Один пост с тегом "Кибербезопасность"

21 февраля 2025 года северокорейская группировка Lazarus Group совершила крупнейшую кражу криптовалюты в истории — 1,5 млрд долларов в Ethereum были выведены из холодного кошелька Bybit за одну транзакцию. Год спустя цифры рассказывают отрезвляющую историю: в то время как фирмы по блокчейн-аналитике изначально отследили 88,87 % украденных средств, заморожено было всего 3,54 %. Остальное распределено по тысячам кошельков в ожидании.

Это не просто история об ограблении. Это тематическое исследование того, как хакерская операция на государственном уровне переиграла инфраструктуру безопасности всей индустрии, и чему криптомир научился — или не смог научиться — за прошедшие двенадцать месяцев.

Всего за 1,22 доллара за контракт ИИ-агент теперь может просканировать смарт-контракт на наличие эксплуатируемых уязвимостей — при этом наступательные возможности эксплойтов удваиваются каждые 1,3 месяца. Добро пожаловать в самую значимую гонку вооружений в сфере децентрализованных финансов.

В феврале 2026 года OpenAI и Paradigm совместно запустили EVMbench — открытый бенчмарк, оценивающий, насколько эффективно ИИ-агенты обнаруживают, исправляют и эксплуатируют уязвимости смарт-контрактов. Результаты оказались отрезвляющими. GPT-5.3-Codex успешно эксплуатировал 72,2% известных уязвимых контрактов, по сравнению с 31,9% всего полгода назад. Тем временем специализированный ИИ-агент по безопасности обнаружил уязвимости в 92% из 90 скомпрометированных контрактов DeFi на сумму 96,8 миллиона долларов — это почти в три раза выше показателя обнаружения в 34%, продемонстрированного базовым ИИ-агентом для написания кода GPT-5.1.

Вывод очевиден: битва за безопасность DeFi превратилась в противостояние ИИ против ИИ, и экономика в подавляющем большинстве случаев благоприятствует злоумышленникам — по крайней мере, на данный момент.

Сооснователь Polygon обнаруживает, что незнакомые люди спрашивают его, действительно ли он сейчас находится с ними в Zoom-звонке. Организатор BTC Prague наблюдает, как на экране появляется убедительная, созданная ИИ копия известного крипто-CEO, которая просит запустить «быстрое исправление звука». Основатель ИИ-стартапа избегает заражения, настаивая на использовании Google Meet — и злоумышленники исчезают. Это не сцены из киберпанк-триллера. Это произошло в начале 2026 года, и все эти случаи объединяет общая нить: стремительно развивающаяся машина социальной инженерии Северной Кореи на основе дипфейков.

Приблизительно 6,26 миллиона биткоинов — стоимостью от $ 650 до $ 750 миллиардов — находятся на адресах, уязвимых для квантовых атак. Хотя большинство экспертов сходятся во мнении, что до появления криптографически значимых квантовых компьютеров еще далеко, инфраструктура, необходимая для защиты этих активов, не может быть построена в одночасье. Один протокол утверждает, что у него уже есть решение, и SEC с этим согласна.

Naoris Protocol стал первым децентрализованным протоколом безопасности, упомянутым в официальном документе регулятора США, когда в рамках программы SEC «Основы постквантовой финансовой инфраструктуры» (PQFIF) он был назван эталонной моделью для квантово-безопасной блокчейн-инфраструктуры. С запуском мейннета, запланированным до конца первого квартала 2026 года, 104 миллионами постквантовых транзакций, уже обработанных в тестнете, и партнерствами с институтами, ориентированными на НАТО, Naoris представляет собой радикальную ставку: следующий рубеж DePIN — это не вычисления или хранение данных, а сама кибербезопасность.

