10 постов с тегом "Кибербезопасность"

Приблизительно 6,26 миллиона биткоинов — стоимостью от $ 650 до $ 750 миллиардов — находятся на адресах, уязвимых для квантовых атак. Хотя большинство экспертов сходятся во мнении, что до появления криптографически значимых квантовых компьютеров еще далеко, инфраструктура, необходимая для защиты этих активов, не может быть построена в одночасье. Один протокол утверждает, что у него уже есть решение, и SEC с этим согласна.

Naoris Protocol стал первым децентрализованным протоколом безопасности, упомянутым в официальном документе регулятора США, когда в рамках программы SEC «Основы постквантовой финансовой инфраструктуры» (PQFIF) он был назван эталонной моделью для квантово-безопасной блокчейн-инфраструктуры. С запуском мейннета, запланированным до конца первого квартала 2026 года, 104 миллионами постквантовых транзакций, уже обработанных в тестнете, и партнерствами с институтами, ориентированными на НАТО, Naoris представляет собой радикальную ставку: следующий рубеж DePIN — это не вычисления или хранение данных, а сама кибербезопасность.

Ваш холодный кошелек не так безопасен, как вы думаете. В 2025 году атаки на инфраструктуру — направленные на закрытые ключи, системы кошельков и людей, которые ими управляют — составили 76 % всех украденных криптовалют, на общую сумму 2,2 млрд долларов всего в 45 инцидентах. Lazarus Group, северокорейское государственное хакерское подразделение, довела до совершенства сценарий, который делает традиционную безопасность холодного хранения почти бессмысленной: многомесячные кампании по проникновению, нацеленные на людей, а не на код.

Когда разработчик Safe{Wallet} под псевдонимом «Developer1» получил, казалось бы, обычный запрос 4 февраля 2025 года, он и не подозревал, что его Apple MacBook станет точкой входа для крупнейшей кражи криптовалюты в истории. В течение семнадцати дней северокорейская группировка Lazarus Group использовала этот единственный скомпрометированный ноутбук, чтобы украсть у Bybit $1,5 млрд — сумму, превышающую весь ВВП некоторых стран.

Это не было случайностью. Это стало кульминацией десятилетней эволюции, которая превратила группу хакеров, спонсируемых государством, в самых искушенных воров криптовалюты в мире, ответственных за кражи на общую сумму не менее $6,75 млрд.

Цифры ошеломляют: в 2025 году с криптовалютных платформ было украдено 3,4 миллиарда долларов, причем одно-единственное государство несет ответственность почти за две трети этой добычи. Северокорейская Lazarus Group не просто побила рекорды — она переписала правила государственного киберкриминала, совершая меньше атак, но извлекая из них экспоненциально больше выгоды. Вступая в 2026 год, криптовалютная индустрия сталкивается с неприятной правдой: парадигмы безопасности последних пяти лет фундаментально разрушены.

Тревожный звонок на 3,4 миллиарда долларов​

В декабре 2025 года аналитическая компания Chainalysis, специализирующаяся на блокчейн-разведке, опубликовала свой ежегодный отчет о преступности в криптосфере, подтвердив худшие опасения инсайдеров отрасли. Общий объем краж криптовалюты достиг 3,4 миллиарда долларов, при этом на долю северокорейских хакеров пришлось 2,02 миллиарда долларов — это на 51 % больше по сравнению с уже рекордными 1,34 миллиарда долларов в 2024 году. Таким образом, общая сумма похищенных КНДР криптовалют за все время составила примерно 6,75 миллиарда долларов.

Что делает кражи 2025 года беспрецедентными, так это не только долларовая сумма. Это эффективность. Северокорейские хакеры достигли этого рекордного улова, совершив на 74 % меньше известных атак, чем в предыдущие годы. Группировка Lazarus превратилась из разрозненного злоумышленника в инструмент точечного воздействия в финансовой войне.

TRM Labs и Chainalysis независимо подтвердили эти цифры, при этом TRM отметила, что криптопреступность стала «более организованной и профессиональной», чем когда-либо прежде. Атаки стали быстрее, лучше скоординированы и гораздо легче масштабируются по сравнению с предыдущими циклами.

Ограбление Bybit: мастер-класс по атакам на цепочку поставок​

21 февраля 2025 года мир криптовалют стал свидетелем крупнейшей в истории единичной кражи. Хакеры вывели около 401 000 ETH — на тот момент стоимостью 1,5 миллиарда долларов — с Bybit, одной из крупнейших криптовалютных бирж в мире.

Атака не была взломом методом перебора или эксплойтом смарт-контракта. Это была мастерская компрометация цепочки поставок. Группировка Lazarus, действуя под псевдонимом «TraderTraitor» (также известная как Jade Sleet и Slow Pisces), нацелилась на разработчика Safe{Wallet}, популярного провайдера мультиподписных кошельков. Внедряя вредоносный код в пользовательский интерфейс кошелька, они полностью обошли традиционные уровни безопасности.

В течение 11 дней хакеры отмыли 100 % украденных средств. Генеральный директор Bybit Бен Чжоу в начале марта сообщил, что они потеряли след почти 300 миллионов долларов. ФБР официально приписало атаку Северной Корее 26 февраля 2025 года, но к тому времени средства уже исчезли в протоколах микширования и сервисах мостов.

Один только взлом Bybit обеспечил 74 % всех краж криптовалюты Северной Кореей в 2025 году и продемонстрировал пугающую эволюцию тактики. Как отметила охранная фирма Hacken, группировка Lazarus проявила «явное предпочтение китайскоязычным сервисам по отмыванию денег, мостам и протоколам микширования с 45-дневным циклом отмывания после крупных краж».

