5 постов с тегом "Кибербезопасность"

В канун Рождества 2025 года, когда большая часть криптомира была на каникулах, злоумышленники внедрили вредоносное обновление в расширение Trust Wallet для Chrome. В течение 48 часов из 2 520 кошельков исчезло 8,5 миллионов долларов. Сид-фразы тысяч пользователей были незаметно похищены под видом рутинных телеметрических данных. Но это не было изолированным инцидентом — это стало кульминацией атаки на цепочку поставок, которая неделями распространялась через экосистему крипторазработки.

Кампания Shai-Hulud, названная в честь песчаных червей из «Дюны», представляет собой самую агрессивную атаку на цепочку поставок npm в 2025 году. Она скомпрометировала более 700 npm-пакетов, заразила 27 000 репозиториев GitHub и раскрыла примерно 14 000 секретов разработчиков в 487 организациях. Общий ущерб: более 58 миллионов долларов в украденной криптовалюте, что делает эту атаку одной из самых дорогостоящих для разработчиков в истории криптографии.

Анатомия червя в цепочке поставок​

В отличие от типичного вредоносного ПО, требующего от пользователей загрузки сомнительных программ, атаки на цепочку поставок отравляют инструменты, которым разработчики уже доверяют. Кампания Shai-Hulud превратила в оружие npm — менеджер пакетов, который обеспечивает работу большинства разработок на JavaScript, включая почти каждый криптокошелек, DeFi-фронтенд и Web3-приложение.

Атака началась в сентябре 2025 года с первой волны, в результате которой было украдено около 50 миллионов долларов в криптовалюте. Но именно «Второе пришествие» в ноябре продемонстрировало истинную изощренность операции. С 21 по 23 ноября злоумышленники скомпрометировали инфраструктуру разработки крупных проектов, включая Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase и Postman.

Механизм распространения был элегантным и пугающим. Когда Shai-Hulud заражает легитимный npm-пакет, он внедряет два вредоносных файла — setup_bun.js и bun_environment.js, которые запускаются с помощью preinstall-скрипта. В отличие от традиционного вредоносного ПО, которое активируется после установки, эта полезная нагрузка запускается до завершения установки и даже в случае её сбоя. К тому времени, когда разработчики понимают, что что-то не так, их учетные данные уже украдены.

Червь идентифицирует другие пакеты, поддерживаемые скомпрометированными разработчиками, автоматически внедряет вредоносный код и публикует новые зараженные версии в реестре npm. Такое автоматизированное распространение позволило вредоносному ПО расти в геометрической прогрессии без прямого вмешательства злоумышленников.

От секретов разработчиков до кошельков пользователей​

Связь между скомпрометированными npm-пакетами и взломом Trust Wallet показывает, как атаки на цепочку поставок каскадом переходят от разработчиков к конечным пользователям.

Расследование Trust Wallet показало, что их секреты разработчиков на GitHub были раскрыты во время ноябрьской вспышки Shai-Hulud. Эта утечка дала злоумышленникам доступ к исходному коду расширения для браузера и, что критически важно, к API-ключу Chrome Web Store. Вооружившись этими данными, злоумышленники полностью обошли внутренний процесс выпуска обновлений Trust Wallet.

24 декабря 2025 года в Chrome Web Store появилась версия 2.68 расширения Trust Wallet — опубликованная злоумышленниками, а не разработчиками Trust Wallet. Вредоносный код был разработан для перебора всех кошельков, хранящихся в расширении, и запуска запроса мнемонической фразы для каждого из них. Независимо от того, проходили ли пользователи аутентификацию с помощью пароля или биометрии, их сид-фразы незаметно отправлялись на серверы, контролируемые злоумышленниками, под видом легитимных аналитических данных.

Украденные средства распределились следующим образом: примерно 3 миллиона долларов в Bitcoin, более 3 миллионов в Ethereum, а также меньшие суммы в Solana и других токенах. В течение нескольких дней злоумышленники начали отмывать средства через централизованные биржи — 3,3 миллиона долларов через ChangeNOW, 340 000 долларов через FixedFloat и 447 000 долларов через KuCoin.