Ваш холодный кошелек не так безопасен, как вы думаете. В 2025 году атаки на инфраструктуру — направленные на закрытые ключи, системы кошельков и людей, которые ими управляют — составили 76 % всех украденных криптовалют, на общую сумму 2,2 млрд долларов всего в 45 инцидентах. Lazarus Group, северокорейское государственное хакерское подразделение, довела до совершенства сценарий, который делает традиционную безопасность холодного хранения почти бессмысленной: многомесячные кампании по проникновению, нацеленные на людей, а не на код.

Когда разработчик Safe{Wallet} под псевдонимом «Developer1» получил, казалось бы, обычный запрос 4 февраля 2025 года, он и не подозревал, что его Apple MacBook станет точкой входа для крупнейшей кражи криптовалюты в истории. В течение семнадцати дней северокорейская группировка Lazarus Group использовала этот единственный скомпрометированный ноутбук, чтобы украсть у Bybit $1,5 млрд — сумму, превышающую весь ВВП некоторых стран.

Это не было случайностью. Это стало кульминацией десятилетней эволюции, которая превратила группу хакеров, спонсируемых государством, в самых искушенных воров криптовалюты в мире, ответственных за кражи на общую сумму не менее $6,75 млрд.

Цифры ошеломляют: в 2025 году с криптовалютных платформ было украдено 3,4 миллиарда долларов, причем одно-единственное государство несет ответственность почти за две трети этой добычи. Северокорейская Lazarus Group не просто побила рекорды — она переписала правила государственного киберкриминала, совершая меньше атак, но извлекая из них экспоненциально больше выгоды. Вступая в 2026 год, криптовалютная индустрия сталкивается с неприятной правдой: парадигмы безопасности последних пяти лет фундаментально разрушены.

Тревожный звонок на 3,4 миллиарда долларов​

В декабре 2025 года аналитическая компания Chainalysis, специализирующаяся на блокчейн-разведке, опубликовала свой ежегодный отчет о преступности в криптосфере, подтвердив худшие опасения инсайдеров отрасли. Общий объем краж криптовалюты достиг 3,4 миллиарда долларов, при этом на долю северокорейских хакеров пришлось 2,02 миллиарда долларов — это на 51 % больше по сравнению с уже рекордными 1,34 миллиарда долларов в 2024 году. Таким образом, общая сумма похищенных КНДР криптовалют за все время составила примерно 6,75 миллиарда долларов.

Что делает кражи 2025 года беспрецедентными, так это не только долларовая сумма. Это эффективность. Северокорейские хакеры достигли этого рекордного улова, совершив на 74 % меньше известных атак, чем в предыдущие годы. Группировка Lazarus превратилась из разрозненного злоумышленника в инструмент точечного воздействия в финансовой войне.

TRM Labs и Chainalysis независимо подтвердили эти цифры, при этом TRM отметила, что криптопреступность стала «более организованной и профессиональной», чем когда-либо прежде. Атаки стали быстрее, лучше скоординированы и гораздо легче масштабируются по сравнению с предыдущими циклами.

Ограбление Bybit: мастер-класс по атакам на цепочку поставок​

21 февраля 2025 года мир криптовалют стал свидетелем крупнейшей в истории единичной кражи. Хакеры вывели около 401 000 ETH — на тот момент стоимостью 1,5 миллиарда долларов — с Bybit, одной из крупнейших криптовалютных бирж в мире.

Атака не была взломом методом перебора или эксплойтом смарт-контракта. Это была мастерская компрометация цепочки поставок. Группировка Lazarus, действуя под псевдонимом «TraderTraitor» (также известная как Jade Sleet и Slow Pisces), нацелилась на разработчика Safe{Wallet}, популярного провайдера мультиподписных кошельков. Внедряя вредоносный код в пользовательский интерфейс кошелька, они полностью обошли традиционные уровни безопасности.

В течение 11 дней хакеры отмыли 100 % украденных средств. Генеральный директор Bybit Бен Чжоу в начале марта сообщил, что они потеряли след почти 300 миллионов долларов. ФБР официально приписало атаку Северной Корее 26 февраля 2025 года, но к тому времени средства уже исчезли в протоколах микширования и сервисах мостов.

