Иллюзия децентрализации: как ошибка базы данных одной компании раскрыла уязвимость инфраструктуры крипто

18 ноября 2025 года примерно 20% интернета вышли из строя — не из-за кибератаки, а из-за рутинного обновления разрешений базы данных, которое вызвало скрытую ошибку в Cloudflare, компании, которая «защищает» интернет от подобных сбоев.

В течение нескольких минут началась цепная реакция: Twitter рухнул посреди твита, ChatGPT завис, Spotify перестал транслировать музыку. А в криптомире? Торговые платформы исчезли, блокчейн-обозреватели вышли из строя, интерфейсы кошельков возвращали ошибку 500. В течение пяти с половиной часов индустрия, позиционирующая себя как устойчивую к цензуре и непобедимую, полностью остановилась.

Жестокая ирония? Сами блокчейны продолжали работать идеально. Bitcoin добывал блоки. Ethereum обрабатывал транзакции. Не было сбоев консенсуса, не было протокольных сбоев. Пользователи просто не могли получить доступ к тому, что, как они полагали, «принадлежит» им.

Что на самом деле произошло: техническое недоразумение с катастрофическими последствиями

Cloudflare не хостит сайты и не продает вычислительные мощности, как другие крупные облачные провайдеры. Вместо этого он выступает в роли контроллера интернет-трафика — стоя между пользователями и сервисами в 120 странах. Компания обрабатывает примерно 20% глобального интернет-трафика через свою глобальную сеть.

18 ноября в 11:05 UTC Cloudflare внесло, казалось бы, рутинное изменение в кластер базы данных ClickHouse. Цель была разумной: повысить безопасность и надежность, обновив контроль доступа. Но именно здесь сломалась псевдо-устойчивость современной инфраструктуры.

Запрос к базе данных, который генерировал конфигурации защиты от ботов, не включал фильтр по именам баз данных. Это означало, что запрос начал возвращать дублирующиеся записи — одну из базы данных по умолчанию, другую — из нижележащего слоя хранения. Конфигурационный файл внезапно увеличился в размере с примерно 60 до более 200 элементов.

Инженеры Cloudflare установили жесткий лимит в 200 элементов, полагая, что это значительно превышает их фактическое использование. Классическая инженерная логика: установить щедрый запас безопасности и считать, что он никогда не будет превышен. Пока не случится.

Перегруженный файл вызвал сбой системы защиты от ботов — ключевого компонента всей системы управления Cloudflare. Когда одна система выходит из строя, за ней следуют зависимые. Система мониторинга состояния, которая сообщает балансировщикам нагрузки «какие серверы работают», тоже вышла из строя. Трафик продолжал поступать на крайние узлы Cloudflare, но маршрутизировать его было невозможно.

Первые несколько часов инженеры Cloudflare думали, что они подверглись масштабной распределенной атаке отказа в обслуживании. Система циклически переключалась между «работает» и «полностью сломана» каждые пять минут, поскольку проблемная конфигурация регенерировалась. Но атаки не было — только отсутствующий фильтр базы данных и ложное предположение.

К 17:06 UTC правильная конфигурация была развернута по всему миру. Сервис восстановлен. Кризис предотвращен.

Криптоиндустрия не может праздновать — она оказалась разоблачена

Пока платформы Web2 пострадали первыми и наиболее заметно — прерывание потоков Spotify, разрывы игровых сессий, сбои систем доставки еды — криптомир столкнулся с более неприятной правдой.

Несколько платформ обмена не смогли загрузиться. Блокчейн-обозреватели вышли из сети. Сервисы кошельков не работали. Интерфейсы торговых платформ показывали ошибки. И вся индустрия хотела написать об этом в Twitter — только чтобы обнаружить, что и Twitter тоже не работает.

Это создало странную тишину. Во время сбоя AWS в октябре крипто-твиттер часами высмеивал «уязвимость инфраструктуры» и «риск централизации». А в этот раз? Никто ничего не мог высмеять. Платформа, которую используют для критики точек отказа, сама стала точкой отказа.

Вот неприятная часть: самые протоколы блокчейна никогда не пострадали. Транзакции могли обрабатываться в цепочке. Консенсус продолжался. Вся техническая основа «бес доверия, цензуроустойчивых финансов» работала точно так, как задумано.

Но это не имело значения. Потому что без доступа функционирующий блокчейн — это всего лишь исторический архив, который никто не может прочитать.

Модель, которую никто не ломает: четыре крупных сбоя, одна и та же причина

• Июль 2019: сбой Cloudflare. Coinbase офлайн, рыночные данные недоступны.
• Июнь 2022: очередной сбой Cloudflare. Несколько крипто-платформ приостановили работу.
• 20 октября 2025: сбой AWS длительностью 15 часов. Сбой DynamoDB вызывает каскадные сбои зависимых сервисов.
• 18 ноября 2025: снова Cloudflare. Пять с половиной часов масштабных сбоев.

Четыре крупных инцидента инфраструктуры примерно за 18 месяцев. Вывод должен быть очевиден: централизованная инфраструктура создает централизованные точки отказа.

Но индустрия этого так и не усвоила.

Почему «децентрализация» остается маркетинговым термином, а не технической реальностью

Криптоиндустрия построила всю свою философию на одном постулате: устранить посредников, убрать точки отказа, создать системы, которые нельзя остановить.

Реальность выглядит иначе.