Тактика Lazarus: от фишинга до глубокого внедрения​

Кибероперации Северной Кореи претерпели фундаментальную трансформацию. Прошли те времена, когда использовались простые фишинговые атаки и компрометация «горячих» кошельков. Группировка Lazarus разработала многостороннюю стратегию, которая делает обнаружение практически невозможным.

Стратегия Wagemole​

Возможно, самой коварной тактикой является то, что исследователи называют «Wagemole» — внедрение законспирированных IT-сотрудников в криптовалютные компании по всему миру. Под вымышленными именами или через подставные компании эти оперативники получают легитимный доступ к корпоративным системам, включая криптофирмы, кастодианы и Web3-платформы.

Этот подход позволяет хакерам полностью обходить внешнюю защиту. Они не взламывают дверь — они уже внутри.

Эксплуатация на базе ИИ​

В 2025 году государственные группировки начали использовать искусственный интеллект для усиления каждого этапа своих операций. Теперь ИИ сканирует тысячи смарт-контрактов за считанные минуты, выявляет уязвимый код и автоматизирует многоцепочечные атаки. То, что раньше требовало недель ручного анализа, теперь занимает часы.

Анализ Coinpedia показал, что северокорейские хакеры переосмыслили криптопреступность за счет интеграции ИИ, сделав свои операции более масштабируемыми и труднообнаружимыми, чем когда-либо.

Выдача себя за руководителей​

Переход от чисто технических эксплойтов к атакам на человеческий фактор стал определяющей тенденцией 2025 года. Охранные фирмы отметили, что «аномальные потери были в подавляющем большинстве случаев вызваны сбоями в контроле доступа, а не новой ончейн-математикой». Хакеры перешли от отравленных фронтендов и уловок с интерфейсом мультиподписи к выдаче себя за руководителей и краже ключей.

Помимо Bybit: ландшафт взломов 2025 года​

Хотя Bybit доминировала в заголовках газет, операции Северной Кореи выходили далеко за пределы одной цели:

• DMM Bitcoin (Япония): похищено 305 миллионов долларов, что способствовало последующему закрытию биржи.
• WazirX (Индия): выведено 235 миллионов долларов с крупнейшей криптовалютной биржи Индии.
• Upbit (Южная Корея): в конце 2025 года изъято 36 миллионов долларов путем эксплуатации инфраструктуры подписания транзакций.

Это не были единичные инциденты — они представляли собой скоординированную кампанию, нацеленную на централизованные биржи, платформы децентрализованных финансов и провайдеров индивидуальных кошельков в различных юрисдикциях.

Независимые подсчеты выявили более 300 крупных инцидентов безопасности в течение года, что высветило системные уязвимости во всей экосистеме криптовалют.

Связь с Huione: камбоджийская машина по отмыванию денег на 4 миллиарда долларов​

Что касается отмывания денег, Сеть по борьбе с финансовыми преступлениями (FinCEN) Министерства финансов США выявила критический узел в операциях Северной Кореи: камбоджийскую Huione Group.

FinCEN установила, что Huione Group отмыла не менее 4 миллиардов долларов незаконных доходов в период с августа 2021 года по январь 2025 года. Блокчейн-компания Elliptic оценивает реальную цифру ближе к 11 миллиардам долларов.

Расследование Министерства финансов показало, что Huione Group обработала 37 миллионов долларов, напрямую связанных с Lazarus Group, включая 35 миллионов долларов от взлома DMM Bitcoin. Компания работала напрямую с Главным разведывательным бюро Северной Кореи — основной организацией внешней разведки Пхеньяна.

Что делало Huione особенно опасной, так это полное отсутствие комплаенс-контроля. Ни одно из трех ее бизнес-подразделений — Huione Pay (банкинг), Huione Guarantee (эскроу) и Huione Crypto (биржа) — не опубликовало политику AML / KYC.

Связи компании с правящей в Камбодже семьей Хун, включая двоюродного брата премьер-министра Хун Манета в качестве крупного акционера, осложняли международные усилия по обеспечению правопорядка до тех пор, пока США не предприняли шаги по прекращению ее доступа к американской финансовой системе в мае 2025 года.

Реакция регуляторов: MiCA, PoR и не только​

Масштаб краж 2025 года ускорил регуляторные действия по всему миру.

Европейская MiCA, этап 2​

Европейский союз ускорил внедрение «Этапа 2» регламента рынков криптоактивов (MiCA), который теперь требует ежеквартального аудита сторонних поставщиков программного обеспечения для любой биржи, работающей в еврозоне. Вектор атаки на цепочку поставок при взломе Bybit стал причиной появления этого конкретного требования.

Мандаты на подтверждение резервов (Proof-of-Reserves) в США​

В Соединенных Штатах внимание сместилось в сторону обязательных требований по подтверждению резервов (PoR) в режиме реального времени. Теория такова: если биржи должны доказывать наличие своих активов ончейн в реальном времени, подозрительные оттоки средств становятся заметны мгновенно.

Закон Южной Кореи о безопасности цифровых финансов​

После взлома Upbit Комиссия по финансовым услугам Южной Кореи предложила «Закон о безопасности цифровых финансов» в декабре 2025 года. Закон вводит обязательные коэффициенты холодного хранения, регулярное тестирование на проникновение и усиленный мониторинг подозрительной активности для всех криптовалютных бирж.