Один только взлом Bybit обеспечил 74 % всех краж криптовалюты Северной Кореей в 2025 году и продемонстрировал пугающую эволюцию тактики. Как отметила охранная фирма Hacken, группировка Lazarus проявила «явное предпочтение китайскоязычным сервисам по отмыванию денег, мостам и протоколам микширования с 45-дневным циклом отмывания после крупных краж».

Тактика Lazarus: от фишинга до глубокого внедрения​

Кибероперации Северной Кореи претерпели фундаментальную трансформацию. Прошли те времена, когда использовались простые фишинговые атаки и компрометация «горячих» кошельков. Группировка Lazarus разработала многостороннюю стратегию, которая делает обнаружение практически невозможным.

Стратегия Wagemole​

Возможно, самой коварной тактикой является то, что исследователи называют «Wagemole» — внедрение законспирированных IT-сотрудников в криптовалютные компании по всему миру. Под вымышленными именами или через подставные компании эти оперативники получают легитимный доступ к корпоративным системам, включая криптофирмы, кастодианы и Web3-платформы.

Этот подход позволяет хакерам полностью обходить внешнюю защиту. Они не взламывают дверь — они уже внутри.

Эксплуатация на базе ИИ​

В 2025 году государственные группировки начали использовать искусственный интеллект для усиления каждого этапа своих операций. Теперь ИИ сканирует тысячи смарт-контрактов за считанные минуты, выявляет уязвимый код и автоматизирует многоцепочечные атаки. То, что раньше требовало недель ручного анализа, теперь занимает часы.

Анализ Coinpedia показал, что северокорейские хакеры переосмыслили криптопреступность за счет интеграции ИИ, сделав свои операции более масштабируемыми и труднообнаружимыми, чем когда-либо.

Выдача себя за руководителей​

Переход от чисто технических эксплойтов к атакам на человеческий фактор стал определяющей тенденцией 2025 года. Охранные фирмы отметили, что «аномальные потери были в подавляющем большинстве случаев вызваны сбоями в контроле доступа, а не новой ончейн-математикой». Хакеры перешли от отравленных фронтендов и уловок с интерфейсом мультиподписи к выдаче себя за руководителей и краже ключей.

Помимо Bybit: ландшафт взломов 2025 года​

Хотя Bybit доминировала в заголовках газет, операции Северной Кореи выходили далеко за пределы одной цели:

• DMM Bitcoin (Япония): похищено 305 миллионов долларов, что способствовало последующему закрытию биржи.
• WazirX (Индия): выведено 235 миллионов долларов с крупнейшей криптовалютной биржи Индии.
• Upbit (Южная Корея): в конце 2025 года изъято 36 миллионов долларов путем эксплуатации инфраструктуры подписания транзакций.

Это не были единичные инциденты — они представляли собой скоординированную кампанию, нацеленную на централизованные биржи, платформы децентрализованных финансов и провайдеров индивидуальных кошельков в различных юрисдикциях.

Независимые подсчеты выявили более 300 крупных инцидентов безопасности в течение года, что высветило системные уязвимости во всей экосистеме криптовалют.

Связь с Huione: камбоджийская машина по отмыванию денег на 4 миллиарда долларов​

Что касается отмывания денег, Сеть по борьбе с финансовыми преступлениями (FinCEN) Министерства финансов США выявила критический узел в операциях Северной Кореи: камбоджийскую Huione Group.

FinCEN установила, что Huione Group отмыла не менее 4 миллиардов долларов незаконных доходов в период с августа 2021 года по январь 2025 года. Блокчейн-компания Elliptic оценивает реальную цифру ближе к 11 миллиардам долларов.

Расследование Министерства финансов показало, что Huione Group обработала 37 миллионов долларов, напрямую связанных с Lazarus Group, включая 35 миллионов долларов от взлома DMM Bitcoin. Компания работала напрямую с Главным разведывательным бюро Северной Кореи — основной организацией внешней разведки Пхеньяна.