Выключатель мертвеца​

Возможно, самым тревожным является механизм «выключателя мертвеца» (dead man's switch) в вредоносном ПО Shai-Hulud. Если червь не может аутентифицироваться на GitHub или npm — если его каналы распространения и эксфильтрации данных перерезаны — он удаляет все файлы в домашнем каталоге пользователя.

Эта разрушительная функция служит нескольким целям. Она наказывает за попытки обнаружения, создает хаос, маскирующий следы злоумышленников, и дает рычаги давления, если защитники попытаются отключить инфраструктуру управления и контроля. Для разработчиков, которые не позаботились о надлежащем резервном копировании, неудачная попытка очистки системы может привести к катастрофической потере данных в дополнение к краже учетных данных.

Злоумышленники также продемонстрировали психологическую изощренность. Когда Trust Wallet объявил о взломе, те же злоумышленники запустили фишинговую кампанию, эксплуатирующую возникшую панику, создав поддельные сайты под брендом Trust Wallet, где пользователям предлагалось ввести свои восстановительные сид-фразы для «верификации кошелька». Некоторые жертвы пострадали дважды.

Вопрос об инсайдере​

Соучредитель Binance Чанпэн Чжао (CZ) намекнул, что эксплойт Trust Wallet «скорее всего» был осуществлен инсайдером или кем-то, кто имел предварительный доступ к разрешениям на развертывание. Собственный анализ Trust Wallet предполагает, что злоумышленники могли получить контроль над устройствами разработчиков или получить разрешения на развертывание до 8 декабря 2025 года.

Исследователи безопасности отметили закономерности, указывающие на возможную причастность государственных структур. Время проведения атаки — канун Рождества — соответствует распространенному сценарию сложных постоянных угроз (APT): атака во время праздников, когда в группах безопасности не хватает персонала. Техническая изощренность и масштаб кампании Shai-Hulud в сочетании с быстрым отмыванием средств свидетельствуют о наличии ресурсов, выходящих за рамки типичных криминальных операций.

Почему браузерные расширения уникально уязвимы​

Инцидент с Trust Wallet подчеркивает фундаментальную уязвимость в модели безопасности криптовалют. Браузерные расширения обладают исключительными привилегиями — они могут читать и изменять веб-страницы, получать доступ к локальному хранилищу, а в случае криптокошельков — хранить ключи от активов на миллионы долларов.

Поверхность атаки огромна:

• Механизмы обновления: расширения обновляются автоматически, и одно скомпрометированное обновление охватывает всех пользователей.
• Безопасность API-ключей: в случае утечки API-ключей Chrome Web Store любой желающий может публиковать обновления.
• Предположения о доверии: пользователи полагают, что обновления из официальных магазинов безопасны.
• Выбор времени (праздники): ослабление мониторинга безопасности в праздничные дни позволяет злоумышленникам дольше оставаться незамеченными.

Это не первая атака на криптопользователей через браузерные расширения. Предыдущие инциденты включают кампанию GlassWorm, нацеленную на расширения VS Code, и мошенничество с расширением FoxyWallet для Firefox. Однако взлом Trust Wallet стал крупнейшим в денежном эквиваленте и продемонстрировал, как компрометация цепочки поставок усиливает эффект атак на расширения.

Реакция Binance и прецедент SAFU​

Binance подтвердила, что пострадавшим пользователям Trust Wallet будет полностью возмещен ущерб через фонд SAFU (Secure Asset Fund for Users). Этот фонд, созданный после взлома биржи в 2018 году, удерживает часть торговых комиссий в резерве специально для покрытия убытков пользователей от инцидентов безопасности.

Решение о возмещении создает важный прецедент и поднимает интересный вопрос о распределении ответственности. Trust Wallet был скомпрометирован без прямой вины пользователей, которые просто открыли свои кошельки в период действия уязвимости. Но первопричиной стала атака на цепочку поставок, скомпрометировавшая инфраструктуру разработчиков, что, в свою очередь, стало возможным из-за системных уязвимостей в экосистеме npm.

Меры Trust Wallet по немедленному реагированию включали прекращение действия всех API для релизов, чтобы заблокировать выпуск новых версий на две недели, сообщение регистратору о вредоносном домене эксфильтрации данных (что привело к его оперативной блокировке) и выпуск «чистой» версии 2.69. Пользователям было рекомендовано немедленно перевести средства на новые кошельки, если они разблокировали расширение в период с 24 по 26 декабря.

