Криптовалюты и NFT

На Standoff впервые атаковали цифровой рубль — и нашли дыры

На Standoff впервые атаковали цифровой рубль — и нашли дыры

На юбилейной кибербитве Standoff в Москве участники впервые атаковали прототип цифрового рубля и довольно быстро нашли в нём уязвимости. Не понадобились какие-то экзотические приёмы: всё упёрлось в стандартные пароли, отключённую проверку подписей и слабое разграничение прав. Для Банка России и банков это неприятная история, но с пользой: массовое внедрение цифрового рубля всё ещё идёт очень осторожно.

О результатах «Коду Дурова» рассказали в «Совкомбанк Технологиях», которые выступили организатором соревнований. Десятая Standoff прошла с 16 по 19 июня в московском «Кибердоме»: 23 команды из шести стран атаковали виртуальное государство с банками, заводами, энергетикой и телекомом. Одним из главных нововведений стал цифровой рубль, собранный на полигоне по модели, близкой к реальной: с центральной платформой ЦБ, банками-посредниками и обменом сообщениями по стандарту ISO 20022 на отечественном банковском ПО.

И именно эта близость к боевому контуру и дала результат. Вылезли обычные ошибки конфигурации, те самые, что в реальных системах встречаются куда чаще, чем громкие «нулевые дни». Участники говорят, что банки регулярно ломаются из-за паролей в конфигурационных файлах и логах, ключей на серверах и токенов, забытых в тестовых скриптах.

По словам Павла Чернышева, начальника управления анализа защищённости Совкомбанка и субкапитана DreamTeam по банковскому направлению, полигон дал возможность проверить технологию, которая ещё не вышла в массовую эксплуатацию. Для цифрового рубля это особенно чувствительно: архитектура завязана сразу на ЦБ, коммерческие банки и обмен юридически значимыми сообщениями. Ошибка тут стоит дороже обычного сбоя в банковском сервисе.

Всего на полигоне в семи отраслях зафиксировали 245 критических событий. Больше всего досталось телекому — там произошло 74 инцидента. Самым защищённым сектором оказался ритейл: командам удалось провести только семь успешных атак. Победу в восьмой раз взяла DreamTeam из «Совкомбанк Технологий» с результатом 148 535 очков.

Как тестировали цифровой рубль

Цифровой рубль Банк России развивает как третью форму денег наряду с наличными и безналичными средствами. Пилот с реальными операциями стартовал ещё в 2023 году, а в 2024-м регулятор расширял круг банков и пользовательские сценарии, включая переводы и оплату товаров. До массового запуска проект так и не дошёл: и регулятор, и рынок несколько раз говорили, что с такой инфраструктурой лучше не спешить.

Поэтому атака на полигоне выглядит не курьёзом, а нормальной частью подготовки. Центральные банки по всему миру тестируют цифровые валюты именно в моделируемых средах, прежде чем выпускать их в широкий оборот. По данным Atlantic Council, к середине 2026 года более 130 стран и валютных союзов исследовали или пилотировали CBDC, а часть проектов уже упёрлась в безопасность, приватность и интеграцию с банками.

Есть и чисто технический слой. Стандарт ISO 20022, который использовали на полигоне, давно стал базовым языком финансовых сообщений для платёжных систем и трансграничных расчётов, включая миграцию SWIFT. Но сам по себе стандарт ничего не защищает: если администратор оставил пароль по умолчанию или отключил проверку подписи, красивая архитектура быстро превращается в учебный материал для атакующей команды.

Для банков тут нет никакой сенсации, скорее старая и неприятная практика. Самые дорогие инциденты в финансовом секторе до сих пор часто начинаются не с хитрой криптографии, а с утёкшего секрета, лишних прав у сервиса или плохо настроенного тестового контура. Поэтому такие соревнования полезны не только как шоу для специалистов, но и как сравнительно дешёвая проверка того, что сломается первым в реальной системе.

Дальше всё будет зависеть от того, как быстро банки закроют именно такие базовые дыры. Если ЦБ продолжит расширять пилоты, результаты вроде Standoff станут для рынка ориентиром: уязвимости в новой платёжной инфраструктуре удобнее чинить на полигоне, чем после выхода к миллионам клиентов.

Источник: Kod
Илья Игнатов
Технический журналист и новостник. Окончил МТУСИ по специальности «Информационная безопасность». Пишет о железе, софте и потребительской электронике с 2018 года. Верит, что хорошая новость — это когда всё по делу и без воды.

Leave a reply