Что делало Huione особенно опасной, так это полное отсутствие комплаенс-контроля. Ни одно из трех ее бизнес-подразделений — Huione Pay (банкинг), Huione Guarantee (эскроу) и Huione Crypto (биржа) — не опубликовало политику AML / KYC.

Связи компании с правящей в Камбодже семьей Хун, включая двоюродного брата премьер-министра Хун Манета в качестве крупного акционера, осложняли международные усилия по обеспечению правопорядка до тех пор, пока США не предприняли шаги по прекращению ее доступа к американской финансовой системе в мае 2025 года.

Реакция регуляторов: MiCA, PoR и не только​

Масштаб краж 2025 года ускорил регуляторные действия по всему миру.

Европейская MiCA, этап 2​

Европейский союз ускорил внедрение «Этапа 2» регламента рынков криптоактивов (MiCA), который теперь требует ежеквартального аудита сторонних поставщиков программного обеспечения для любой биржи, работающей в еврозоне. Вектор атаки на цепочку поставок при взломе Bybit стал причиной появления этого конкретного требования.

Мандаты на подтверждение резервов (Proof-of-Reserves) в США​

В Соединенных Штатах внимание сместилось в сторону обязательных требований по подтверждению резервов (PoR) в режиме реального времени. Теория такова: если биржи должны доказывать наличие своих активов ончейн в реальном времени, подозрительные оттоки средств становятся заметны мгновенно.

Закон Южной Кореи о безопасности цифровых финансов​

После взлома Upbit Комиссия по финансовым услугам Южной Кореи предложила «Закон о безопасности цифровых финансов» в декабре 2025 года. Закон вводит обязательные коэффициенты холодного хранения, регулярное тестирование на проникновение и усиленный мониторинг подозрительной активности для всех криптовалютных бирж.

Что необходимо для защиты в 2026 году​

Взлом Bybit заставил централизованные биржи кардинально изменить подход к управлению безопасностью. Лидеры отрасли определили несколько критически важных обновлений на 2026 год:

Миграция на многосторонние вычисления (MPC)​

Большинство платформ высшего уровня перешли от традиционных мультисигов на базе смарт-контрактов к технологии многосторонних вычислений (MPC). В отличие от конфигурации Safe{Wallet}, использованной в 2025 году, MPC разделяет закрытые ключи на фрагменты (шарды), которые никогда не существуют в одном месте, что делает подмену интерфейса (UI-spoofing) и техники «ледяного фишинга» (Ice Phishing) практически невозможными для выполнения.

Стандарты холодного хранения​

Авторитетные кастодиальные биржи теперь внедряют коэффициенты холодного хранения на уровне 90–95%, сохраняя подавляющее большинство средств пользователей в автономном режиме в аппаратных модулях безопасности. Кошельки с мультиподписью требуют одобрения крупных транзакций несколькими авторизованными сторонами.

Аудит цепочки поставок​

Ключевой вывод 2025 года заключается в том, что безопасность распространяется за пределы блокчейна на весь программный стек. Биржи должны проверять свои отношения с поставщиками с той же строгостью, которую они применяют к собственному коду. Взлом Bybit удался из-за компрометации сторонней инфраструктуры, а не из-за уязвимостей самой биржи.

Защита от человеческого фактора​

Постоянное обучение по вопросам фишинга и использования безопасных паролей стало обязательным, поскольку человеческий фактор остается основной причиной взломов. Эксперты по безопасности рекомендуют проводить периодические учения «красных» и «синих» команд (red and blue team exercises) для выявления слабых мест в управлении процессами безопасности.

Квантово-устойчивые обновления​

Заглядывая в будущее, постквантовая криптография (PQC) и квантово-защищенное оборудование становятся критически важными рубежами обороны. Прогнозируемый совокупный среднегодовой темп роста (CAGR) рынка холодных кошельков на уровне 15,2% с 2026 по 2033 год отражает уверенность институциональных инвесторов в эволюции систем безопасности.

