Опечатка на $43B в Bithumb — внутренний оператор стал главной угрозой

Внутренняя transfer-система Bithumb, по корейским media-репортам и последующим операционным disclosure-ам Bithumb, имеет форму для перемещения балансов между внутренними типами аккаунтов — рутинная treasury-операция. Форма имеет поле asset-type (BTC, ETH, KRW и т.д.) и поле amount. Поле asset-type было редактируемым как free text на той версии интерфейса, которую использовал оператор; оно не включало строгий allow-list с input validation против underlying ledger schema.

Оператор намеревался записать KRW-баланс transfer. Они напечатали BTC, имея в виду KRW. Поле amount было поставлено на значение, appropriate для won-transfer — скажем, 620,000, в диапазоне десятков миллионов won, нормальный internal-transfer размер для объёма Bithumb. С BTC как asset type, 620,000 BTC были кредитованы.

Система не отклонила запись. Система не пометила asset-amount ratio как anomalous (620,000 BTC — кратное всех BTC, когда-либо добытых, доступных для торговли в любом single venue). Система просто обработала запись, и credit распространился.

Ошибка была поймана быстро — в течение минут — потому что account balances у пользователей не совпадали с expected values, и потому что internal reconciliation tooling действительно пометил discrepancy. Но "поймана в течение минут" — не то же самое, что "поймана до propagation". Корейские регуляторы рассмотрели propagation event как proximate trigger, не resolution time.

FIU-действие было суровым по любой мере — хотя оно и не являлось прямым следствием fat-finger инцидента. Шестимесячная operational suspension — практически экзистенциальная угроза для крупной биржи. Bithumb — одна из крупнейших крипто-бирж в Корее — вместе с Upbit, Korbit и Coinone — и шестимесячный gap позволил бы конкурентам permanently поглотить её market share.

Штраф $24.6 миллиона был наложен за 6.65 миллиона KYC-нарушений, выявленных в ходе проверок 2024–2025 годов на пяти крупных корейских биржах, — по global enforcement standards, крупным, но не уникальным. Корейские финансовые penalties за крупные AML-нарушения исторически шли в том же диапазоне.

Ответ Банка Кореи был структурным. BoK призвал к:

1. **Kill switches** на всех корейских крипто-биржах: единый emergency-stop control, останавливающий торговлю и withdrawals при срабатывании, с audit-quality logging trigger-а. 2. **Five-minute reconciliation циклы**: end-to-end balance reconciliation между user-facing dashboards, internal ledger и underlying custody, каждые пять минут, с anomaly alerting. 3. **Circuit breakers** на отдельных symbol transfers: лимиты на размер single internal или external transfer, требующие manual approval сверх порога. 4. **Mandatory input validation** на operator-facing tools: typed-asset enums, schema-level constraints, allow-list dropdowns на критических полях.

Корейский суд отменил шестимесячную suspension 1 мая 2026, постановив, что FIU превысил дискрецию. Суд оставил структурные реформы в силе — и Bithumb, по публичной отчётности, имплементировал все четыре.

Japan's Financial Services Agency, наблюдая корейский ответ, использовала кейс Bithumb как часть rationale для предложенного 2026 liability-reserve mandate. Японские крипто-биржи будут обязаны держать резервы ¥2 миллиарда ($12.7M) до ¥40 миллиардов ($255M), масштабированно к объёму, против operational failures. Японское предложение явно ссылается на DMM Bitcoin (коллапс после хака в мае 2024) и кейс Bithumb как кейсы, которые резервы призваны покрыть.

Bithumb event отличается от Bybit event в трёх важных аспектах.

**Нет внешнего атакующего.** Bybit был sophisticated external compromise; Bithumb — internal operator error. Большинство CEX security investment в 2024–2025 было направлено на external-attacker модель — signing infrastructure, cold-wallet hardening, social-engineering training. Failure mode Bithumb не был ни одним из этих.