Уроки для криптоэкосистемы​

Кампания «Шай-Хулуд» обнажает системные уязвимости, выходящие далеко за пределы Trust Wallet:

Для разработчиков​

Явно фиксируйте зависимости. Эксплуатация скрипта preinstall возможна, потому что при установке через npm может выполняться произвольный код. Фиксация (pinning) известных чистых версий предотвращает внедрение скомпрометированных пакетов через автоматические обновления.

Относитесь к секретам как к скомпрометированным. Любой проект, загружавший пакеты npm в период с 21 ноября по декабрь 2025 года, должен исходить из того, что его учетные данные раскрыты. Это означает отзыв и перевыпуск токенов npm, GitHub PAT, SSH-ключей и учетных данных облачных провайдеров.

Внедрите надлежащее управление секретами. API-ключи для критически важной инфраструктуры, такой как публикация в магазинах приложений, никогда не должны храниться в системах контроля версий, даже в приватных репозиториях. Используйте аппаратные модули безопасности (HSM) или специализированные сервисы управления секретами.

Используйте MFA, устойчивую к фишингу. Стандартную двухфакторную аутентификацию могут обойти опытные злоумышленники. Аппаратные ключи, такие как YubiKey, обеспечивают более надежную защиту учетных записей разработчиков и CI/CD.

Для пользователей​

Диверсифицируйте инфраструктуру кошельков. Не храните все средства в браузерных расширениях. Аппаратные кошельки обеспечивают изоляцию от программных уязвимостей — они могут подписывать транзакции, никогда не раскрывая сид-фразы потенциально скомпрометированным браузерам.

Допускайте, что обновления могут быть вредоносными. Модель автоматического обновления, делающая ПО удобным, также делает его уязвимым. Рассмотрите возможность отключения автообновлений для критически важных с точки зрения безопасности расширений и проверяйте новые версии вручную.

Мониторьте активность кошелька. Сервисы, оповещающие о подозрительных транзакциях, могут заранее предупредить о взломе, потенциально ограничивая потери до того, как злоумышленники опустошат кошельки полностью.

Для индустрии​

Укрепляйте экосистему npm. Реестр npm является критически важной инфраструктурой для разработки Web3, однако в нем отсутствуют многие функции безопасности, которые могли бы предотвратить «червеподобное» распространение угроз. Обязательная подпись кода, воспроизводимые сборки и обнаружение аномалий в обновлениях пакетов могли бы значительно поднять планку для атакующих.

Переосмыслите безопасность браузерных расширений. Текущая модель, при которой расширения обновляются автоматически и имеют широкие права доступа, фундаментально несовместима с требованиями безопасности для хранения значительных активов. Могут помочь песочницы для исполнения, отложенные обновления с проверкой пользователем и сокращение объема разрешений.

Координируйте реагирование на инциденты. Кампания «Шай-Хулуд» затронула сотни проектов в криптоэкосистеме. Улучшенный обмен информацией и скоординированные действия могли бы ограничить ущерб по мере выявления скомпрометированных пакетов.

Будущее безопасности цепочек поставок в криптосфере​

Исторически криптовалютная индустрия концентрировала усилия по обеспечению безопасности на аудите смарт-контрактов, холодном хранении на биржах и защите пользователей от фишинга. Кампания «Шай-Хулуд» демонстрирует, что самые опасные атаки могут исходить от скомпрометированных инструментов разработчика — инфраструктуры, с которой криптопользователи никогда не взаимодействуют напрямую, но которая лежит в основе каждого используемого ими приложения.

По мере усложнения Web3-приложений их графы зависимостей становятся всё шире. Каждый npm-пакет, каждое действие GitHub, каждая интеграция CI/CD представляют собой потенциальный вектор атаки. Реакция индустрии на «Шай-Хулуд» определит, станет ли это разовым тревожным сигналом или началом эры атак на цепочки поставок в криптоинфраструктуре.