Путь впереди​

Заключительное предупреждение Chainalysis в отчете за 2025 год должно найти отклик во всей индустрии: «Рекордные показатели страны в 2025 году, достигнутые при уменьшении количества известных атак на 74 процента, позволяют предположить, что мы видим лишь самую заметную часть ее деятельности. Задачей 2026 года станет обнаружение и предотвращение этих высокоэффективных операций до того, как субъекты, связанные с КНДР, совершат еще один инцидент масштаба Bybit».

Северная Корея доказала, что поддерживаемые государством хакеры могут опережать защиту индустрии, когда они мотивированы обходом санкций и финансированием вооружений. Совокупная сумма в 6,75 миллиарда долларов представляет собой не просто украденную криптовалюту — она представляет собой ракеты, ядерные программы и выживание режима.

Для криптовалютной индустрии 2026 год должен стать годом трансформации безопасности. Не постепенных улучшений, а фундаментального перепроектирования способов хранения, доступа и передачи активов. Lazarus Group показала, что вчерашние лучшие практики — это сегодняшние уязвимости.

Ставки никогда не были выше.

---

Обеспечение безопасности блокчейн-инфраструктуры требует постоянной бдительности и передовых отраслевых практик. BlockEden.xyz предоставляет инфраструктуру узлов корпоративного уровня с многоуровневой архитектурой безопасности, помогая разработчикам и компаниям строить на фундаменте, предназначенном для противостояния меняющимся угрозам.

Отмывание денег через криптовалюты взлетело до 82 миллиардов долларов в 2025 году — это восьмикратный рост по сравнению с 10 миллиардами всего пять лет назад. Но главная новость не в ошеломляющей сумме. Речь идет об индустриализации самой финансовой преступности. Профессиональные сети по отмыванию денег теперь ежедневно обрабатывают 44 миллиона долларов через сложные площадки в Telegram. Северная Корея превратила кражи криптовалют в инструмент финансирования ядерных программ, а инфраструктура, обеспечивающая глобальное мошенничество, росла в 7 325 раз быстрее, чем легальное внедрение криптовалют. Эра криптопреступников-любителей закончилась. Мы вступили в эпоху организованной профессиональной преступности в блокчейне.

В канун Рождества 2025 года, когда большая часть криптомира была на каникулах, злоумышленники внедрили вредоносное обновление в расширение Trust Wallet для Chrome. В течение 48 часов из 2 520 кошельков исчезло 8,5 миллионов долларов. Сид-фразы тысяч пользователей были незаметно похищены под видом рутинных телеметрических данных. Но это не было изолированным инцидентом — это стало кульминацией атаки на цепочку поставок, которая неделями распространялась через экосистему крипторазработки.

Кампания Shai-Hulud, названная в честь песчаных червей из «Дюны», представляет собой самую агрессивную атаку на цепочку поставок npm в 2025 году. Она скомпрометировала более 700 npm-пакетов, заразила 27 000 репозиториев GitHub и раскрыла примерно 14 000 секретов разработчиков в 487 организациях. Общий ущерб: более 58 миллионов долларов в украденной криптовалюте, что делает эту атаку одной из самых дорогостоящих для разработчиков в истории криптографии.

Анатомия червя в цепочке поставок​

В отличие от типичного вредоносного ПО, требующего от пользователей загрузки сомнительных программ, атаки на цепочку поставок отравляют инструменты, которым разработчики уже доверяют. Кампания Shai-Hulud превратила в оружие npm — менеджер пакетов, который обеспечивает работу большинства разработок на JavaScript, включая почти каждый криптокошелек, DeFi-фронтенд и Web3-приложение.

