Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

Только в январе 2026 года фишинговые атаки украли более 311 миллионов долларов у крипто-пользователей. К тому времени, когда большинство жертв понимали, что их кошельки скомпрометированы, средства уже проходили через миксеры и кросс-чейн мосты. Долгие годы правоохранительные органы действовали с запозданием — расследуя преступления месяцы спустя, восстанавливая ничтожную часть средств.

Затем пришла Operation Atlantic.

Запущенная 16 марта 2026 года из штаб-квартиры Национального агентства борьбы с преступностью Великобритании в Лондоне, Operation Atlantic объединила Служба Секретных служб США, канадские правоохранительные органы, компании по аналитике блокчейна Chainalysis и TRM Labs, а также крипто-биржи Coinbase и Kraken для беспрецедентной недельной спринт-операции. Результат: 12 миллионов долларов заморожено, 45 миллионов долларов мошенничества отслежено, 20 000 кошельков жертв определено в 30 странах и более 120 мошеннических доменов отключено — все это за семь дней.

Это было не типичное расследование. Это было доказательством концепции того, что государственно-частные партнерства могут переместить безопасность крипто с реактивной судебной экспертизы на вмешательство в реальном времени.

Что такое Approval Phishing — и почему это так опасно?

В отличие от традиционного фишинга, который крадет учетные данные, approval phishing использует архитектуру разрешений, встроенную в сами смарт-контракты. Жертвы привлекаются тем, что кажется легитимными инвестиционными возможностями, NFT минтингом или платформами DeFi yield. Они подписывают транзакцию, которая выглядит обычной, но на самом деле предоставляет злоумышленнику неограниченное разрешение на трату токенов кошелька.

Злоумышленнику не нужен ваш приватный ключ. У него уже есть ваше разрешение.

То, что делает approval phishing особенно коварным, — это временная задержка. Злоумышленники часто ждут дни или недели перед тем, как опустошить кошельки, делая практически невозможным для жертв связать злоумышленническое разрешение с кражей. К тому времени, когда средства исчезают, жертвы могли подписать десятки легитимных транзакций, закопав мошенническое разрешение глубоко в историю транзакций.

Согласно отчету Chainalysis о криптокриме за 2026 год, approval phishing и злоупотребление авторизацией остаются доминирующими векторами атак в криптоэкосистеме. Эта техника масштабируется эффективно: одна фишинговая кампания может генерировать тысячи вредоносных разрешений, и злоумышленники могут опустошать кошельки по своему графику.

Внутри Operation Atlantic: неделя напряженной работы

Operation Atlantic была не месячным медленным расследованием. Она была разработана как сосредоточенная операционная спринт-сессия, объединившая агентства и партнеров частного сектора физически в штаб-квартире NCA в Лондоне.

Участники включали:

• Правоохранительные органы: Служба Секретных служб США, Национальное агентство борьбы с преступностью Великобритании (NCA), канадские органы
• Аналитика блокчейна: Chainalysis и TRM Labs обеспечили отслеживание транзакций и кластеризацию кошельков
• Крипто-биржи: команда Coinbase Global Intelligence и Kraken внесли данные о биржах, идентификацию кошельков и возможности замораживания средств

Операция работала в три фазы:

Фаза 1 — Идентификация. Используя аналитику блокчейна, следователи отобразили паттерны транзакций approval phishing на нескольких цепях. Они определили более 20 000 адресов кошельков, связанных с жертвами мошенничества в более чем 30 странах.

Фаза 2 — Вмешательство. Вместо построения дел для будущего судопроизводства, команда отдала приоритет защите жертв в реальном времени. Более 3 000 человек, определенных как активно подверженные риску, были непосредственно контактированы — им предупредили, что их кошельки скомпрометированы, и дали рекомендации по отзыву вредоносных разрешений до того, как злоумышленники смогли бы опустошить оставшиеся средства.

Фаза 3 — Замораживание. Работая с биржами и издателями стейблкойнов, 12 миллионов долларов украденных средств были заморожены в точках выхода, где злоумышленники пытались обналичить. Дополнительные 33 миллиона долларов мошеннических потоков были отобраны и отмечены для продолжающегося расследования. Более 120 веб-доменов, используемых мошенниками, были определены и отключены.

