32 поста с тегом "Кибербезопасность"

22 марта 2026 года злоумышленник зашел в Resolv Labs со 100 000 $в USDC и вышел с 25 миллионами$ в ETH. Смарт-контракты не давали сбоев. Оракул не лгал. Дельта-нейтральная стратегия хеджирования работала в точности так, как было задумано. Вместо этого одни-единственные учетные данные AWS Key Management Service — ключ подписи, находившийся вне блокчейна, — дали взломщику разрешение на минт 80 миллионов необеспеченных токенов USR под залог депозита в 100 000 $. Семнадцать минут спустя USR упал с 1,00$ до 0,025 $, что означает обвал на 97,5 %, и протоколы кредитования по всему Ethereum приняли на себя удар.

Инцидент с Resolv примечателен не тем, что он был хитроумным. Он примечателен тем, что он таковым не был. Отсутствие проверки максимального объема минта, единая точка отказа в облачном управлении ключами и оракулы, оценивавшие потерявший привязку стейблкоин в 1 $ — DeFi уже сталкивался с каждым из этих сбоев раньше. То, что раскрывает этот взлом, вызывает дискомфорт: поверхность атаки на современные стейблкоины незаметно переместилась из Solidity в консоли AWS, а модели безопасности отрасли еще не адаптировались.

Сто северокорейских оперативников. Пятьдесят три криптопроекта. Шесть месяцев кропотливой разведывательной работы — и неутешительный вывод: самая опасная атака КНДР на Web3 — это не очередной эксплойт, а инженер, который уже внедрил код в вашу ветку main в прошлом квартале.

Таков основной результат проекта Ketman — инициативы, поддерживаемой Ethereum Foundation и реализуемой в рамках программы безопасности ETH Rangers. Раскрытие данных в апреле 2026 года описывает не хакерскую атаку. Оно описывает рабочую силу — долгосрочный кадровый канал, который незаметно выкачивал доходы КНДР из крипто-зарплат, одновременно обеспечивая тот вид инсайдерского доступа, который делает возможными такие события, как кража 1,5 миллиарда долларов у Bybit.

Для индустрии, привыкшей считать риски со стороны КНДР чем-то, что происходит на уровне мультисигов, это качественный сдвиг. Угроза больше не звучит как «они взломают нас». Она звучит как «они уже внутри, и они сами написали скрипт сборки».

26 февраля 2026 года Национальная налоговая служба (NTS) Южной Кореи праздновала крупную победу в сфере правоприменения. Она провела обыски у 124 крупных неплательщиков налогов, конфисковав цифровые активы на сумму около 8,1 млрд вон (5,6 млн долларов). Ведомство с гордостью опубликовало пресс-релиз, сопроводив его фотографиями высокого разрешения конфискованных аппаратных кошельков Ledger.

Была лишь одна проблема. На одной из этих фотографий была запечатлена рукописная фраза восстановления — без какой-либо ретуши, в идеальном качестве и транслируемая на весь мир.

В течение нескольких часов 4 миллиона токенов Pre-Retogeum (PRTG) — номинальной стоимостью 4,8 млн долларов — были выведены. Затем, примерно через 20 часов, злоумышленник вернул их. Не из-за угрызений совести, а потому что ежедневный объем торгов токена составлял 332 доллара, и продать его было математически невозможно. Южную Корею выручила та самая неликвидность, которая изначально делала конфискацию экономически бессмысленной.

Этот инцидент одновременно забавный, постыдный и поучительный. А также это предупреждение. Поскольку правительства все чаще хранят миллиарды в конфискованной криптовалюте, разрыв между амбициями правоохранительных органов и компетентностью в вопросах хранения никогда не был таким огромным.

Анатомия PR-катастрофы на 4,8 млн долларов​

NTS хотела наглядных доказательств своей эффективности. Вместо того чтобы обрезать или заблюрить устройства Ledger, сотрудники опубликовали оригинальные фото прямо с места обыска. На одном снимке был запечатлен листок бумаги рядом с Ledger Nano — фраза восстановления, которую владелец, судя по всему, записал от руки и хранил вместе с устройством.