Что необходимо для защиты в 2026 году​

Взлом Bybit заставил централизованные биржи кардинально изменить подход к управлению безопасностью. Лидеры отрасли определили несколько критически важных обновлений на 2026 год:

Миграция на многосторонние вычисления (MPC)​

Большинство платформ высшего уровня перешли от традиционных мультисигов на базе смарт-контрактов к технологии многосторонних вычислений (MPC). В отличие от конфигурации Safe{Wallet}, использованной в 2025 году, MPC разделяет закрытые ключи на фрагменты (шарды), которые никогда не существуют в одном месте, что делает подмену интерфейса (UI-spoofing) и техники «ледяного фишинга» (Ice Phishing) практически невозможными для выполнения.

Стандарты холодного хранения​

Авторитетные кастодиальные биржи теперь внедряют коэффициенты холодного хранения на уровне 90–95%, сохраняя подавляющее большинство средств пользователей в автономном режиме в аппаратных модулях безопасности. Кошельки с мультиподписью требуют одобрения крупных транзакций несколькими авторизованными сторонами.

Аудит цепочки поставок​

Ключевой вывод 2025 года заключается в том, что безопасность распространяется за пределы блокчейна на весь программный стек. Биржи должны проверять свои отношения с поставщиками с той же строгостью, которую они применяют к собственному коду. Взлом Bybit удался из-за компрометации сторонней инфраструктуры, а не из-за уязвимостей самой биржи.

Защита от человеческого фактора​

Постоянное обучение по вопросам фишинга и использования безопасных паролей стало обязательным, поскольку человеческий фактор остается основной причиной взломов. Эксперты по безопасности рекомендуют проводить периодические учения «красных» и «синих» команд (red and blue team exercises) для выявления слабых мест в управлении процессами безопасности.

Квантово-устойчивые обновления​

Заглядывая в будущее, постквантовая криптография (PQC) и квантово-защищенное оборудование становятся критически важными рубежами обороны. Прогнозируемый совокупный среднегодовой темп роста (CAGR) рынка холодных кошельков на уровне 15,2% с 2026 по 2033 год отражает уверенность институциональных инвесторов в эволюции систем безопасности.

Путь впереди​

Заключительное предупреждение Chainalysis в отчете за 2025 год должно найти отклик во всей индустрии: «Рекордные показатели страны в 2025 году, достигнутые при уменьшении количества известных атак на 74 процента, позволяют предположить, что мы видим лишь самую заметную часть ее деятельности. Задачей 2026 года станет обнаружение и предотвращение этих высокоэффективных операций до того, как субъекты, связанные с КНДР, совершат еще один инцидент масштаба Bybit».

Северная Корея доказала, что поддерживаемые государством хакеры могут опережать защиту индустрии, когда они мотивированы обходом санкций и финансированием вооружений. Совокупная сумма в 6,75 миллиарда долларов представляет собой не просто украденную криптовалюту — она представляет собой ракеты, ядерные программы и выживание режима.

Для криптовалютной индустрии 2026 год должен стать годом трансформации безопасности. Не постепенных улучшений, а фундаментального перепроектирования способов хранения, доступа и передачи активов. Lazarus Group показала, что вчерашние лучшие практики — это сегодняшние уязвимости.

Ставки никогда не были выше.

---

Обеспечение безопасности блокчейн-инфраструктуры требует постоянной бдительности и передовых отраслевых практик. BlockEden.xyz предоставляет инфраструктуру узлов корпоративного уровня с многоуровневой архитектурой безопасности, помогая разработчикам и компаниям строить на фундаменте, предназначенном для противостояния меняющимся угрозам.

Отмывание денег через криптовалюты взлетело до 82 миллиардов долларов в 2025 году — это восьмикратный рост по сравнению с 10 миллиардами всего пять лет назад. Но главная новость не в ошеломляющей сумме. Речь идет об индустриализации самой финансовой преступности. Профессиональные сети по отмыванию денег теперь ежедневно обрабатывают 44 миллиона долларов через сложные площадки в Telegram. Северная Корея превратила кражи криптовалют в инструмент финансирования ядерных программ, а инфраструктура, обеспечивающая глобальное мошенничество, росла в 7 325 раз быстрее, чем легальное внедрение криптовалют. Эра криптопреступников-любителей закончилась. Мы вступили в эпоху организованной профессиональной преступности в блокчейне.

В канун Рождества 2025 года, когда большая часть криптомира была на каникулах, злоумышленники внедрили вредоносное обновление в расширение Trust Wallet для Chrome. В течение 48 часов из 2 520 кошельков исчезло 8,5 миллионов долларов. Сид-фразы тысяч пользователей были незаметно похищены под видом рутинных телеметрических данных. Но это не было изолированным инцидентом — это стало кульминацией атаки на цепочку поставок, которая неделями распространялась через экосистему крипторазработки.

Кампания Shai-Hulud, названная в честь песчаных червей из «Дюны», представляет собой самую агрессивную атаку на цепочку поставок npm в 2025 году. Она скомпрометировала более 700 npm-пакетов, заразила 27 000 репозиториев GitHub и раскрыла примерно 14 000 секретов разработчиков в 487 организациях. Общий ущерб: более 58 миллионов долларов в украденной криптовалюте, что делает эту атаку одной из самых дорогостоящих для разработчиков в истории криптографии.

Анатомия червя в цепочке поставок​

В отличие от типичного вредоносного ПО, требующего от пользователей загрузки сомнительных программ, атаки на цепочку поставок отравляют инструменты, которым разработчики уже доверяют. Кампания Shai-Hulud превратила в оружие npm — менеджер пакетов, который обеспечивает работу большинства разработок на JavaScript, включая почти каждый криптокошелек, DeFi-фронтенд и Web3-приложение.

