Утечки ключей и взломы кастодиальных систем обошлись клиентам криптосервисов в более чем $1,5 млрд за последние два года. Европейское управление по ценным бумагам и рынкам (ESMA) объявило о масштабной проверке поставщиков услуг по хранению криптоактивов, чтобы выявить системные уязвимости. Регулятор намерен оценить, как участники рынка управляют ключами, реагируют на инциденты и зависят от сторонних технологических провайдеров. Это первый системный аудит кастодиальных рисков после полного перехода криптоиндустрии ЕС под надзор регламента MiCA.
Три направления аудита: ключи, инциденты и подрядчики
ESMA сосредоточится на трёх ключевых аспектах работы кастодианов. Первый — управление криптографическими ключами: как хранятся приватные ключи, кто имеет к ним доступ и какие процедуры восстановления предусмотрены. Второй — готовность к инцидентам: насколько быстро и эффективно компании реагируют на взломы, утечки или сбои. Третий — зависимость от внешних технологических партнёров, включая облачные сервисы и поставщиков программного обеспечения.
Аудит затронет все категории кастодиальных провайдеров, действующих в юрисдикции ЕС: от крупных бирж до специализированных депозитариев. Регулятор намерен выявить системные уязвимости, которые могут угрожать средствам клиентов.
- Проверка процедур генерации и хранения приватных ключей.
- Оценка планов реагирования на инциденты безопасности.
- Анализ контрактов и зависимости от сторонних поставщиков технологий.
Почему MiCA дал ESMA новые рычаги давления
Регламент MiCA (Markets in Crypto-Assets) вступил в полную силу в конце 2024 года и установил единые правила для криптоиндустрии ЕС. До его принятия кастодиальные сервисы регулировались разрозненными национальными нормами, что создавало лазейки для недобросовестных участников. Теперь ESMA впервые получает полномочия проводить скоординированные проверки на уровне всего союза.
По данным регулятора, за последние два года утечки ключей и взломы кастодиальных систем стали причиной потери более $1,5 млрд клиентских средств. ESMA подчёркивает, что большинство инцидентов были связаны именно с ошибками в управлении ключами или чрезмерной зависимостью от непроверенных сторонних решений.
Инвесторы, использующие кастодиальные сервисы в ЕС, могут столкнуться с ужесточением требований к верификации и дополнительными комиссиями за аудит.
Глобальный контекст и риски для участников из СНГ
Инициатива ESMA продолжает глобальный тренд на ужесточение контроля за хранением криптоактивов. Ранее аналогичные проверки начали SEC в США и FCA в Великобритании. Европейский регулятор выбрал момент сразу после перехода на MiCA, чтобы зафиксировать «базовую линию» compliance-практик на новом правовом поле.
Для компаний из СНГ, работающих с европейскими кастодианами, привычные схемы хранения активов могут потребовать пересмотра. Особенно это касается организаций, использующих прокси-сервисы или мультиподписные кошельки, управляемые сторонними провайдерами. Вероятно, после публикации результатов аудита часть мелких кастодианов покинет рынок из-за неспособности выполнить новые требования.
ESMA планирует опубликовать предварительные итоги проверки в третьем квартале 2025 года.
Результаты аудита могут повлиять на условия страхования кастодиальных рисков и на требования к минимальному капиталу провайдеров. Некоторые аналитики ожидают, что ESMA введёт обязательное разделение горячих и холодных кошельков с фиксированными лимитами на горячее хранение.
Будет ли ESMA публиковать названия конкретных компаний, допустивших нарушения, пока не объявлено. Однако регулятор уже дал понять, что в случае выявления системных проблем последуют предписания об устранении недостатков в срок до шести месяцев. Останется ли рынок кастодиальных услуг ЕС консолидированным вокруг десятка крупных игроков — пока открытый вопрос.