**Нет criminal intent.** Никто в Bithumb не получил выгоды от ошибки. Никто не пытался defraud. Оператор сделал typing-ошибку. Архитектура системы позволила этой ошибке распространиться. Это operational hygiene, не adversarial defense.

**Нет фактической потери.** Bithumb не потерял денег. Пользователи не потеряли денег в net (некоторые пользователи увидели очень крупные временные балансы; эти балансы были reverse-нуты). Регуляторная суровость — полностью о systemic risk, не реализованном loss. Это регуляторы делают explicit, что само существование failure mode — это harm.

Для compliance-офицеров это самый важный сдвиг. CEX-риск в 2026 теперь обрамлён как combined external-and-internal риск. CEX, на который вы полагаетесь для settlement, рискует вашими активами не только против внешних атакующих, но против собственной operational hygiene.

Если вы оперируете OTC desk, market maker, institutional settlement function или treasury, полагающийся на централизованную биржу для какой-либо части trade flow, это вопросы для 2026:

1. **Какая input validation на operator-facing tools для asset-type полей?** Если ответ "free text input", уходите. 2. **Какой ваш end-to-end reconciliation cycle?** Пять минут — новый корейский floor. Daily reconciliation, common на меньших биржах, больше не приемлем для institutional flow. 3. **У вас есть kill switch?** Один audited emergency-stop, останавливающий все trading и withdrawals при срабатывании? Если нет, у вас нет чистого rollback-пути во время fat-finger event. 4. **Какой ваш single-transfer threshold для manual review?** Если ответ "у нас нет такого" или "выше какого-то legacy-лимита, установленного в 2019", вы видите ту же архитектуру, что произвела Bithumb. 5. **Какие ваши transfer-size anomaly alerts?** Они срабатывают на relative-to-historical-baseline anomalies или только на absolute thresholds? Transfer, нормальный по won-размеру, но огромный по BTC-размеру, — кейс, где relative-to-symbol anomaly detection важен. 6. **Какое ваше insurance или reserve coverage для operational failure?** Japan's proposed mandate — одна модель; другие биржи self-insure в varying degrees. Сумма и структура coverage — часть вашего counterparty risk.

По каждому вопросу спрашивайте documented procedures, не verbal assurance. Кейс Bithumb продемонстрировал, что "у нас есть эти контролы" и "эти контролы in fact in place в момент ошибки" — разные утверждения.

Первичная функция Sanctuary — wallet и address screening, не internal operations audit. Мы не можем сказать вам, был ли input-validation слой Bithumb ужесточён.

Что мы можем сказать вам — это address-side риск на каждом CEX-депозите или withdrawal, который вы обрабатываете. 2026 тренд в CEX-риске имеет две нити: внешние атакующие (в основном DPRK-attributed, бьющие по протоколам и подписантам) и internal operational failures (Bithumb-класс, бьющие по reconciliation и validation). Sanctuary покрывает первую нить напрямую. Для второй наша роль downstream: мы оцениваем адреса, взаимодействующие с CEX withdrawal pipeline, и если появляются anomalous patterns — например, внезапная batch идентично-сумм-withdrawals в окно system anomaly — наш pipeline выносит паттерн.

CEX с хорошим internal control и чистым external attack record всё равно — CEX, где кошельки, получающие withdrawals, могут нести риск, который нужно screen-ить. Два слоя защиты — internal hygiene и external screening — должны оцениваться как пара, не как substitutes.

После Bybit урок — укрепить cold wallet. После Bithumb урок — укрепить input form.

Operational risk всегда существовал в CEX. 2026 regulatory response — kill switches, five-minute reconciliation, mandatory input validation, liability reserves — формализует то, что должно было быть industry practice годами. Compliance-офицеры в counterparty desks должны относиться к этому как к table-stakes due-diligence items, не optional extras.

Следующая major CEX loss в 2026, вероятно, будет ни DPRK external breach, ни fat-finger ошибка точной формы Bithumb. Это будет нечто на другой оси, подходящей тому же паттерну: failure mode, для которого регулятор ещё не требовал coverage. Планируйте соответственно.