Текущая «цепочка инфраструктурной зависимости» крипты напоминает шутку, которую боятся рассказать:

• Крупные биржи зависят от Amazon Web Services
• DNS и доставка контента — от Cloudflare
• Блокчейн-обозреватели — от Cloudflare
• Аналитические платформы — от Cloudflare
• Интерфейсы кошельков — от аналогичной централизованной инфраструктуры

Когда Cloudflare обновляет конфигурацию базы данных и ломает защиту от ботов, вся индустрия — якобы построенная для предотвращения именно этого сценария — выходит из строя.

Псевдо-децентрализация очевидна: уровень протокола действительно распределен, а уровень доступа — через три компании, контролирующие примерно 60% облачной инфраструктуры (Amazon Web Services — 30%, Microsoft Azure — 20%, Google Cloud — 13%).

Три компании. Две из них пережили сбои в один и тот же месяц. Это не резервирование — это концентрированная уязвимость.

Экономика халатности

Почему это продолжается? Почему крипто-платформы не строят инфраструктуру, предполагая сбои?

Ответ печально прост: это дорого и сложно.

Создание собственной инфраструктуры означает покупку оборудования, обеспечение стабильного электропитания, поддержание выделенной пропускной способности, найм специалистов по безопасности, организацию географической избыточности, разработку планов восстановления после сбоев и постоянный мониторинг. Это требует значительных капиталовложений и операционных затрат.

Использование Cloudflare — это просто ввод номера кредитной карты и развертывание за минуты.

Стартапы ориентируются на скорость выхода на рынок. Инвесторы требуют капитальной эффективности. Все выбирают удобство вместо надежности.

Пока удобство не станет настолько неудобным — а, судя по четырем крупным сбоям за 18 месяцев, этого еще не произошло — менять поведение не собираются.

Децентрализованные альтернативы есть: Arweave для хранения, IPFS для распределенной передачи файлов, Akash для вычислительных ресурсов, Filecoin для децентрализованного хостинга. Но ни одна из них не получила значимого распространения, потому что они медленнее, сложнее и зачастую дороже централизованных решений.

Индустрия говорит о децентрализации, но систематически выбирает централизованные решения, когда возникает реальный компромисс между принципами и удобством.

Что видят регуляторы — и почему они начинают обращать на это внимание

Три крупных сбоя за 30 дней привлекли внимание политиков, которые теперь видят то, что должно было быть очевидным: несколько технологических компаний могут отключить критическую инфраструктуру.

Вопросы, которые задают:

• Являются ли компании, контролирующие 20% глобального интернет-трафика, «системно важными учреждениями»?
• Следует ли регулировать интернет-инфраструктуру как общественные коммунальные услуги?
• Что происходит, когда «слишком большие, чтобы обанкротиться» применимо к технологическим платформам?
• Где резервирование, если сбои распространяются на якобы независимых провайдеров?

Во время предыдущих сбоев инфраструктуры эксперты по политике говорили прямо: когда один поставщик выходит из строя, медиа становится недоступным, защищенные коммуникации прекращают работать, а инфраструктура цифрового общества рушится.

Правительства начинают понимать, что концентрация интернет-инфраструктуры создает системный риск.

Но только регулирование не решит проблему. Настоящее решение — добровольное внедрение децентрализованной инфраструктуры самой индустрией — переход, для которого нужно, чтобы боль от централизованных сбоев превысила удобство централизованных решений.

Вопрос, на который никто не хочет отвечать

Криптоиндустрия не «провалилась» 18 ноября. Протоколы блокчейна продолжали работать. Узлы оставались в консенсусе. Транзакции оставались валидными.

Коллективное самообман индустрии потерпел неудачу.

Обман состоит в вере, что:

• Можно построить «неостановимые» приложения на «остановимой» инфраструктуре
• «Цензуроустойчивость» что угодно значит, когда три компании контролируют канал доступа
• «Децентрализация» реальна, когда один файл конфигурации Cloudflare определяет, смогут ли миллионы совершать транзакции
• «Бес доверия системы» работают, когда доверие передается централизованным посредникам

Если блокчейн продолжает производить блоки, но пользователи не могут отправлять транзакции, он действительно функционирует? Технически — да. Практически? Нет.

У индустрии нет плана действий на случай, если инфраструктура выйдет из строя в самый неподходящий момент — во время рыночного краха, когда каждая секунда на счету, или когда системы идентификации одновременно отключены.

Текущая «стратегия восстановления» — ждать, пока Cloudflare исправит проблему. Пока AWS восстановит сервис. Пока Microsoft выпустит патч. Надеяться, что сбой не совпадет с критическим рыночным событием.

Это не план. Это паралич, маскирующийся под бизнес-процессы.

Уверенность в следующем сбое

Сбой 18 ноября будет повторен. Он может произойти в AWS, Azure, Google Cloud или из-за очередного изменения конфигурации Cloudflare.

Это может случиться уже в следующем месяце. Уже на следующей неделе.

Базовая инфраструктура не изменилась. Зависимости остались те же. Стимулы индустрии — те же. Централизованные решения по-прежнему дешевле, быстрее и удобнее децентрализованных.

Ничего не изменится в структуре, чтобы предотвратить следующий сбой, потому что для этого нужно инвестировать в сложность и избыточность, которые не дают видимых преимуществ до момента их необходимости.

Когда этот момент наступит — когда сбой совпадет с важным рыночным событием, или с системами идентификации, или с максимальным финансовым ущербом — индустрия снова обнаружит, что «децентрализация» — это скорее философия, чем архитектура.

И те, кто строил приложения, исходя из предположения, что инфраструктура всегда будет доступна, усвоят это горьким опытом: предположение было построено на песке.