Перейти к основному контенту

Ваш код в порядке — они идут за вашими ключами: Взгляд изнутри на смену вектора атак на криптоинфраструктуру стоимостью 2,2 миллиарда долларов

· 10 мин чтения
Dora Noda
Dora Noda
Software Engineer

Самая дорогая строка кода в истории криптовалют не была багом. Это была фишинговая ссылка.

В феврале 2025 года разработчик Safe{Wallet} кликнул по сообщению, которое казалось рутинным. В течение нескольких часов северокорейские оперативники захватили сессионные токены AWS, обошли многофакторную аутентификацию (MFA) и вывели $ 1,5 млрд из Bybit — крупнейшая кража в истории криптовалют. Ни одна уязвимость смарт-контракта не была использована. Ончейн-логика не дала сбоя. С кодом все было в порядке. С людьми — нет.

Отчет TRM Labs о криптопреступности за 2026 год подтверждает то, что предвещало это ограбление: эра эксплойтов смарт-контрактов как основной угрозы для криптоиндустрии закончена. Противники поднялись «выше по стеку», оставив поиски новых уязвимостей в коде ради компрометации операционной инфраструктуры — ключей, кошельков, сайнеров и панелей управления облаком, которые окружают в остальном безопасные протоколы.

Цифры говорят о суровой реальности

В 2025 году злоумышленники украли 2,87млрдврезультатепочти150различныххакерскихатакиэксплойтов.Нораспределениеэтихпотерьвыявляетреальныйсдвиг: 2,87 млрд в результате почти 150 различных хакерских атак и эксплойтов. Но распределение этих потерь выявляет реальный сдвиг: ** 2,2 млрд — 76 % всех украденных активов — пришлись на инфраструктурные атаки**, а не на эксплойты смарт-контрактов. Нападавшие нацеливались на приватные ключи, компрометировали учетные данные облачных сервисов и использовали уязвимости уровней оркестрации кошельков в централизованных организациях.

Парадокс поражает:

  • Количество инцидентов сократилось вдвое: с 410 в 2024 году до примерно 200 в 2025 году.
  • Убытки выросли: с 2,01млрддо2,01 млрд до 2,94 млрд.
  • Средний убыток на одно событие увеличился более чем в два раза: с примерно 5млндопочти5 млн до почти 15 млн.

Меньше атак, больше куш — характерный признак зрелого класса противников, который научился концентрировать огневую мощь на высокоценных целях.

Между тем, общий объем незаконных операций с криптовалютой в 2025 году достиг исторического максимума в $ 158 млрд, что на 145 % больше, чем в предыдущем году. Этот всплеск был вызван не мелкими преступниками, а связанными с государством акторами и сложными финансовыми сетями, где основным фактором стал обход санкций, связанных с Россией.

Почему злоумышленники поднялись выше по стеку

Этот переход имеет экономический смысл. Аудит смарт-контрактов значительно повзрослел. В период с 2020 по 2025 год индустрия вложила миллиарды в аудит кода — такие фирмы, как CertiK, Trail of Bits и OpenZeppelin, разработали систематические методологии, инструменты формальной верификации стали стандартом, а программы bug bounty создали экономические стимулы для обнаружения уязвимостей «белыми хакерами».

Результат? Поиск новой уязвимости смарт-контракта в топовом DeFi-протоколе теперь требует существенно больше усилий и опыта, чем три года назад. «Низко висящие фрукты» уже собраны.

Однако операционная инфраструктура не получила такого же внимания. Практики управления ключами сильно различаются в разных компаниях. Настройки безопасности облачных систем остаются непоследовательными. А люди — самое слабое звено в любой цепочке безопасности — остаются восприимчивыми к атакам социальной инженерии, которые не может предотвратить никакой аудит кода.

Для высококлассных противников расчет прост: зачем тратить месяцы на поиск малозаметного бага повторного входа (reentrancy), когда можно отправить фишинговое письмо разработчику с расширенным доступом к AWS и украсть $ 1,5 млрд за один день?

Северная Корея: самый опасный криптопротивник в мире

Ни одно обсуждение сдвига в сторону таргетирования криптоинфраструктуры не будет полным без упоминания Северной Кореи. Lazarus Group и их подгруппа TraderTraitor представляют собой самого изощренного и обеспеченного ресурсами криптопротивника на планете.