На данный момент злоумышленники остаются неопознанными. Около 2,8 млн долларов украденных средств Trust Wallet всё еще находятся на их кошельках, в то время как остальная часть была отмыта через централизованные биржи и кроссчейн-мосты. Более 50 млн долларов от более ранних краж в рамках кампании «Шай-Хулуд» практически исчезли в псевдонимных глубинах блокчейна.

Песчаный червь зарылся глубоко в основы криптографии. Чтобы искоренить его, потребуется переосмысление принципов безопасности, которые индустрия принимала как должное с первых дней своего существования.

---

Создание безопасных Web3-приложений требует надежной инфраструктуры. BlockEden.xyz предоставляет RPC-узлы и API корпоративного уровня со встроенным мониторингом и обнаружением аномалий, помогая разработчикам выявлять необычную активность до того, как она затронет пользователей. Изучите наш маркетплейс API, чтобы строить на фундаменте, ориентированном на безопасность.

Число случаев компрометации личных кошельков в 2025 году резко возросло до 158 000 инцидентов, затронувших 80 000 уникальных жертв, что привело к краже 713 млн $ только из персональных хранилищ. Это не взлом биржи или эксплойт протокола — это обычные пользователи криптовалют, теряющие свои сбережения из-за злоумышленников, чьи методы стали гораздо сложнее простых фишинговых писем. На долю компрометаций личных кошельков теперь приходится 37 % всей стоимости украденной криптовалюты по сравнению с 7,3 % в 2022 году. Посыл ясен: если вы владеете криптовалютой, вы являетесь мишенью, и вчерашних стратегий защиты уже недостаточно.

Только за первую половину 2025 года злоумышленники вывели из криптопротоколов более $2,3 млрд — это больше, чем за весь 2024 год. Одной только уязвимости контроля доступа стоили индустрии$ 1,6 млрд. Взлом Bybit в феврале 2025 года — атака на цепочку поставок на сумму $ 1,4 млрд — продемонстрировал, что даже крупнейшие биржи остаются уязвимыми. Вступая в 2026 год, индустрия аудита смарт-контрактов переживает свой самый критический момент: развиваться или наблюдать, как еще миллиарды исчезают в кошельках хакеров.

21 февраля 2025 года северокорейские хакеры похитили 1,5 миллиарда долларов в криптовалюте у базирующейся в Дубае биржи Bybit примерно за 30 минут. Это было не просто крупнейшее криптоограбление в истории — если бы Bybit была банком, оно стало бы крупнейшим ограблением банка, когда-либо зафиксированным в Книге рекордов Гиннесса.

Атака не была связана с использованием бага в смарт-контракте или взломом приватного ключа методом перебора. Вместо этого хакеры скомпрометировали ноутбук одного разработчика у стороннего провайдера кошельков, терпеливо ждали несколько недель и нанесли удар, когда сотрудники Bybit одобряли то, что выглядело как рутинный внутренний перевод. К тому времени, когда кто-то понял, что что-то не так, 500 000 ETH исчезли в лабиринте кошельков, контролируемых северокорейской группировкой Lazarus Group.

Это история о том, как это произошло, почему это важно и что это говорит о состоянии безопасности в сфере криптографии в 2025 году.

Атака: Мастер-класс по терпению и точности​

Взлом Bybit не был обычным налетом. Это была тщательно спланированная операция, которая разворачивалась в течение нескольких недель.

Фаза 1: Компрометация разработчика​

4 февраля 2025 года разработчик Safe{Wallet} — широко используемой платформы для кошельков с мультиподписью, на которую Bybit полагалась для обеспечения безопасности крупных переводов, — скачал то, что казалось легитимным Docker-проектом под названием «MC-Based-Stock-Invest-Simulator-main». Файл, скорее всего, был доставлен через атаку с использованием социальной инженерии, возможно, замаскированную под предложение о работе или инвестиционный инструмент.

Вредоносный Docker-контейнер немедленно установил соединение с сервером, контролируемым злоумышленниками. Оттуда хакеры извлекли сессионные токены AWS с рабочей станции разработчика — временные учетные данные, которые предоставляют доступ к облачной инфраструктуре Safe{Wallet}.

С помощью этих токенов злоумышленники полностью обошли многофакторную аутентификацию. Теперь у них были ключи от всего «королевства» Safe{Wallet}.