Парадигма сдвига: от пост-хака к пред-стоку

Традиционная временная шкала расследования крипто-криме выглядит примерно так: происходит взлом, жертвы сообщают об убытках неделями позже, следователи тратят месяцы на отслеживание средств, и к тому времени, когда активы заморожены — если они вообще заморожены — большинство уже было отмыто через миксеры, мосты и офшорные биржи.

Operation Atlantic сжала эту временную шкалу с месяцев до дней. Критическое инновация была не какой-либо одной технологией, а самой операционной моделью: совместное размещение сотрудников правоохранительных органов и аналитиков частного сектора в одной комнате с доступом в реальном времени как к данным блокчейна, так и к системам биржи.

Это важно, потому что транзакции блокчейна необратимы, но не мгновенны на уровне обналичивания. Злоумышленникам все еще нужно преобразовать украденный крипто в фиат через биржи, OTC-дески или выкупления стейблкойнов. Эта точка выхода — вот где возможно вмешательство — но только если следователи могут отследить и заморозить средства быстрее, чем злоумышленники их переместить.

Послужной список Coinbase демонстрирует потенциал. До Operation Atlantic команда Coinbase Global Intelligence уже помогла Службе Секретных служб конфисковать 225 миллионов долларов USDT из pig-butchering scams, поддержала восстановление 28,6 миллиона долларов из фишинговой кампании, нацеленной на более 1000 пользователей, и помогла в демонтаже преступной группировки с 3,5 миллионами долларов в отслеженных украденных средствах.

Масштаб проблемы: почему это важно сейчас

Замораживание 12 миллионов долларов в Operation Atlantic значимо не своим размером — это только часть от общей суммы крипто-преступлений — но за то, что оно доказывает об операционной скорости. Срочность обусловлена масштабом самой проблемы:

• 154 миллиарда долларов в незаконных потоках криптовалют было зафиксировано в 2025 году, увеличение на 162% в годовом исчислении согласно Chainalysis
• 17 миллиардов долларов было украдено глобально через крипто-скамы и мошенничество в 2025 году
• 2 миллиарда долларов было украдено хакерами, связанными с DPRK, только в 2025 году
• AI-включенные скамы в 4,5 раза более прибыльны, чем традиционные скамы, с импланинтацией скамов, возросшей на более чем 1400% в 2025 году

Индустриализация крипто-преступлений ускоряется. Платформы phishing-as-a-service позволяют низкоквалифицированным злоумышленникам развертывать изощренные кампании approval phishing. AI-генерируемые deepfakes позволяют убедительное выдавание себя за агентов биржи, основателей проектов и даже государственных должностных лиц. И по мере роста общей стоимости, заблокированной в DeFi, поверхность атаки расширяется.

На фоне этого вопрос не в том, работают ли государственно-частные партнерства — Operation Atlantic ответила на него. Вопрос в том, могут ли они масштабироваться.

Может ли модель масштабироваться? Вызовы впереди

Operation Atlantic была успешна, но также была исключением. Неделя напряженной работы в штаб-квартире NCA с преданными командами из нескольких агентств и компаний дорога и сложна для непрерывного воспроизведения. Несколько структурных вызовов остаются:

Фрагментация юрисдикции. Крипто-преступление по своей природе кросс-граничное, но правовые системы замораживания активов, обмена разведкой и преследования правонарушителей варьируются резко по странам. Operation Atlantic преуспела частично потому, что сосредоточилась на союзных нациях (США, Великобритания, Канада) с совместимыми правовыми системами. Распространение этого на юрисдикции менее сотрудничающие с западными правоохранительными органами намного сложнее.

Скорость против приватности. Вмешательство в реальном времени требует наблюдения за транзакциями блокчейна и учетами бирж в реальном времени. Это создает напряжение со сторонниками приватности, которые утверждают, что те же возможности, используемые для защиты жертв, могут быть использованы для массовой финансовой слежки. Преследование Tornado Cash продемонстрировало, как тонка может быть линия между правоприменением борьбы с отмыванием денег и криминализацией инструментов приватности.

Риск централизации. Возможности аналитики Coinbase создают конкурентное преимущество — институциональные клиенты доверяют бирже, которая активно восстанавливает украденные средства. Но критики отмечают, что концентрация возможностей слежки в частной компании вызывает вопросы о том, кто наблюдает за наблюдателями. Если Coinbase может отследить и заморозить средства, что мешает неправильному использованию этих возможностей?