Атака началась в сентябре 2025 года с первой волны, в результате которой было украдено около 50 миллионов долларов в криптовалюте. Но именно «Второе пришествие» в ноябре продемонстрировало истинную изощренность операции. С 21 по 23 ноября злоумышленники скомпрометировали инфраструктуру разработки крупных проектов, включая Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase и Postman.

Механизм распространения был элегантным и пугающим. Когда Shai-Hulud заражает легитимный npm-пакет, он внедряет два вредоносных файла — setup_bun.js и bun_environment.js, которые запускаются с помощью preinstall-скрипта. В отличие от традиционного вредоносного ПО, которое активируется после установки, эта полезная нагрузка запускается до завершения установки и даже в случае её сбоя. К тому времени, когда разработчики понимают, что что-то не так, их учетные данные уже украдены.

Червь идентифицирует другие пакеты, поддерживаемые скомпрометированными разработчиками, автоматически внедряет вредоносный код и публикует новые зараженные версии в реестре npm. Такое автоматизированное распространение позволило вредоносному ПО расти в геометрической прогрессии без прямого вмешательства злоумышленников.

От секретов разработчиков до кошельков пользователей​

Связь между скомпрометированными npm-пакетами и взломом Trust Wallet показывает, как атаки на цепочку поставок каскадом переходят от разработчиков к конечным пользователям.

Расследование Trust Wallet показало, что их секреты разработчиков на GitHub были раскрыты во время ноябрьской вспышки Shai-Hulud. Эта утечка дала злоумышленникам доступ к исходному коду расширения для браузера и, что критически важно, к API-ключу Chrome Web Store. Вооружившись этими данными, злоумышленники полностью обошли внутренний процесс выпуска обновлений Trust Wallet.

24 декабря 2025 года в Chrome Web Store появилась версия 2.68 расширения Trust Wallet — опубликованная злоумышленниками, а не разработчиками Trust Wallet. Вредоносный код был разработан для перебора всех кошельков, хранящихся в расширении, и запуска запроса мнемонической фразы для каждого из них. Независимо от того, проходили ли пользователи аутентификацию с помощью пароля или биометрии, их сид-фразы незаметно отправлялись на серверы, контролируемые злоумышленниками, под видом легитимных аналитических данных.

Украденные средства распределились следующим образом: примерно 3 миллиона долларов в Bitcoin, более 3 миллионов в Ethereum, а также меньшие суммы в Solana и других токенах. В течение нескольких дней злоумышленники начали отмывать средства через централизованные биржи — 3,3 миллиона долларов через ChangeNOW, 340 000 долларов через FixedFloat и 447 000 долларов через KuCoin.

Выключатель мертвеца​

Возможно, самым тревожным является механизм «выключателя мертвеца» (dead man's switch) в вредоносном ПО Shai-Hulud. Если червь не может аутентифицироваться на GitHub или npm — если его каналы распространения и эксфильтрации данных перерезаны — он удаляет все файлы в домашнем каталоге пользователя.

Эта разрушительная функция служит нескольким целям. Она наказывает за попытки обнаружения, создает хаос, маскирующий следы злоумышленников, и дает рычаги давления, если защитники попытаются отключить инфраструктуру управления и контроля. Для разработчиков, которые не позаботились о надлежащем резервном копировании, неудачная попытка очистки системы может привести к катастрофической потере данных в дополнение к краже учетных данных.

Злоумышленники также продемонстрировали психологическую изощренность. Когда Trust Wallet объявил о взломе, те же злоумышленники запустили фишинговую кампанию, эксплуатирующую возникшую панику, создав поддельные сайты под брендом Trust Wallet, где пользователям предлагалось ввести свои восстановительные сид-фразы для «верификации кошелька». Некоторые жертвы пострадали дважды.

Вопрос об инсайдере​

Соучредитель Binance Чанпэн Чжао (CZ) намекнул, что эксплойт Trust Wallet «скорее всего» был осуществлен инсайдером или кем-то, кто имел предварительный доступ к разрешениям на развертывание. Собственный анализ Trust Wallet предполагает, что злоумышленники могли получить контроль над устройствами разработчиков или получить разрешения на развертывание до 8 декабря 2025 года.