Атака началась в сентябре 2025 года с первой волны, в результате которой было украдено около 50 миллионов долларов в криптовалюте. Но именно «Второе пришествие» в ноябре продемонстрировало истинную изощренность операции. С 21 по 23 ноября злоумышленники скомпрометировали инфраструктуру разработки крупных проектов, включая Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase и Postman.

Механизм распространения был элегантным и пугающим. Когда Shai-Hulud заражает легитимный npm-пакет, он внедряет два вредоносных файла — setup_bun.js и bun_environment.js, которые запускаются с помощью preinstall-скрипта. В отличие от традиционного вредоносного ПО, которое активируется после установки, эта полезная нагрузка запускается до завершения установки и даже в случае её сбоя. К тому времени, когда разработчики понимают, что что-то не так, их учетные данные уже украдены.

Червь идентифицирует другие пакеты, поддерживаемые скомпрометированными разработчиками, автоматически внедряет вредоносный код и публикует новые зараженные версии в реестре npm. Такое автоматизированное распространение позволило вредоносному ПО расти в геометрической прогрессии без прямого вмешательства злоумышленников.

От секретов разработчиков до кошельков пользователей​

Связь между скомпрометированными npm-пакетами и взломом Trust Wallet показывает, как атаки на цепочку поставок каскадом переходят от разработчиков к конечным пользователям.

Расследование Trust Wallet показало, что их секреты разработчиков на GitHub были раскрыты во время ноябрьской вспышки Shai-Hulud. Эта утечка дала злоумышленникам доступ к исходному коду расширения для браузера и, что критически важно, к API-ключу Chrome Web Store. Вооружившись этими данными, злоумышленники полностью обошли внутренний процесс выпуска обновлений Trust Wallet.

24 декабря 2025 года в Chrome Web Store появилась версия 2.68 расширения Trust Wallet — опубликованная злоумышленниками, а не разработчиками Trust Wallet. Вредоносный код был разработан для перебора всех кошельков, хранящихся в расширении, и запуска запроса мнемонической фразы для каждого из них. Независимо от того, проходили ли пользователи аутентификацию с помощью пароля или биометрии, их сид-фразы незаметно отправлялись на серверы, контролируемые злоумышленниками, под видом легитимных аналитических данных.

Украденные средства распределились следующим образом: примерно 3 миллиона долларов в Bitcoin, более 3 миллионов в Ethereum, а также меньшие суммы в Solana и других токенах. В течение нескольких дней злоумышленники начали отмывать средства через централизованные биржи — 3,3 миллиона долларов через ChangeNOW, 340 000 долларов через FixedFloat и 447 000 долларов через KuCoin.

Выключатель мертвеца​

Возможно, самым тревожным является механизм «выключателя мертвеца» (dead man's switch) в вредоносном ПО Shai-Hulud. Если червь не может аутентифицироваться на GitHub или npm — если его каналы распространения и эксфильтрации данных перерезаны — он удаляет все файлы в домашнем каталоге пользователя.

Эта разрушительная функция служит нескольким целям. Она наказывает за попытки обнаружения, создает хаос, маскирующий следы злоумышленников, и дает рычаги давления, если защитники попытаются отключить инфраструктуру управления и контроля. Для разработчиков, которые не позаботились о надлежащем резервном копировании, неудачная попытка очистки системы может привести к катастрофической потере данных в дополнение к краже учетных данных.

Злоумышленники также продемонстрировали психологическую изощренность. Когда Trust Wallet объявил о взломе, те же злоумышленники запустили фишинговую кампанию, эксплуатирующую возникшую панику, создав поддельные сайты под брендом Trust Wallet, где пользователям предлагалось ввести свои восстановительные сид-фразы для «верификации кошелька». Некоторые жертвы пострадали дважды.

Вопрос об инсайдере​

Соучредитель Binance Чанпэн Чжао (CZ) намекнул, что эксплойт Trust Wallet «скорее всего» был осуществлен инсайдером или кем-то, кто имел предварительный доступ к разрешениям на развертывание. Собственный анализ Trust Wallet предполагает, что злоумышленники могли получить контроль над устройствами разработчиков или получить разрешения на развертывание до 8 декабря 2025 года.

Исследователи безопасности отметили закономерности, указывающие на возможную причастность государственных структур. Время проведения атаки — канун Рождества — соответствует распространенному сценарию сложных постоянных угроз (APT): атака во время праздников, когда в группах безопасности не хватает персонала. Техническая изощренность и масштаб кампании Shai-Hulud в сочетании с быстрым отмыванием средств свидетельствуют о наличии ресурсов, выходящих за рамки типичных криминальных операций.

Почему браузерные расширения уникально уязвимы​

Инцидент с Trust Wallet подчеркивает фундаментальную уязвимость в модели безопасности криптовалют. Браузерные расширения обладают исключительными привилегиями — они могут читать и изменять веб-страницы, получать доступ к локальному хранилищу, а в случае криптокошельков — хранить ключи от активов на миллионы долларов.

Поверхность атаки огромна:

• Механизмы обновления: расширения обновляются автоматически, и одно скомпрометированное обновление охватывает всех пользователей.
• Безопасность API-ключей: в случае утечки API-ключей Chrome Web Store любой желающий может публиковать обновления.
• Предположения о доверии: пользователи полагают, что обновления из официальных магазинов безопасны.
• Выбор времени (праздники): ослабление мониторинга безопасности в праздничные дни позволяет злоумышленникам дольше оставаться незамеченными.