Адаптация злоумышленников. Изощренные злоумышленники уже движутся в сторону цепей приватности, кросс-чейн мостов и децентрализованных бирж, у которых нет команды соответствия. Operation Atlantic в основном заморозила средства в централизованных точках выхода. По мере созревания DeFi-инфраструктуры и нахождения злоумышленниками более децентрализованных off-ramps, окно вмешательства сужается.

Гонка вооружений блокчейн-судебной экспертизы

Operation Atlantic не произошла в изоляции. Она находится в быстро растущей экосистеме блокчейн-судебной экспертизы:

• Chainalysis получила более 130 миллионов долларов в накопленных государственных контрактов и недавно запустила AI-powered Blockchain Intelligence Agents, обученные на более чем 10 миллионах случаев
• TRM Labs развернула свой Co-Case Agent для расследований блокчейна на естественном языке и непосредственно поддержала аналитическую работу Operation Atlantic
• Coinbase недавно партнерилась с Microsoft для отключения Tycoon 2FA, платформы phishing-as-a-service, питающей кражу учетных данных в глобальном масштабе

Конвергенция AI и аналитики блокчейна ускоряет возможности обнаружения. Но те же инструменты AI, которые помогают следователям, также доступны злоумышленникам. Вопрос о том, может ли защита поспевать за наступлением, остается открытым.

Ясно одно: старая модель — жди хака, расследуй месяцы, восстанови почти ничего — устарела. Operation Atlantic показала, что с правильной операционной моделью вмешательство может происходить за дни, а не месяцы. Вызов теперь делать это нормой, а не исключением.

Что пользователи могут делать сегодня

Хотя операции на уровне институтов, как Atlantic, защищают жертв в масштабе, отдельные пользователи могут принять немедленные меры для защиты себя:

1. Регулярно проверяйте одобрения токенов. Инструменты типа Revoke.cash и Token Approval Checker от Etherscan позволяют вам видеть и отзывать любые активные одобрения на вашем кошельке.
2. Будьте скептичны к любой транзакции, которую вас просят подписать. Легитимные платформы редко требуют неограниченных одобрений токенов. Если dApp запрашивает одобрение на больше токенов, чем требует ваша транзакция, это красный флаг.
3. Используйте аппаратные кошельки для значительных холдингов. Даже если вы подпишете вредоносное одобрение, наличие активов на отдельном аппаратном кошельке ограничивает воздействие.
4. Контролируйте активность вашего кошелька. Установите оповещения через сервисы, которые уведомляют вас об исходящих транзакциях, чтобы вы могли быстро ответить, если злоумышленник активирует дремлющее одобрение.

Смотря вперед: Будущее безопасности крипто

Operation Atlantic представляет поворотный момент в том, как индустрия крипто подходит к безопасности. Сдвиг от реактивного расследования к проактивному вмешательству отражает то, что произошло в традиционной борьбе с финансовыми преступлениями на протяжении последних двух десятилетий — от пост-взлома судебной экспертизы к системам обнаружения мошенничества в реальном времени, которые отмечают подозрительные транзакции до их урегулирования.

Для крипто эта эволюция давно назрела. Технология для отслеживания транзакций блокчейна существует годами. Того, что не было — это операционная framework для действия по этой разведке достаточно быстро, чтобы это имело значение. Operation Atlantic доказала, что этот framework может работать. Теперь индустрия — биржи, компании по аналитике, регуляторы и правоохранительные органы — должна решить, инвестировать ли в его постоянство.

12 миллионов долларов, замороженные за одну неделю — небольшое число относительно 154 миллиардов долларов в годовых незаконных потоках. Но 20 000 определенных жертв и 3 000 человек, предупреждённых до того, как их средства могли быть опустошены, представляют что-то более ценное, чем любая цифра в долларах: доказательство того, что криптоэкосистема может защитить своих пользователей, не только после факта, но в реальном времени.

BlockEden.xyz предоставляет блокчейн API и инфраструктуру узлов корпоративного уровня для разработчиков, создающих безопасные, прозрачные приложения Web3. По мере того, как блокчейн-судебная экспертиза и на-цепьевая безопасность становятся критической инфраструктурой, надежный доступ к узлам и данные в реальном времени формируют основу, которая делает операции вроде Atlantic возможными. Исследуйте наш API marketplace для построения на инфраструктуре, разработанной для новой эры безопасности блокчейна.