Фаза 2: Спящий код​

Вместо того чтобы действовать немедленно, злоумышленники внедрили незаметный JavaScript-код в веб-интерфейс Safe{Wallet}. Этот код был специально разработан для Bybit — он оставался бездействующим до тех пор, пока не обнаруживал, что сотрудник Bybit открыл свою учетную запись Safe и собирается авторизовать транзакцию.

Сложность здесь поразительна. Весь функционал приложения Safe{Wallet} работал нормально для всех остальных пользователей. Целью был только Bybit.

Фаза 3: Ограбление​

21 февраля 2025 года сотрудники Bybit инициировали то, что должно было стать рутинным переводом с холодного кошелька (безопасное автономное хранилище) на теплый кошелек (для активной торговли). Для этого требовалось несколько подписей уполномоченного персонала — стандартная практика безопасности, называемая мультисиг (multisig).

Когда подписанты открыли Safe{Wallet} для одобрения транзакции, интерфейс отобразил то, что казалось правильным адресом назначения. Но вредоносный код уже подменил команду на другую. Сотрудники, сами того не зная, одобрили транзакцию, которая опустошила весь холодный кошелек Bybit.

В течение нескольких минут 500 000 ETH стоимостью около 1,5 миллиарда долларов перетекли на адреса, контролируемые злоумышленниками.

Технический эксплойт: Delegatecall​

Ключевой уязвимостью стала функция Ethereum delegatecall, которая позволяет смарт-контракту выполнять код другого контракта в контексте своего собственного хранилища. Злоумышленники обманом заставили подписантов Bybit изменить логику контракта их кошелька на вредоносную версию, фактически передав хакерам полный контроль.

Это не было багом в Ethereum или в основном протоколе Safe{Wallet}. Это была атака на человеческий фактор — момент, когда доверенные сотрудники проверяют и одобряют транзакции.

Lazarus Group из Северной Кореи: Самые прибыльные хакеры в мире​

В течение 24 часов после атаки блокчейн-исследователь ZachXBT представил Arkham Intelligence доказательства, окончательно связывающие взлом с северокорейской группировкой Lazarus Group. ФБР подтвердило эту принадлежность 26 февраля 2025 года.

Lazarus Group — также известная как TraderTraitor и APT38 — действует под эгидой Главного разведывательного управления Северной Кореи. Это не преступная банда, ищущая прибыль для личного обогащения. Это поддерживаемая государством операция, доходы от которой идут на финансирование программ Северной Кореи по созданию ядерного оружия и баллистических ракет.

Цифры ошеломляют:

• Только за 2025 год: северокорейские хакеры украли 2,02 миллиарда долларов в криптовалюте.
• Доля Bybit: 1,5 миллиарда долларов (74 % от всей добычи Северной Кореи за 2025 год в результате одной атаки).
• С 2017 года: Северная Корея похитила криптоактивов на сумму более 6,75 миллиарда долларов.
• 2025 против 2024: рост стоимости украденных активов на 51 % в годовом исчислении.

На долю Северной Кореи пришлось 59 % всей криптовалюты, украденной во всем мире в 2025 году, и 76 % всех взломов бирж. Ни один другой злоумышленник даже не приблизился к этим показателям.

Индустриализация криптокраж​

Что отличает Северную Корею, так это не только масштаб, но и изощренность их операций.

Социальная инженерия важнее технических эксплойтов​

Большинство крупных взломов 2025 года было совершено с помощью социальной инженерии, а не технических уязвимостей. Это представляет собой фундаментальный сдвиг. Хакеры больше не охотятся в первую очередь за багами в смарт-контрактах или криптографическими слабостями. Они целятся в людей.

Оперативники Lazarus Group внедрялись в качестве ИТ-специалистов в криптокомпании. Они выдавали себя за руководителей. Они рассылали разработчикам предложения о работе, содержащие вредоносное ПО. Атака на Bybit началась с того, что разработчик скачал поддельный симулятор торговли акциями — классический вектор социальной инженерии.

Китайская «прачечная»​

Кража криптовалюты — это только половина задачи. Конвертация её в используемые средства без риска быть пойманным — процесс не менее сложный.