Позже ведомство принесло извинения, признав очевидное: "В стремлении предоставить более наглядную информацию мы не осознали, что была включена конфиденциальная информация, и по неосторожности предоставили оригинальное фото". Перевод: никто в пресс-службе не понимал, что 12-словная последовательность рядом с Ledger — это мастер-ключ, а не украшение.

Спустя несколько часов после публикации неизвестный злоумышленник восстановил кошелек. Ончейн-анализ показывает классическую последовательность действий:

1. Подготовка газа — злоумышленник перевел небольшое количество Ethereum на конфискованный кошелек для оплаты комиссий за транзакции.
2. Вывод — они перевели 4 миллиона токенов PRTG тремя транзакциями на внешний адрес.
3. Ожидание — затем ничего не произошло.

Потому что с этой добычей ничего нельзя было сделать.

Почему неликвидность спасла Корею​

PRTG, или Pre-Retogeum — это токен, о котором большинство людей никогда не слышало, и на то есть веская причина. Он торгуется ровно на одной централизованной бирже — MEXC — и его суточный объем торгов составляет примерно 332 доллара. Согласно CoinGecko, ордер на продажу всего на 59 долларов обрушил бы цену на 2 %.

Математика попытки обналичить 4,8 млн долларов при такой ликвидности выглядит мрачно. Даже если бы ликвидация растянулась на недели, злоумышленник:

• Продемонстрировал бы очевидные паттерны кражи команде комплаенса MEXC.
• Обрушил бы цену более чем на 90 % до того, как был бы реализован значимый объем.
• Сразу привлек бы внимание властей Южной Кореи, которые уже вели расследование.

Примерно через 20 часов после первоначального перевода злоумышленник сдался. Адрес, связанный с кошельком вора «86c12», отправил все 4 миллиона токенов PRTG обратно на исходные адреса. Пресс-релиз раскрыл мастер-ключ от хранилища, полного «игрушечных денег».

Если бы конфискованными токенами были Bitcoin, Ether или стейблкоин уровня Tier-1, средства бы исчезли. Такой же провал в операционной безопасности (OpSec) с USDT или ETH закончился бы 10-минутным микшированием через Tornado Cash и отсутствием каких-либо возвратных активов. Ужасный рынок PRTG стал случайной подушкой безопасности.

Это не первый случай​

В истории хранения криптовалют в Корее есть трещины, выходящие за рамки одного пресс-релиза. В 2021 году следователи полиции потеряли 22 BTC (стоимостью в миллионы по текущим ценам) из холодного кошелька, хранившегося в камере хранения вещдоков. Первопричина была та же: неправильное обращение с мнемоническими фразами, отсутствие политики мультисига (multi-sig) и цепочка хранения, в которой к крипте относились как к любому другому изъятому объекту.

Два инцидента с разницей в пять лет в двух разных правоохранительных ведомствах одной страны. Это системная проблема, а не просто неудачный день для пресс-службы NTS.

И Корея в этом не одинока. Правоохранительные органы по всему миру регулярно изымают аппаратные кошельки во время обысков — и почти ни у кого из них нет опубликованных внутренних стандартов для:

• Фотографирования улик без раскрытия данных для восстановления.
• Перевода конфискованных средств на контролируемые государством мультисиг-кошельки.
• Ротации хранения с оригинального оборудования на новые ключи.
• Ролевого доступа между криминалистами, прокурорами и казначейством.

Большинство агентств относятся к Ledger как к смартфону. Они упаковывают его в пакет, вешают бирку и подшивают к делу. Результатом является растущий системный риск по мере того, как объемы государственных криптовалютных запасов исчисляются миллиардами.