Исследователи безопасности отметили закономерности, указывающие на возможную причастность государственных структур. Время проведения атаки — канун Рождества — соответствует распространенному сценарию сложных постоянных угроз (APT): атака во время праздников, когда в группах безопасности не хватает персонала. Техническая изощренность и масштаб кампании Shai-Hulud в сочетании с быстрым отмыванием средств свидетельствуют о наличии ресурсов, выходящих за рамки типичных криминальных операций.

Почему браузерные расширения уникально уязвимы​

Инцидент с Trust Wallet подчеркивает фундаментальную уязвимость в модели безопасности криптовалют. Браузерные расширения обладают исключительными привилегиями — они могут читать и изменять веб-страницы, получать доступ к локальному хранилищу, а в случае криптокошельков — хранить ключи от активов на миллионы долларов.

Поверхность атаки огромна:

• Механизмы обновления: расширения обновляются автоматически, и одно скомпрометированное обновление охватывает всех пользователей.
• Безопасность API-ключей: в случае утечки API-ключей Chrome Web Store любой желающий может публиковать обновления.
• Предположения о доверии: пользователи полагают, что обновления из официальных магазинов безопасны.
• Выбор времени (праздники): ослабление мониторинга безопасности в праздничные дни позволяет злоумышленникам дольше оставаться незамеченными.

Это не первая атака на криптопользователей через браузерные расширения. Предыдущие инциденты включают кампанию GlassWorm, нацеленную на расширения VS Code, и мошенничество с расширением FoxyWallet для Firefox. Однако взлом Trust Wallet стал крупнейшим в денежном эквиваленте и продемонстрировал, как компрометация цепочки поставок усиливает эффект атак на расширения.

Реакция Binance и прецедент SAFU​

Binance подтвердила, что пострадавшим пользователям Trust Wallet будет полностью возмещен ущерб через фонд SAFU (Secure Asset Fund for Users). Этот фонд, созданный после взлома биржи в 2018 году, удерживает часть торговых комиссий в резерве специально для покрытия убытков пользователей от инцидентов безопасности.

Решение о возмещении создает важный прецедент и поднимает интересный вопрос о распределении ответственности. Trust Wallet был скомпрометирован без прямой вины пользователей, которые просто открыли свои кошельки в период действия уязвимости. Но первопричиной стала атака на цепочку поставок, скомпрометировавшая инфраструктуру разработчиков, что, в свою очередь, стало возможным из-за системных уязвимостей в экосистеме npm.

Меры Trust Wallet по немедленному реагированию включали прекращение действия всех API для релизов, чтобы заблокировать выпуск новых версий на две недели, сообщение регистратору о вредоносном домене эксфильтрации данных (что привело к его оперативной блокировке) и выпуск «чистой» версии 2.69. Пользователям было рекомендовано немедленно перевести средства на новые кошельки, если они разблокировали расширение в период с 24 по 26 декабря.

Уроки для криптоэкосистемы​

Кампания «Шай-Хулуд» обнажает системные уязвимости, выходящие далеко за пределы Trust Wallet:

Для разработчиков​

Явно фиксируйте зависимости. Эксплуатация скрипта preinstall возможна, потому что при установке через npm может выполняться произвольный код. Фиксация (pinning) известных чистых версий предотвращает внедрение скомпрометированных пакетов через автоматические обновления.

Относитесь к секретам как к скомпрометированным. Любой проект, загружавший пакеты npm в период с 21 ноября по декабрь 2025 года, должен исходить из того, что его учетные данные раскрыты. Это означает отзыв и перевыпуск токенов npm, GitHub PAT, SSH-ключей и учетных данных облачных провайдеров.

Внедрите надлежащее управление секретами. API-ключи для критически важной инфраструктуры, такой как публикация в магазинах приложений, никогда не должны храниться в системах контроля версий, даже в приватных репозиториях. Используйте аппаратные модули безопасности (HSM) или специализированные сервисы управления секретами.