Вместо того чтобы обналичивать средства напрямую, Северная Корея передала отмывание денег на аутсорсинг тому, что следователи называют «Китайской прачечной» — разветвлённой сети подпольных банкиров, OTC-брокеров и посредников по отмыванию денег на основе торговых операций. Эти участники отмывают украденные активы через различные блокчейны, юрисдикции и платежные каналы.

К 20 марта 2025 года — менее чем через месяц после взлома Bybit — генеральный директор Бен Чжоу сообщил, что хакеры уже конвертировали 86,29 % украденного ETH в биткоины через множество промежуточных кошельков, децентрализованные биржи и кросс-чейн мосты. 45-дневный цикл отмывания после крупных краж стал предсказуемой закономерностью.

Несмотря на эти усилия, Чжоу отметил, что 88,87 % украденных активов остаются отслеживаемыми. Но «отслеживаемый» не означает «возвращаемый». Средства проходят через юрисдикции, не имеющие партнерских отношений с правоохранительными органами США или международными структурами.

Реакция Bybit: управление кризисом под огнём​

В течение 30 минут после обнаружения взлома генеральный директор Бен Чжоу взял ситуацию под контроль и начал предоставлять обновления в режиме реального времени в X (бывший Twitter). Его сообщение было резким: «Bybit платежеспособна. Даже если потери от этого взлома не будут возмещены, все активы клиентов обеспечены 1 к 1, мы можем покрыть убытки».

Биржа обработала более 350 000 запросов на вывод средств в течение 12 часов — это стало сигналом для пользователей, что, несмотря на катастрофические потери, операции продолжатся в обычном режиме.

Экстренное финансирование​

В течение 72 часов Bybit пополнила свои резервы, получив 447 000 ETH в качестве экстренного финансирования от партнеров, включая Galaxy Digital, FalconX и Wintermute. Bitget предоставила заем в размере 40 000 ETH, чтобы обеспечить бесперебойный вывод средств — этот заем Bybit погасила в течение трех дней.

Фирма по кибербезопасности Hacken провела аудит подтверждения резервов (proof-of-reserves), подтвердив, что основные активы Bybit обеспечены залогом более чем на 100 %. Такая прозрачность была беспрецедентной для кризиса подобного масштаба.

Программа вознаграждений (Bounty)​

Чжоу объявил «войну против Lazarus» и запустил глобальную баунти-программу, предлагая вознаграждение до 10 % за информацию, которая приведет к заморозке активов. К концу года Bybit выплатила 2,18 млн долларов в USDT участникам, которые помогли отследить или вернуть средства.

Вердикт рынка​

К концу 2025 года число пользователей Bybit по всему миру превысило 80 миллионов, ежедневный объем торгов составил 7,1 млрд долларов, а биржа заняла 5-е место среди спотовых криптовалютных бирж. Реакция на кризис стала хрестоматийным примером того, как выжить после катастрофического взлома.

2025: Год, когда кражи криптоактивов достигли 3,4 млрд долларов​

Взлом Bybit доминировал в заголовках газет, но он был частью более масштабной тенденции. Общий объем краж криптовалют в 2025 году достиг 3,4 млрд долларов — новый рекорд и третий год роста подряд.

Ключевая статистика:

• 2023: украдено 2 млрд долларов
• 2024: украдено 2,2 млрд долларов
• 2025: украдено 3,4 млрд долларов

Доля Северной Кореи выросла примерно с половины до почти 60 % всех краж криптовалют. КНДР совершала более крупные кражи при меньшем количестве инцидентов, демонстрируя растущую эффективность и изощренность.

Извлеченные уроки: где система безопасности дала сбой​

Взлом Bybit выявил критические уязвимости, которые выходят далеко за рамки одной биржи.

Риск третьих сторон является экзистенциальным​

У Bybit не было сбоя в системе безопасности. Он произошел у Safe{Wallet}. Но последствия понесла Bybit.

Криптоиндустрия выстроила сложные цепочки зависимостей, где биржи полагаются на поставщиков кошельков, поставщики кошельков — на облачную инфраструктуру, а облачная инфраструктура — на рабочие станции отдельных разработчиков. Компрометация в любом звене этой цепочки может привести к катастрофическим последствиям.