Разрыв между правоприменением и компетентностью в вопросах хранения​

Сравните инцидент с NTS и конфискацию Министерством юстиции США (DOJ) в ноябре 2025 года Bitcoin на сумму 15 миллиардов долларов — примерно 127 271 BTC, — связанных с операцией Prince Group по «забою свиней» (pig-butchering). Этот захват, крупнейший в истории Министерства юстиции, был осуществлен с использованием инструментов отслеживания Chainalysis, скоординированных международных ордеров и немедленного перевода на счета Казначейства, находящиеся под его контролем. Только компания Chainalysis за десятилетие помогла в сотнях государственных конфискаций, обеспечив сохранность незаконной крипты на сумму около 12,6 млрд долларов.

Правительство США сейчас удерживает около 198 012 BTC в рамках своей структуры стратегического резерва Bitcoin — примерно 18,3 млрд долларов по текущим ценам. Сальвадор владеет 7500 BTC, приобретенными напрямую. Бутан накопил около 6000 BTC за счет государственного майнинга. В совокупности правительства по всему миру сейчас владеют более чем 2,3 % всех биткоинов.

Операционный разрыв между сложными инструментами Министерства юстиции США и неразмытыми JPEG-файлами NTS — это не разница в уровне развития, а разница в том, разработал ли кто-то уже стандартные операционные процедуры. Многие ведомства до сих пор относятся к хранению криптовалюты как к упражнению в импровизации.

Этот разрыв становится критическим по мере роста суверенных запасов. Один провал в OpSec на уровне Минюста США — нескрытый хеш транзакции, раскрытый адрес холодного хранилища, плохая ротация подписантов — может привести к потере миллиардов, а не миллионов. А у биткоина нет «подушки безопасности» в виде неликвидности.

Как на самом деле выглядит профессиональное хранение​

Индустрия институционального хранения уже нашла ответы на вопросы, которые завели NTS в тупик. Современные стеки хранения для государственных и корпоративных нужд полагаются на:

• Мультиподпись с MPC — пороговая схема 3-из-5, где каждая доля ключа сама по себе защищена многосторонними вычислениями (MPC). Ни один подписант, устройство или скомпрометированный сотрудник не может переместить средства. Полный приватный ключ никогда не существует в одном месте.
• Автономное «холодное» хранение (Air-gapped) — изъятые активы немедленно переводятся на кошельки, чьи приватные ключи никогда не касались устройства, подключенного к интернету. Оригинальное оборудование становится уликой, а не активным инструментом подписи.
• Разделение ролей — технические специалисты занимаются хранением, прокуроры — документами, а назначенная казначейская служба подписывает транзакции. Ни одна роль не контролирует одновременно и ключи, и отчетность.
• Документация, защищенная от утечки улик — фотографии изъятых устройств редактируются прямо в камере, а не на этапе редакционной проверки. Стандартные операционные процедуры подразумевают, что любое изображение с кошельком в конечном итоге может попасть в сеть.

Ничто из этого не является экзотикой. Компании вроде Anchorage, BitGo, Fireblocks и растущий список кастодианов на базе MPC предлагают готовые решения государственного уровня. Технология не является узким местом. Проблема в институциональной дисциплине.

Уроки, которые переживут этот заголовок​

Инцидент с NTS выглядит забавным, потому что он закончился благополучно. Но он содержит четыре урока, которые регуляторы, правоохранительные органы и крипто-институты должны усвоить сейчас, пока ставки все еще измеряются миллионами, а не десятками миллиардов.

1. Стандартные операционные процедуры должны предполагать утечку фотоулик. Любое изображение рейда, содержащее аппаратный кошелек, должно быть отредактировано или исключено по умолчанию. PR-отделы не должны быть последней линией защиты криптографических секретов.

2. Изъятую криптовалюту необходимо немедленно ротировать. Как только активы восстановлены, их следует перевести на контролируемый правительством кошелек с мультиподписью и новыми ключами. Оригинальное оборудование становится уликой — оно никогда не должно оставаться активным устройством хранения после того, как факт рейда зафиксирован.

3. Неликвидность — это не стратегия безопасности. Корее повезло, потому что токены PRTG было невозможно быстро продать. Следующая утечка сид-фразы раскроет кошелек, полный ETH, USDC или SOL, и никакая глубина рынка не поможет вернуть эти средства.