Используйте MFA, устойчивую к фишингу. Стандартную двухфакторную аутентификацию могут обойти опытные злоумышленники. Аппаратные ключи, такие как YubiKey, обеспечивают более надежную защиту учетных записей разработчиков и CI/CD.

Для пользователей​

Диверсифицируйте инфраструктуру кошельков. Не храните все средства в браузерных расширениях. Аппаратные кошельки обеспечивают изоляцию от программных уязвимостей — они могут подписывать транзакции, никогда не раскрывая сид-фразы потенциально скомпрометированным браузерам.

Допускайте, что обновления могут быть вредоносными. Модель автоматического обновления, делающая ПО удобным, также делает его уязвимым. Рассмотрите возможность отключения автообновлений для критически важных с точки зрения безопасности расширений и проверяйте новые версии вручную.

Мониторьте активность кошелька. Сервисы, оповещающие о подозрительных транзакциях, могут заранее предупредить о взломе, потенциально ограничивая потери до того, как злоумышленники опустошат кошельки полностью.

Для индустрии​

Укрепляйте экосистему npm. Реестр npm является критически важной инфраструктурой для разработки Web3, однако в нем отсутствуют многие функции безопасности, которые могли бы предотвратить «червеподобное» распространение угроз. Обязательная подпись кода, воспроизводимые сборки и обнаружение аномалий в обновлениях пакетов могли бы значительно поднять планку для атакующих.

Переосмыслите безопасность браузерных расширений. Текущая модель, при которой расширения обновляются автоматически и имеют широкие права доступа, фундаментально несовместима с требованиями безопасности для хранения значительных активов. Могут помочь песочницы для исполнения, отложенные обновления с проверкой пользователем и сокращение объема разрешений.

Координируйте реагирование на инциденты. Кампания «Шай-Хулуд» затронула сотни проектов в криптоэкосистеме. Улучшенный обмен информацией и скоординированные действия могли бы ограничить ущерб по мере выявления скомпрометированных пакетов.

Будущее безопасности цепочек поставок в криптосфере​

Исторически криптовалютная индустрия концентрировала усилия по обеспечению безопасности на аудите смарт-контрактов, холодном хранении на биржах и защите пользователей от фишинга. Кампания «Шай-Хулуд» демонстрирует, что самые опасные атаки могут исходить от скомпрометированных инструментов разработчика — инфраструктуры, с которой криптопользователи никогда не взаимодействуют напрямую, но которая лежит в основе каждого используемого ими приложения.

По мере усложнения Web3-приложений их графы зависимостей становятся всё шире. Каждый npm-пакет, каждое действие GitHub, каждая интеграция CI/CD представляют собой потенциальный вектор атаки. Реакция индустрии на «Шай-Хулуд» определит, станет ли это разовым тревожным сигналом или началом эры атак на цепочки поставок в криптоинфраструктуре.

На данный момент злоумышленники остаются неопознанными. Около 2,8 млн долларов украденных средств Trust Wallet всё еще находятся на их кошельках, в то время как остальная часть была отмыта через централизованные биржи и кроссчейн-мосты. Более 50 млн долларов от более ранних краж в рамках кампании «Шай-Хулуд» практически исчезли в псевдонимных глубинах блокчейна.

Песчаный червь зарылся глубоко в основы криптографии. Чтобы искоренить его, потребуется переосмысление принципов безопасности, которые индустрия принимала как должное с первых дней своего существования.

---

Создание безопасных Web3-приложений требует надежной инфраструктуры. BlockEden.xyz предоставляет RPC-узлы и API корпоративного уровня со встроенным мониторингом и обнаружением аномалий, помогая разработчикам выявлять необычную активность до того, как она затронет пользователей. Изучите наш маркетплейс API, чтобы строить на фундаменте, ориентированном на безопасность.