, разработчикам криптовалют рекомендуется создавать контактные точки для сообщения о проблемах безопасности, включая долгосрочные открытые ключи для безопасной связи.

Будут ли представители бирж связываться с ними?

Опыт SlowMist, когда пользователи обращались за помощью, но не получали ответа, хотя и не является уникальным, показывает, что даже устоявшиеся платформы обмена информацией со значительной пользовательской базой могут испытывать недостаток в адекватных каналах для получения критически важной информации в области безопасности.

Это также вызывает вопросы о готовности криптовалютных бирж оперативно реагировать на сообщения об уязвимостях.

Компания SlowMist сотрудничала с крупными биржами, включая Binance, OKX, HTX и Crypto.com, что подтверждает достоверность ее оценок безопасности и помогает устранять выявленные ею пробелы.

В прошлом месяце Cryptopolitan сообщило , что компания SlowMist провела расследование, в ходе которого были обнаружены уязвимости в NOFX AI, системе торговли фьючерсами на криптовалюты с открытым исходным кодом, построенной на основе архитектуры больших языковых моделей DeepSeek и Qwen, а также поделилась рекомендациями по решению этой проблемы. 

В отраслевых рекомендациях по ответственному раскрытию информации обычно говорится, что заинтересованные стороны должны ответить в течение двух рабочих дней с момента первого обращения. Если после нескольких попыток ответа не поступает, исследователи в области безопасности часто публикуют информацию по данному вопросу, чтобы обеспечить прозрачность, особенно когда речь идет о финансировании.

На момент публикации ни ICRYPEX, ни Azbit не отреагировали на уведомления о безопасности и не сделали публичных заявлений относительно уязвимостей.