Это не первая атака на криптопользователей через браузерные расширения. Предыдущие инциденты включают кампанию GlassWorm, нацеленную на расширения VS Code, и мошенничество с расширением FoxyWallet для Firefox. Однако взлом Trust Wallet стал крупнейшим в денежном эквиваленте и продемонстрировал, как компрометация цепочки поставок усиливает эффект атак на расширения.

Реакция Binance и прецедент SAFU​

Binance подтвердила, что пострадавшим пользователям Trust Wallet будет полностью возмещен ущерб через фонд SAFU (Secure Asset Fund for Users). Этот фонд, созданный после взлома биржи в 2018 году, удерживает часть торговых комиссий в резерве специально для покрытия убытков пользователей от инцидентов безопасности.

Решение о возмещении создает важный прецедент и поднимает интересный вопрос о распределении ответственности. Trust Wallet был скомпрометирован без прямой вины пользователей, которые просто открыли свои кошельки в период действия уязвимости. Но первопричиной стала атака на цепочку поставок, скомпрометировавшая инфраструктуру разработчиков, что, в свою очередь, стало возможным из-за системных уязвимостей в экосистеме npm.

Меры Trust Wallet по немедленному реагированию включали прекращение действия всех API для релизов, чтобы заблокировать выпуск новых версий на две недели, сообщение регистратору о вредоносном домене эксфильтрации данных (что привело к его оперативной блокировке) и выпуск «чистой» версии 2.69. Пользователям было рекомендовано немедленно перевести средства на новые кошельки, если они разблокировали расширение в период с 24 по 26 декабря.

Уроки для криптоэкосистемы​

Кампания «Шай-Хулуд» обнажает системные уязвимости, выходящие далеко за пределы Trust Wallet:

Для разработчиков​

Явно фиксируйте зависимости. Эксплуатация скрипта preinstall возможна, потому что при установке через npm может выполняться произвольный код. Фиксация (pinning) известных чистых версий предотвращает внедрение скомпрометированных пакетов через автоматические обновления.

Относитесь к секретам как к скомпрометированным. Любой проект, загружавший пакеты npm в период с 21 ноября по декабрь 2025 года, должен исходить из того, что его учетные данные раскрыты. Это означает отзыв и перевыпуск токенов npm, GitHub PAT, SSH-ключей и учетных данных облачных провайдеров.

Внедрите надлежащее управление секретами. API-ключи для критически важной инфраструктуры, такой как публикация в магазинах приложений, никогда не должны храниться в системах контроля версий, даже в приватных репозиториях. Используйте аппаратные модули безопасности (HSM) или специализированные сервисы управления секретами.

Используйте MFA, устойчивую к фишингу. Стандартную двухфакторную аутентификацию могут обойти опытные злоумышленники. Аппаратные ключи, такие как YubiKey, обеспечивают более надежную защиту учетных записей разработчиков и CI/CD.

Для пользователей​

Диверсифицируйте инфраструктуру кошельков. Не храните все средства в браузерных расширениях. Аппаратные кошельки обеспечивают изоляцию от программных уязвимостей — они могут подписывать транзакции, никогда не раскрывая сид-фразы потенциально скомпрометированным браузерам.

Допускайте, что обновления могут быть вредоносными. Модель автоматического обновления, делающая ПО удобным, также делает его уязвимым. Рассмотрите возможность отключения автообновлений для критически важных с точки зрения безопасности расширений и проверяйте новые версии вручную.

Мониторьте активность кошелька. Сервисы, оповещающие о подозрительных транзакциях, могут заранее предупредить о взломе, потенциально ограничивая потери до того, как злоумышленники опустошат кошельки полностью.

Для индустрии​

Укрепляйте экосистему npm. Реестр npm является критически важной инфраструктурой для разработки Web3, однако в нем отсутствуют многие функции безопасности, которые могли бы предотвратить «червеподобное» распространение угроз. Обязательная подпись кода, воспроизводимые сборки и обнаружение аномалий в обновлениях пакетов могли бы значительно поднять планку для атакующих.

Переосмыслите безопасность браузерных расширений. Текущая модель, при которой расширения обновляются автоматически и имеют широкие права доступа, фундаментально несовместима с требованиями безопасности для хранения значительных активов. Могут помочь песочницы для исполнения, отложенные обновления с проверкой пользователем и сокращение объема разрешений.

Координируйте реагирование на инциденты. Кампания «Шай-Хулуд» затронула сотни проектов в криптоэкосистеме. Улучшенный обмен информацией и скоординированные действия могли бы ограничить ущерб по мере выявления скомпрометированных пакетов.

Будущее безопасности цепочек поставок в криптосфере​

Исторически криптовалютная индустрия концентрировала усилия по обеспечению безопасности на аудите смарт-контрактов, холодном хранении на биржах и защите пользователей от фишинга. Кампания «Шай-Хулуд» демонстрирует, что самые опасные атаки могут исходить от скомпрометированных инструментов разработчика — инфраструктуры, с которой криптопользователи никогда не взаимодействуют напрямую, но которая лежит в основе каждого используемого ими приложения.

По мере усложнения Web3-приложений их графы зависимостей становятся всё шире. Каждый npm-пакет, каждое действие GitHub, каждая интеграция CI/CD представляют собой потенциальный вектор атаки. Реакция индустрии на «Шай-Хулуд» определит, станет ли это разовым тревожным сигналом или началом эры атак на цепочки поставок в криптоинфраструктуре.