Холодного хранения недостаточно​

Индустрия долгое время считала холодные кошельки золотым стандартом безопасности. Но средства Bybit находились в холодном хранилище, когда их украли. Уязвимость заключалась в процессе их перемещения — этапе человеческого одобрения, для защиты которого и была разработана мультиподпись (multisig).

Когда переводы становятся рутиной, у подписантов развивается ложное чувство безопасности, и они начинают относиться к одобрениям как к формальности, а не как к критически важным решениям по безопасности. Атака на Bybit использовала именно этот поведенческий паттерн.

UI как единая точка отказа​

Безопасность мультиподписи предполагает, что подписанты могут проверить то, что они одобряют. Но если интерфейс, отображающий детали транзакции, скомпрометирован, верификация теряет смысл. Злоумышленники показывали подписантам одно, выполняя при этом другое.

Симуляции перед подписанием — позволяющие сотрудникам предварительно просмотреть фактическое место назначения транзакции до одобрения — могли бы предотвратить эту атаку. Так же как и задержки для крупных выводов средств, дающие время для дополнительной проверки.

Социальная инженерия побеждает техническую безопасность​

У вас может быть самая сложная криптографическая защита в мире, но один сотрудник, скачавший не тот файл, может обойти её всю. Слабое место в безопасности криптовалют всё чаще становится человеческим, а не техническим.

Регуляторные и отраслевые последствия​

Взлом Bybit уже меняет регуляторный ландшафт.

Ожидайте введения обязательных требований к:

• Аппаратным модулям безопасности (HSM) для управления ключами
• Мониторингу транзакций в реальном времени и обнаружению аномалий
• Регулярным сторонним аудитам безопасности
• Усиленным AML-структурам и задержкам транзакций для крупных переводов

Безопасность и соответствие нормативным требованиям становятся порогом для доступа на рынок. Проекты, которые не смогут продемонстрировать надежное управление ключами, дизайн разрешений и заслуживающие доверия механизмы безопасности, окажутся отрезанными от банковских партнеров и институциональных пользователей.

Что это значит для индустрии​

Взлом Bybit раскрывает неудобную правду: модель безопасности криптовалют настолько же крепка, насколько крепко её самое слабое операционное звено.

Индустрия вложила значительные средства в криптографическую безопасность — доказательства с нулевым разглашением, пороговые подписи, защищенные анклавы. Но самая сложная криптография теряет смысл, если злоумышленник может обманом заставить человека одобрить вредоносную транзакцию.

Для бирж сигнал ясен: инновации в области безопасности должны выходить за рамки технологий и охватывать операционные процессы, управление рисками сторонних организаций и постоянное обучение сотрудников. Регулярные аудиты, совместный обмен данными об угрозах и планирование реагирования на инциденты больше не являются обязательными.

Для пользователей урок столь же суров: даже крупнейшие биржи с самой сложной системой безопасности могут быть скомпрометированы. Самостоятельное хранение, аппаратные кошельки и распределенное хранение активов остаются самыми надежными долгосрочными стратегиями — даже если они менее удобны.

Заключение​

Северокорейская Lazarus Group поставила кражу криптовалюты на поток. С 2017 года они украли более 6,75 миллиарда долларов, причем 2025 год стал для них самым успешным. Один только взлом Bybit — 1,5 миллиарда долларов за одну операцию — демонстрирует возможности, которым позавидовала бы любая спецслужба.

Криптоиндустрия находится в состоянии гонки вооружений с поддерживаемыми государством хакерами, которые обладают неограниченным терпением, сложными техническими возможностями и не боятся последствий. Атака на Bybit удалась не благодаря какому-то новому эксплойту, а потому что злоумышленники понимали: самым слабым звеном являются люди, а не код.

До тех пор, пока индустрия не начнет относиться к операционной безопасности с той же строгостью, что и к криптографической, подобные атаки будут продолжаться. Вопрос не в том, произойдет ли еще один взлом на миллиард долларов, а в том, когда это случится и сможет ли цель среагировать так же эффективно, как Bybit.

---

Эта статья предназначена только для образовательных целей и не должна рассматриваться как финансовый совет. Всегда проводите собственное исследование и уделяйте приоритетное внимание безопасности при взаимодействии с криптовалютными биржами и кошельками.