4. Обучение сотрудников правоохранительных органов в сфере криптографии требует такой же строгости, как и обучение работе с вещдоками. Офицеры, фотографирующие изъятый автомобиль, случайно не публикуют VIN и ключи регистрации для широкой публики. Аналогичной дисциплины в отношении аппаратных кошельков в большинстве агентств пока не существует.

Инфраструктура для эпохи «после дилетантов»​

По мере того как правительства переходят от изъятия криптовалюты к ее хранению в качестве суверенных резервов, вся экосистема — а не только правоохранительные органы — должна выйти на новый уровень. Налоговым органам, судебным системам и национальным казначействам требуется инфраструктура институционального уровня: надежный мультичейн-доступ к данным для мониторинга изъятых адресов, высокодоступные сервисы нод для отправки транзакций и API аудиторского класса, которые создают неоспоримые записи о цепочке владения (chain-of-custody).

BlockEden.xyz предоставляет инфраструктуру блокчейн-API корпоративного уровня для более чем 27 сетей, созданную специально для требований комплаенса и надежности институционального хранения. Изучите наш маркетплейс API, если вы создаете инструменты, которые помогают серьезным кастодианам не стать героями следующего громкого заголовка.

Следующий раз будет хуже​

Утечка сид-фразы NTS запомнится как курьезный случай — инцидент, когда токен, о котором никто не слышал, защитил правительство от его собственной PR-команды. В следующий раз такой удачи не будет.

По мере роста суверенных запасов биткоина, миграции токенизированных активов в публичные чейны и превращения конфискаций в рутинные операции, риски от одной ошибки в операционной безопасности (OpSec) становятся колоссальными. Каждый фотограф, каждый стажер, каждый благонамеренный пресс-секретарь теперь является потенциальным вектором для кражи девятизначных сумм.

Ирония заключается в том, что проблема не в криптографии. Ledger справился со своей задачей. Ethereum справился со своей задачей. Блокчейн добросовестно выполнил перевод 4 миллионов токенов незнакомцу, именно так, как указал подписант. Провал был полностью человеческим — пресс-служба отнеслась к фразе из 12 слов как к элементу фотодекора.

Криптовалюте не нужны лучшие кошельки. Ей нужны лучшие привычки. И в 2026 году, когда правительства будут владеть 2,3 % всех биткоинов и миллиардами в других цифровых активах, окно для освоения этих привычек на глазах у публики стремительно закрывается.

Источники:

• South Korea probes $4.8 million crypto theft after tax seizure photo blunder — CoinDesk
• $4.8M in crypto stolen after Korean tax agency exposes wallet seed — BleepingComputer
• Ethereum Tokens Swiped, Returned After South Korean Tax Service Publishes Wallet Seed Phrases — Decrypt
• South Korea's tax office apologizes for password leak — The Register
• South Korean National Tax Service Exposes Ledger Wallet Seed — Rescana
• DOJ Seizes $15 Billion in Bitcoin — Chainalysis
• National Crypto Reserves Tracker — CCN
• Multi-Sig and MPC in Enterprise Crypto Custody in 2026 — ChainUp

Представьте себе рейд в квартиру человека, уклоняющегося от уплаты налогов, изъятие четырех аппаратных кошельков и последующую публикацию триумфального пресс-релиза с фотографией улик — на которой отчетливо видна сид-фраза кошелька. Теперь представьте, что вор опустошает кошелек в течение нескольких часов, возвращает токены в качестве предупреждения, а второй вор крадет их снова до того, как ваше ведомство успевает среагировать.

Это не мысленный эксперимент из крипто-Твиттера. Именно это произошло с Национальной налоговой службой (NTS) Южной Кореи в конце февраля 2026 года — оплошность, которая стоила правительству примерно 4,8 миллиона долларов в конфискованных токенах Pre-Retogeum (PRTG) и показала, насколько большинство государственных структур не готовы к хранению цифровых активов, которые они все чаще изымают.