На данный момент злоумышленники остаются неопознанными. Около 2,8 млн долларов украденных средств Trust Wallet всё еще находятся на их кошельках, в то время как остальная часть была отмыта через централизованные биржи и кроссчейн-мосты. Более 50 млн долларов от более ранних краж в рамках кампании «Шай-Хулуд» практически исчезли в псевдонимных глубинах блокчейна.

Песчаный червь зарылся глубоко в основы криптографии. Чтобы искоренить его, потребуется переосмысление принципов безопасности, которые индустрия принимала как должное с первых дней своего существования.

---

Создание безопасных Web3-приложений требует надежной инфраструктуры. BlockEden.xyz предоставляет RPC-узлы и API корпоративного уровня со встроенным мониторингом и обнаружением аномалий, помогая разработчикам выявлять необычную активность до того, как она затронет пользователей. Изучите наш маркетплейс API, чтобы строить на фундаменте, ориентированном на безопасность.

Число случаев компрометации личных кошельков в 2025 году резко возросло до 158 000 инцидентов, затронувших 80 000 уникальных жертв, что привело к краже 713 млн $ только из персональных хранилищ. Это не взлом биржи или эксплойт протокола — это обычные пользователи криптовалют, теряющие свои сбережения из-за злоумышленников, чьи методы стали гораздо сложнее простых фишинговых писем. На долю компрометаций личных кошельков теперь приходится 37 % всей стоимости украденной криптовалюты по сравнению с 7,3 % в 2022 году. Посыл ясен: если вы владеете криптовалютой, вы являетесь мишенью, и вчерашних стратегий защиты уже недостаточно.

Только за первую половину 2025 года злоумышленники вывели из криптопротоколов более $2,3 млрд — это больше, чем за весь 2024 год. Одной только уязвимости контроля доступа стоили индустрии$ 1,6 млрд. Взлом Bybit в феврале 2025 года — атака на цепочку поставок на сумму $ 1,4 млрд — продемонстрировал, что даже крупнейшие биржи остаются уязвимыми. Вступая в 2026 год, индустрия аудита смарт-контрактов переживает свой самый критический момент: развиваться или наблюдать, как еще миллиарды исчезают в кошельках хакеров.

21 февраля 2025 года северокорейские хакеры похитили 1,5 миллиарда долларов в криптовалюте у базирующейся в Дубае биржи Bybit примерно за 30 минут. Это было не просто крупнейшее криптоограбление в истории — если бы Bybit была банком, оно стало бы крупнейшим ограблением банка, когда-либо зафиксированным в Книге рекордов Гиннесса.

Атака не была связана с использованием бага в смарт-контракте или взломом приватного ключа методом перебора. Вместо этого хакеры скомпрометировали ноутбук одного разработчика у стороннего провайдера кошельков, терпеливо ждали несколько недель и нанесли удар, когда сотрудники Bybit одобряли то, что выглядело как рутинный внутренний перевод. К тому времени, когда кто-то понял, что что-то не так, 500 000 ETH исчезли в лабиринте кошельков, контролируемых северокорейской группировкой Lazarus Group.

Это история о том, как это произошло, почему это важно и что это говорит о состоянии безопасности в сфере криптографии в 2025 году.

Атака: Мастер-класс по терпению и точности​

Взлом Bybit не был обычным налетом. Это была тщательно спланированная операция, которая разворачивалась в течение нескольких недель.

Фаза 1: Компрометация разработчика​

4 февраля 2025 года разработчик Safe{Wallet} — широко используемой платформы для кошельков с мультиподписью, на которую Bybit полагалась для обеспечения безопасности крупных переводов, — скачал то, что казалось легитимным Docker-проектом под названием «MC-Based-Stock-Invest-Simulator-main». Файл, скорее всего, был доставлен через атаку с использованием социальной инженерии, возможно, замаскированную под предложение о работе или инвестиционный инструмент.

Вредоносный Docker-контейнер немедленно установил соединение с сервером, контролируемым злоумышленниками. Оттуда хакеры извлекли сессионные токены AWS с рабочей станции разработчика — временные учетные данные, которые предоставляют доступ к облачной инфраструктуре Safe{Wallet}.

С помощью этих токенов злоумышленники полностью обошли многофакторную аутентификацию. Теперь у них были ключи от всего «королевства» Safe{Wallet}.

Фаза 2: Спящий код​

Вместо того чтобы действовать немедленно, злоумышленники внедрили незаметный JavaScript-код в веб-интерфейс Safe{Wallet}. Этот код был специально разработан для Bybit — он оставался бездействующим до тех пор, пока не обнаруживал, что сотрудник Bybit открыл свою учетную запись Safe и собирается авторизовать транзакцию.

Сложность здесь поразительна. Весь функционал приложения Safe{Wallet} работал нормально для всех остальных пользователей. Целью был только Bybit.

Фаза 3: Ограбление​

21 февраля 2025 года сотрудники Bybit инициировали то, что должно было стать рутинным переводом с холодного кошелька (безопасное автономное хранилище) на теплый кошелек (для активной торговли). Для этого требовалось несколько подписей уполномоченного персонала — стандартная практика безопасности, называемая мультисиг (multisig).

Когда подписанты открыли Safe{Wallet} для одобрения транзакции, интерфейс отобразил то, что казалось правильным адресом назначения. Но вредоносный код уже подменил команду на другую. Сотрудники, сами того не зная, одобрили транзакцию, которая опустошила весь холодный кошелек Bybit.

В течение нескольких минут 500 000 ETH стоимостью около 1,5 миллиарда долларов перетекли на адреса, контролируемые злоумышленниками.