В одной из самых изощренных кибератак 2023 года Radiant Capital, децентрализованный кроссчейн-протокол кредитования, построенный на LayerZero, потерял около $50 миллионов из-за хакеров. Сложность и точность этой атаки выявили продвинутые возможности спонсируемых государством северокорейских хакеров, расширив границы того, что многие считали возможным в сфере нарушений криптобезопасности.

Идеальная атака социальной инженерии​

11 сентября 2023 года разработчик Radiant Capital получил, казалось бы, невинное сообщение в Telegram. Отправитель выдавал себя за бывшего подрядчика, утверждая, что он сменил сферу деятельности на аудит смарт-контрактов и хотел получить отзыв о проектном отчете. Такой тип запросов является обычным явлением в культуре удаленной работы в крипторазработке, что делает его особенно эффективным в качестве тактики социальной инженерии. Злоумышленники приложили дополнительные усилия, создав поддельный веб-сайт, который точно имитировал легитимный домен предполагаемого подрядчика, добавив еще один уровень подлинности к своему обману.

Троянский конь​

Когда разработчик загрузил и распаковал файл, он выглядел как стандартный PDF-документ. Однако на самом деле файл представлял собой вредоносный исполняемый файл под названием INLETDRIFT, замаскированный под иконку PDF. После открытия он незаметно установил бэкдор в систему macOS и установил связь с командным сервером злоумышленников (atokyonews[.]com). Ситуация усугубилась, когда зараженный разработчик, ища обратную связь, поделился вредоносным файлом с другими членами команды, непреднамеренно распространив вредоносное ПО внутри организации.

Изощренная атака типа «человек посередине»​

После установки вредоносного ПО хакеры осуществили точно нацеленную атаку типа «приманка и подмена». Они перехватывали данные транзакций, когда члены команды работали со своим мультисиг-кошельком Gnosis Safe. Хотя транзакция выглядела нормально в веб-интерфейсе, вредоносное ПО подменяло содержимое транзакции, когда она достигала аппаратного кошелька Ledger для подписи. Из-за механизма слепой подписи, используемого в мультисиг-транзакциях Safe, члены команды не могли обнаружить, что они фактически подписывали вызов функции transferOwnership(), которая передавала контроль над пулами кредитования злоумышленникам. Это позволило хакерам вывести средства пользователей, которые были авторизованы для контрактов протокола.

Быстрая зачистка​

После кражи злоумышленники продемонстрировали выдающуюся операционную безопасность. Всего за три минуты они удалили все следы бэкдора и расширений браузера, эффективно заметая следы.

Ключевые уроки для индустрии​

1. Никогда не доверяйте загрузке файлов: Команды должны стандартизировать использование онлайн-инструментов для документов, таких как Google Docs или Notion, вместо загрузки файлов. Например, процесс найма OneKey принимает только ссылки на Google Docs, категорически отказываясь открывать любые другие файлы или ссылки.

2. Безопасность фронтенда критически важна: Инцидент подчеркивает, насколько легко злоумышленники могут подделать информацию о транзакциях на фронтенде, заставляя пользователей неосознанно подписывать вредоносные транзакции.

3. Риски слепой подписи: Аппаратные кошельки часто отображают чрезмерно упрощенные сводки транзакций, что затрудняет проверку истинной природы сложных взаимодействий со смарт-контрактами.

4. Безопасность протоколов DeFi: Проекты, работающие с большими объемами капитала, должны внедрять механизмы временной блокировки (timelock) и надежные процессы управления. Это создает буферный период для обнаружения подозрительных действий и реагирования на них до того, как средства могут быть перемещены.

Взлом Radiant Capital служит отрезвляющим напоминанием о том, что даже при наличии аппаратных кошельков, инструментов симуляции транзакций и лучших отраслевых практик изощренные злоумышленники все еще могут найти способы скомпрометировать безопасность. Это подчеркивает необходимость постоянной бдительности и развития мер криптобезопасности. По мере созревания индустрии мы должны извлекать уроки из этих инцидентов, чтобы создавать более надежные системы безопасности, способные противостоять все более изощренным векторам атак. Будущее DeFi зависит от этого.