В 2025 году северокорейские хакеры украли как минимум $ 2,02 млрд в криптовалюте — это на 51 % больше в годовом исчислении и составляет около 60 % всей мировой кражи криптовалют. Это не был случайный хакинг. Это была национальная программа.

Атака на Bybit продемонстрировала их эволюционировавшую методологию. Оперативники TraderTraitor не искали баги в смарт-контрактах. Они выявили конкретного разработчика в Safe{Wallet} с расширенным доступом к системе, провели целевую кампанию социальной инженерии — вероятно, с использованием поддельных предложений о работе или инвестиционных возможностях — и убедили разработчика скачать вредоносное ПО. После этого они перехватили сессионные токены AWS — временные учетные данные, которые дают доступ к облачной инфраструктуре работодателя.

Крадя активные сессионные токены вместо паролей, злоумышленники полностью обошли MFA. Оказавшись внутри среды AWS компании Safe{Wallet}, они манипулировали процессом подписания транзакций, чтобы перенаправить Ethereum на сумму $ 1,5 млрд на подконтрольные им кошельки.

Этот паттерн атаки — социальная инженерия для получения первоначального доступа, боковое перемещение (lateral movement) через облачную инфраструктуру и манипулирование механизмами подписания — копирует методы целевых кибератак повышенной сложности (APT), направленных на традиционные финансовые институты. Разница в том, что операционная безопасность криптовалют еще не догнала уровень угрозы.

Программа выходит за рамки прямого хакинга. Оперативники КНДР внедряют ИТ-специалистов в криптокомпании под вымышленными именами, получая привилегированный доступ изнутри. Эти инсайдеры изучают внутренние системы, средства контроля безопасности и методы управления ключами — проводят разведку, которая позволяет осуществлять резонансные взломы, попадающие в заголовки новостей.

Январь на 300 миллионов долларов: доминирование фишинга в 2026 году

Если 2025 год продемонстрировал смещение акцента атак на инфраструктуру, то начало 2026 года подтвердило это как новую норму. По данным охранных фирм CertiK и PeckShield, только в январе 2026 года в результате фишинга и атак с использованием социальной инженерии у криптопользователей было похищено более 300 миллионов долларов.

Одна атака с имитацией бренда Trezor на сумму 284 миллиона долларов составила 71% январских убытков, что иллюстрирует, как кампании социальной инженерии могут приносить огромную прибыль при относительно низкой технической сложности.

ИИ ускоряет эту тенденцию. Злоумышленники теперь используют дипфейки, созданные ИИ, персонализированные фишинговые сообщения и автоматизированных скам-агентов для масштабного таргетинга жертв. Поддельные тесты при найме разработчиков — излюбленный метод Lazarus Group — стали почти неотличимы от легитимных процессов рекрутинга.

Вывод отрезвляет: по мере того как смарт-контракты становятся более безопасными, поверхность атаки решительно смещается в сторону людей, которые управляют этими контрактами, развертывают их и взаимодействуют с ними.

Парадокс аудита

Расходы криптоиндустрии на безопасность выявляют опасное неверное распределение ресурсов. Миллиарды текут в аудит смарт-контрактов — и эти аудиты заметно улучшили качество кода. Но данные показывают, что самые дорогостоящие атаки больше не связаны с багами в смарт-контрактах; это сбои в управлении ключами.

Рассмотрим следующую статистику: медианное время между прохождением аудита протоколом DeFi и его эксплойтом составляет 47 дней. В период с 2020 по 2025 год из протоколов, прошедших аудит, было выведено более 4,2 миллиарда долларов. Проблема была не в аудитах — они правильно проверяли код. Проблема была во всем, что окружает код: как хранились ключи, как распределялись полномочия по подписанию транзакций, как были настроены облачные среды и как сотрудники были обучены распознавать социальную инженерию.

Самые дальновидные фирмы по безопасности соответствующим образом расширили свою сферу деятельности. Современные системы аудита 2026 года теперь включают проверку управления ключами, аудит конфигурации управления (governance), анализ границ доверия между сетями (cross-chain trust boundary analysis), настройку мониторинга во время выполнения (runtime monitoring) и планирование реагирования на инциденты — это значительное расширение по сравнению с подходом на основе анализа кода и статического анализа, который определял эту область всего два года назад.

От защиты периметра к нулевому доверию

Безопасность в криптовалюте претерпевает тот же архитектурный переход, который традиционные финансы завершили за последнее десятилетие: от защиты периметра к модели нулевого доверия (Zero Trust).