Технический эксплойт: Delegatecall​

Ключевой уязвимостью стала функция Ethereum delegatecall, которая позволяет смарт-контракту выполнять код другого контракта в контексте своего собственного хранилища. Злоумышленники обманом заставили подписантов Bybit изменить логику контракта их кошелька на вредоносную версию, фактически передав хакерам полный контроль.

Это не было багом в Ethereum или в основном протоколе Safe{Wallet}. Это была атака на человеческий фактор — момент, когда доверенные сотрудники проверяют и одобряют транзакции.

Lazarus Group из Северной Кореи: Самые прибыльные хакеры в мире​

В течение 24 часов после атаки блокчейн-исследователь ZachXBT представил Arkham Intelligence доказательства, окончательно связывающие взлом с северокорейской группировкой Lazarus Group. ФБР подтвердило эту принадлежность 26 февраля 2025 года.

Lazarus Group — также известная как TraderTraitor и APT38 — действует под эгидой Главного разведывательного управления Северной Кореи. Это не преступная банда, ищущая прибыль для личного обогащения. Это поддерживаемая государством операция, доходы от которой идут на финансирование программ Северной Кореи по созданию ядерного оружия и баллистических ракет.

Цифры ошеломляют:

• Только за 2025 год: северокорейские хакеры украли 2,02 миллиарда долларов в криптовалюте.
• Доля Bybit: 1,5 миллиарда долларов (74 % от всей добычи Северной Кореи за 2025 год в результате одной атаки).
• С 2017 года: Северная Корея похитила криптоактивов на сумму более 6,75 миллиарда долларов.
• 2025 против 2024: рост стоимости украденных активов на 51 % в годовом исчислении.

На долю Северной Кореи пришлось 59 % всей криптовалюты, украденной во всем мире в 2025 году, и 76 % всех взломов бирж. Ни один другой злоумышленник даже не приблизился к этим показателям.

Индустриализация криптокраж​

Что отличает Северную Корею, так это не только масштаб, но и изощренность их операций.

Социальная инженерия важнее технических эксплойтов​

Большинство крупных взломов 2025 года было совершено с помощью социальной инженерии, а не технических уязвимостей. Это представляет собой фундаментальный сдвиг. Хакеры больше не охотятся в первую очередь за багами в смарт-контрактах или криптографическими слабостями. Они целятся в людей.

Оперативники Lazarus Group внедрялись в качестве ИТ-специалистов в криптокомпании. Они выдавали себя за руководителей. Они рассылали разработчикам предложения о работе, содержащие вредоносное ПО. Атака на Bybit началась с того, что разработчик скачал поддельный симулятор торговли акциями — классический вектор социальной инженерии.

Китайская «прачечная»​

Кража криптовалюты — это только половина задачи. Конвертация её в используемые средства без риска быть пойманным — процесс не менее сложный.

Вместо того чтобы обналичивать средства напрямую, Северная Корея передала отмывание денег на аутсорсинг тому, что следователи называют «Китайской прачечной» — разветвлённой сети подпольных банкиров, OTC-брокеров и посредников по отмыванию денег на основе торговых операций. Эти участники отмывают украденные активы через различные блокчейны, юрисдикции и платежные каналы.

К 20 марта 2025 года — менее чем через месяц после взлома Bybit — генеральный директор Бен Чжоу сообщил, что хакеры уже конвертировали 86,29 % украденного ETH в биткоины через множество промежуточных кошельков, децентрализованные биржи и кросс-чейн мосты. 45-дневный цикл отмывания после крупных краж стал предсказуемой закономерностью.

Несмотря на эти усилия, Чжоу отметил, что 88,87 % украденных активов остаются отслеживаемыми. Но «отслеживаемый» не означает «возвращаемый». Средства проходят через юрисдикции, не имеющие партнерских отношений с правоохранительными органами США или международными структурами.

Реакция Bybit: управление кризисом под огнём​

В течение 30 минут после обнаружения взлома генеральный директор Бен Чжоу взял ситуацию под контроль и начал предоставлять обновления в режиме реального времени в X (бывший Twitter). Его сообщение было резким: «Bybit платежеспособна. Даже если потери от этого взлома не будут возмещены, все активы клиентов обеспечены 1 к 1, мы можем покрыть убытки».

Биржа обработала более 350 000 запросов на вывод средств в течение 12 часов — это стало сигналом для пользователей, что, несмотря на катастрофические потери, операции продолжатся в обычном режиме.

Экстренное финансирование​

В течение 72 часов Bybit пополнила свои резервы, получив 447 000 ETH в качестве экстренного финансирования от партнеров, включая Galaxy Digital, FalconX и Wintermute. Bitget предоставила заем в размере 40 000 ETH, чтобы обеспечить бесперебойный вывод средств — этот заем Bybit погасила в течение трех дней.

Фирма по кибербезопасности Hacken провела аудит подтверждения резервов (proof-of-reserves), подтвердив, что основные активы Bybit обеспечены залогом более чем на 100 %. Такая прозрачность была беспрецедентной для кризиса подобного масштаба.

Программа вознаграждений (Bounty)​

Чжоу объявил «войну против Lazarus» и запустил глобальную баунти-программу, предлагая вознаграждение до 10 % за информацию, которая приведет к заморозке активов. К концу года Bybit выплатила 2,18 млн долларов в USDT участникам, которые помогли отследить или вернуть средства.

Вердикт рынка​

К концу 2025 года число пользователей Bybit по всему миру превысило 80 миллионов, ежедневный объем торгов составил 7,1 млрд долларов, а биржа заняла 5-е место среди спотовых криптовалютных бирж. Реакция на кризис стала хрестоматийным примером того, как выжить после катастрофического взлома.