Только в январе 2026 года фишинговые атаки украли более 311 миллионов долларов у крипто-пользователей. К тому времени, когда большинство жертв понимали, что их кошельки скомпрометированы, средства уже проходили через миксеры и кросс-чейн мосты. Долгие годы правоохранительные органы действовали с запозданием — расследуя преступления месяцы спустя, восстанавливая ничтожную часть средств.

Затем пришла Operation Atlantic.

Запущенная 16 марта 2026 года из штаб-квартиры Национального агентства борьбы с преступностью Великобритании в Лондоне, Operation Atlantic объединила Служба Секретных служб США, канадские правоохранительные органы, компании по аналитике блокчейна Chainalysis и TRM Labs, а также крипто-биржи Coinbase и Kraken для беспрецедентной недельной спринт-операции. Результат: 12 миллионов долларов заморожено, 45 миллионов долларов мошенничества отслежено, 20 000 кошельков жертв определено в 30 странах и более 120 мошеннических доменов отключено — все это за семь дней.

Это было не типичное расследование. Это было доказательством концепции того, что государственно-частные партнерства могут переместить безопасность крипто с реактивной судебной экспертизы на вмешательство в реальном времени.

Шесть часов. Именно столько времени украденные USDC на сумму $ 232 миллиона перетекали через собственный протокол Circle Cross-Chain Transfer Protocol (CCTP) из Solana в Ethereum — в рабочее время в США, средь бела дня, 1 апреля 2026 года — пока компания, которая чеканит и контролирует каждый существующий токен USDC, наблюдала и ничего не предпринимала. Эксплойт Drift Protocol, признанный крупнейшим DeFi-взломом 2026 года, вызвал яростные споры о том, что эмитенты стейблкоинов должны экосистеме и не хуже ли «выборочное применение правил», чем их полное отсутствие.

Согласно последней базе данных взломов DefiLlama, в первом квартале 2026 года протоколы DeFi потеряли 169 млн долларов в результате 34 отдельных эксплойтов. Этот показатель снизился на 89% в годовом исчислении по сравнению с ошеломляющими 1,58 млрд долларов в первом квартале 2025 года — однако это улучшение заголовков скрывает более тревожную историю. Злоумышленники, похитившие больше всего денег в этом квартале, не затронули ни одной строки кода смарт-контракта.

Федеральный судья в Сан-Франциско только что провел черту, которую должен понимать каждый разработчик, создающий ИИ-агентов. 9 марта 2026 года судья Максин М. Чесни постановила, что браузер Comet от Perplexity нарушил как федеральный Закон о компьютерном мошенничестве и злоупотреблении (CFAA), так и Калифорнийский закон о комплексном доступе к компьютерным данным и мошенничестве, осуществляя доступ к аккаунтам Amazon от имени пользователей — даже несмотря на то, что эти пользователи явно предоставили разрешение. Критическое различие: авторизация пользователя — это не то же самое, что авторизация платформой.

Это решение затрагивает не только Perplexity. Оно потенциально криминализирует целый класс поведения ИИ-агентов, над которым сейчас работают сотни стартапов, криптопротоколов и Web3-проектов.

Самая дорогая строка кода в истории криптовалют не была багом. Это была фишинговая ссылка.

В феврале 2025 года разработчик Safe{Wallet} кликнул по сообщению, которое казалось рутинным. В течение нескольких часов северокорейские оперативники захватили сессионные токены AWS, обошли многофакторную аутентификацию (MFA) и вывели $ 1,5 млрд из Bybit — крупнейшая кража в истории криптовалют. Ни одна уязвимость смарт-контракта не была использована. Ончейн-логика не дала сбоя. С кодом все было в порядке. С людьми — нет.

Отчет TRM Labs о криптопреступности за 2026 год подтверждает то, что предвещало это ограбление: эра эксплойтов смарт-контрактов как основной угрозы для криптоиндустрии закончена. Противники поднялись «выше по стеку», оставив поиски новых уязвимостей в коде ради компрометации операционной инфраструктуры — ключей, кошельков, сайнеров и панелей управления облаком, которые окружают в остальном безопасные протоколы.