Телефонный звонок на 282 миллиона долларов: Внутри крупнейшего крипто-ограбления 2026 года с использованием социальной инженерии
В 23:00 UTC 10 января 2026 года кто-то поднял трубку и потерял четверть миллиарда долларов. Ни один смарт-контракт не был взломан. Ни одна биржа не подверглась атаке. Никакие приватные ключи не были подобраны квантовыми компьютерами. Один человек просто сообщил мошеннику свою сид-фразу из 24 слов — мастер-ключ к 1 459 Bitcoin и 2,05 миллионам Litecoin — потому что верил, что разговаривает со службой поддержки аппаратных кошельков.
Кража на общую сумму 282 миллиона долларов стала крупнейшей в истории криптовалют атакой с использованием социальной инженерии против физического лица, побив предыдущий рекорд в 243 миллиона долларов, установленный в августе 2024 года. Однако то, что произошло дальше, обнажило не менее тревожные аспекты криптоэкосистемы: в течение нескольких часов украденные средства спровоцировали 30% скачок цены Monero, высветили спорную роль децентрализованной инфраструктуры в отмывании денег и возобновили споры о том, должен ли принцип «код — это закон» означать «преступление разрешено».
Анатомия мошенничества на четверть миллиарда долларов
Атака была пугающе простой. По словам блокчейн-исследователя ZachXBT, который первым публично задокументировал кражу, жертве позвонил человек, представившийся сотрудником службы поддержки «Trezor Value Wallet». Позже охранная фирма ZeroShadow подтвердила тактику выдачи себя за другое лицо: создание спешки, демонстрация авторитета и манипулирование целью с целью заставить её раскрыть сид-фразу.
Аппаратные кошельки, такие как Trezor, специально разработаны для хранения приватных ключей в автономном режиме, что делает их невосприимчивыми к удаленным атакам. Но они не могут защитить от самого уязвимого компонента в любой системе безопасности — человека-оператора. Жертва, полагая, что верифицирует свой кошелек для легитимного запроса в службу поддержки, передала 24 слова, которые контролировали всё её состояние.
В течение нескольких �минут 2,05 миллиона Litecoin стоимостью 153 миллиона долларов и 1 459 Bitcoin стоимостью 139 миллионов долларов начали перемещаться по блокчейну.
Операция по отмыванию денег: от Bitcoin до полной анонимности
То, что последовало далее, стало мастер-классом по сокрытию криптовалютных транзакций, проведенным в режиме реального времени на глазах у исследователей безопасности.
Злоумышленник немедленно обратился к THORChain — децентрализованному протоколу межсетевой (cross-chain) ликвидности, который позволяет обменивать различные криптовалюты без участия централизованных посредников. Согласно данным блокчейна, задокументированным ZachXBT, 818 BTC (стоимостью около 78 миллионов долларов) были обменены через THORChain на:
- 19 631 ETH (примерно 64,5 миллиона долларов)
- 3,15 миллиона XRP (примерно 6,5 миллиона долларов)
- 77 285 LTC (примерно 5,8 миллиона долларов)
Но самая значительная часть украденных средств была направлена в гораздо менее отслеживаемый актив: Monero.
Скачок Monero: когда украденные средства двигают рынки
Monero (XMR) изначально спроектирована как полностью анонимная криптовалюта. В отличие от Bitcoin, где каждая транзакция публично видна в блокчейне, Monero использует кольцевые подписи (ring signatures), скрытые адреса (stealth addresses) и технологию RingCT для сокрытия отправителя, получателя и суммы транзакции.
По мере того как злоумышленник конвертировал огромные объемы Bitcoin и Litecoin в Monero через несколько сервисов мгновенного обмена, внезапный скачок спроса поднял цену XMR с минимума в 612,02 доллара до суточного пика в 717,69 доллара — рост более чем на 17%. В некоторых отчетах указывалось, что 14 января XMR кратковременно касался отметки 800 долларов.