2025: Год, когда кражи криптоактивов достигли 3,4 млрд долларов​

Взлом Bybit доминировал в заголовках газет, но он был частью более масштабной тенденции. Общий объем краж криптовалют в 2025 году достиг 3,4 млрд долларов — новый рекорд и третий год роста подряд.

Ключевая статистика:

• 2023: украдено 2 млрд долларов
• 2024: украдено 2,2 млрд долларов
• 2025: украдено 3,4 млрд долларов

Доля Северной Кореи выросла примерно с половины до почти 60 % всех краж криптовалют. КНДР совершала более крупные кражи при меньшем количестве инцидентов, демонстрируя растущую эффективность и изощренность.

Извлеченные уроки: где система безопасности дала сбой​

Взлом Bybit выявил критические уязвимости, которые выходят далеко за рамки одной биржи.

Риск третьих сторон является экзистенциальным​

У Bybit не было сбоя в системе безопасности. Он произошел у Safe{Wallet}. Но последствия понесла Bybit.

Криптоиндустрия выстроила сложные цепочки зависимостей, где биржи полагаются на поставщиков кошельков, поставщики кошельков — на облачную инфраструктуру, а облачная инфраструктура — на рабочие станции отдельных разработчиков. Компрометация в любом звене этой цепочки может привести к катастрофическим последствиям.

Холодного хранения недостаточно​

Индустрия долгое время считала холодные кошельки золотым стандартом безопасности. Но средства Bybit находились в холодном хранилище, когда их украли. Уязвимость заключалась в процессе их перемещения — этапе человеческого одобрения, для защиты которого и была разработана мультиподпись (multisig).

Когда переводы становятся рутиной, у подписантов развивается ложное чувство безопасности, и они начинают относиться к одобрениям как к формальности, а не как к критически важным решениям по безопасности. Атака на Bybit использовала именно этот поведенческий паттерн.

UI как единая точка отказа​

Безопасность мультиподписи предполагает, что подписанты могут проверить то, что они одобряют. Но если интерфейс, отображающий детали транзакции, скомпрометирован, верификация теряет смысл. Злоумышленники показывали подписантам одно, выполняя при этом другое.

Симуляции перед подписанием — позволяющие сотрудникам предварительно просмотреть фактическое место назначения транзакции до одобрения — могли бы предотвратить эту атаку. Так же как и задержки для крупных выводов средств, дающие время для дополнительной проверки.

Социальная инженерия побеждает техническую безопасность​

У вас может быть самая сложная криптографическая защита в мире, но один сотрудник, скачавший не тот файл, может обойти её всю. Слабое место в безопасности криптовалют всё чаще становится человеческим, а не техническим.

Регуляторные и отраслевые последствия​

Взлом Bybit уже меняет регуляторный ландшафт.

Ожидайте введения обязательных требований к:

• Аппаратным модулям безопасности (HSM) для управления ключами
• Мониторингу транзакций в реальном времени и обнаружению аномалий
• Регулярным сторонним аудитам безопасности
• Усиленным AML-структурам и задержкам транзакций для крупных переводов

Безопасность и соответствие нормативным требованиям становятся порогом для доступа на рынок. Проекты, которые не смогут продемонстрировать надежное управление ключами, дизайн разрешений и заслуживающие доверия механизмы безопасности, окажутся отрезанными от банковских партнеров и институциональных пользователей.

Что это значит для индустрии​

Взлом Bybit раскрывает неудобную правду: модель безопасности криптовалют настолько же крепка, насколько крепко её самое слабое операционное звено.

Индустрия вложила значительные средства в криптографическую безопасность — доказательства с нулевым разглашением, пороговые подписи, защищенные анклавы. Но самая сложная криптография теряет смысл, если злоумышленник может обманом заставить человека одобрить вредоносную транзакцию.

Для бирж сигнал ясен: инновации в области безопасности должны выходить за рамки технологий и охватывать операционные процессы, управление рисками сторонних организаций и постоянное обучение сотрудников. Регулярные аудиты, совместный обмен данными об угрозах и планирование реагирования на инциденты больше не являются обязательными.

Для пользователей урок столь же суров: даже крупнейшие биржи с самой сложной системой безопасности могут быть скомпрометированы. Самостоятельное хранение, аппаратные кошельки и распределенное хранение активов остаются самыми надежными долгосрочными стратегиями — даже если они менее удобны.

Заключение​

Северокорейская Lazarus Group поставила кражу криптовалюты на поток. С 2017 года они украли более 6,75 миллиарда долларов, причем 2025 год стал для них самым успешным. Один только взлом Bybit — 1,5 миллиарда долларов за одну операцию — демонстрирует возможности, которым позавидовала бы любая спецслужба.

Криптоиндустрия находится в состоянии гонки вооружений с поддерживаемыми государством хакерами, которые обладают неограниченным терпением, сложными техническими возможностями и не боятся последствий. Атака на Bybit удалась не благодаря какому-то новому эксплойту, а потому что злоумышленники понимали: самым слабым звеном являются люди, а не код.

До тех пор, пока индустрия не начнет относиться к операционной безопасности с той же строгостью, что и к криптографической, подобные атаки будут продолжаться. Вопрос не в том, произойдет ли еще один взлом на миллиард долларов, а в том, когда это случится и сможет ли цель среагировать так же эффективно, как Bybit.

---

Эта статья предназначена только для образовательных целей и не должна рассматриваться как финансовый совет. Всегда проводите собственное исследование и уделяйте приоритетное внимание безопасности при взаимодействии с криптовалютными биржами и кошельками.