В модели периметра безопасность сосредоточена на строительстве прочных стен — строгом аудите смарт-контрактов, формальной верификации и программах bug bounty. Все, что находится внутри периметра, считается доверенным по умолчанию. Эта модель терпит катастрофический крах, когда злоумышленник обходит периметр с помощью социальной инженерии, как это продемонстрировал взлом Bybit.

Архитектура нулевого доверия предполагает, что каждый запрос на доступ может быть вредоносным, независимо от его происхождения. Крупные DeFi-протоколы, такие как Aave и Lido, начали интегрировать мультисиг-кошельки и фреймворки нулевого доверия для борьбы с фишингом и компрометацией учетных записей.

Практические последствия для криптоорганизаций включают:

  • Мультипартийные вычисления (MPC) для управления ключами: устранение единых точек отказа в полномочиях на подписание
  • Аппаратные модули безопасности (HSM): изоляция криптографических операций от вычислительных сред общего назначения
  • Непрерывный мониторинг во время выполнения: обнаружение аномальных паттернов транзакций в режиме реального времени, а не только полагание на предрелизные аудиты
  • Культура осведомленности о безопасности: обучение каждого сотрудника — не только инженеров — распознаванию попыток социальной инженерии
  • Планы реагирования на инциденты: подготовка к взломам как к неизбежности, а не отношение к ним как к невозможному событию

Что это значит для DeFi с TVL более 100 млрд долларов

При наличии более 100 миллиардов долларов, заблокированных в протоколах DeFi, последствия смещения атак на инфраструктуру становятся экзистенциальными. Государственные субъекты, такие как северокорейская Lazarus Group, теперь рассматривают блокчейн-инфраструктуру как объекты разведки, а не только финансовые цели. Украденный исходный код и чертежи инфраструктуры из предыдущих атак позволяют проводить будущие, потенциально катастрофические эксплойты.

Реакция индустрии определит, сможет ли DeFi поддерживать приток институционального капитала. Институциональные инвесторы оценивают операционный риск иначе, чем розничные пользователи. Протокол с безупречным кодом смарт-контракта, но слабыми методами управления ключами представляет для опытного инвестора неприемлемый профиль риска.

Хорошая новость заключается в том, что решения существуют. Мониторинг во время выполнения, подписание на основе MPC, архитектура нулевого доверия и обнаружение угроз на базе ИИ — все это зрелые технологии. Проблема заключается в их внедрении, особенно среди протоколов среднего уровня и централизованных структур, которым не хватает ресурсов ведущих DeFi-платформ.

Путь вперед

Отчет TRM Labs за 2026 год рисует картину класса противников, который эволюционирует быстрее, чем защита индустрии. Код становится лучше. Инфраструктура вокруг него не поспевает за изменениями.

Три события будут определять безопасность криптовалют в ближайшие годы:

  1. Регуляторное давление: Поскольку нормативные базы, такие как MiCA в ЕС и акт GENIUS в США, предписывают стандарты операционной безопасности, протоколы будут вынуждены инвестировать в укрепление инфраструктуры наряду с качеством кода.

  2. Защита на базе ИИ: Те же возможности ИИ, которые позволяют проводить сложные фишинговые кампании, могут обеспечивать обнаружение аномалий, поведенческий анализ и автоматическое реагирование на инциденты. Гонка вооружений между атаками и защитой на базе ИИ определит следующую главу криптобезопасности.

  3. Рынки страхования и рисков: По мере созревания криптострахования андеррайтеры будут закладывать методы операционной безопасности в страховые премии, создавая финансовые стимулы для улучшения управления ключами, контроля доступа и возможностей реагирования на инциденты.

Главный посыл отчета TRM Labs ясен: периметр безопасности криптовалют расширился. Качество кода необходимо, но недостаточно. Следующее поколение криптобезопасности должно защищать не только смарт-контракты, но и весь операционный стек, который их окружает — от облачной инфраструктуры до психологии человека.

Противники уже поднялись выше по стеку. Пришло время защите индустрии последовать за ними.

Создание на базе безопасной блокчейн-инфраструктуры важно как никогда. BlockEden.xyz предоставляет RPC и API-сервисы корпоративного уровня в более чем 20 сетях со встроенной надежностью и мониторингом — тот тип инфраструктурного фундамента, который позволяет командам сосредоточиться на создании продукта, а не на беспокойстве об операционных рисках. Изучите наш маркетплейс API, чтобы начать работу.

Share on Twitter