Ирония ситуации горька: преступление злоумышленника буквально обогатило всех остальных держателей Monero, по крайней мере, временно. После первоначального скачка цена XMR снизилась до 623,05 доллара, что составило падение на 11,41% за 24 часа по мере угасания искусственного спроса.
К тому времени, когда исследователи безопасности полностью нанесли на карту движение денежных потоков, большая часть украденных средств исчезла в архитектуре Monero, обеспечивающей конфиденциальность, что фактически сделало их безвозвратными.
Гонка ZeroShadow со временем
Охранная фирма ZeroShadow обнаружила кражу в течение нескольких минут и немедленно начала работу по заморозке того, что было возможно. Их усилия позволили пометить и заморозить примерно 700 000 долларов до того, как они были конвертированы в токены конфиденциальности.
Это лишь 0,25% от общей суммы украденно�го. Остальные 99,75% исчезли.
Быстрая реакция ZeroShadow подчеркивает как возможности, так и ограничения безопасности блокчейна. Прозрачная природа публичных блокчейнов означает, что кражи видны почти мгновенно, но эта прозрачность ничего не значит, как только средства перемещаются в монеты конфиденциальности. Окно между обнаружением и конвертацией в неотслеживаемые активы может измеряться минутами.
THORChain: моральный риск децентрализации
Кража 282 миллионов долларов вновь вызвала резкую критику в адрес THORChain, децентрализованного протокола, через который прошла значительная часть операции по отмыванию денег. Это не первый случай, когда THORChain оказывается под пристальным вниманием за содействие перемещению украденных средств.
Прецедент Bybit
В феврале 2025 года северокорейские хакеры, известные как Lazarus Group, похитили 1,4 миллиарда долларов с биржи Bybit — это стало крупнейшей криптокражей в истории. В течение следующих 10 дней они отмыли 1,2 миллиарда долларов через THORChain, конвертируя украденные ETH в Bitcoin. Протокол зафиксировал свопы на сумму 4,66 миллиарда долларов за одну неделю, при этом, по оценкам, 93% депозитов ETH за этот период были связаны с преступной деятельностью.
Перед операторами THORChain встал выбор: остановить сеть для предотвращения отмывания денег или придерживаться принципов децентрализации независимо от источника средств. Они выбрали последнее.
Исход разработчиков
Решение спровоцировало внутренний конфликт. Ведущий разработчик, известный под псевдонимом «Pluto», ушел в отставку в феврале 2025 года, объявив, что «немедленно прекращает участие в разработке THORChain» после отмены голосования по бло�кировке транзакций, связанных с Lazarus. Другой валидатор, «TCB», сообщил, что был среди трех валидаторов, проголосовавших за остановку торгов ETH, но их решение было отменено в течение нескольких минут.
«Идеалы децентрализации — это просто идеи», — написал TCB, покидая проект.
Проблема финансовых стимулов
Критики отмечают, что THORChain собрал около 200 миллионов, что привело к заморозке выводов.
Кража $ 282 миллионов дополняет статистику роли THORChain в отмывании криптовалют. Вопрос о том, делает ли децентрализованная архитектура протокола его юридически или этически отличным от централизованного сервиса денежных переводов, остается открытым — и регуляторы проявляют к нему все больший интерес.
Общая картина: асимметричная угроза социальной инженерии
Кража $ 282 миллионов не является исключением. Это самый яркий пример тенденции, которая доминировала в сфере безопасности криптовалют в 2025 году.
Согласно данным Chainalysis, количество мошенничеств с использованием социальной инженерии и атак с выдачей себя за другое лицо выросло на 1400 % в годовом исчислении в 2025 году. Исследование WhiteBit показало, что на долю социальной инженерии пришлось 40,8 % всех инцидентов безопасности в криптосфере в 2025 году, что сделало эту категорию угроз ведущей.
Цифры говорят сами за себя:
- $ 17 миллиардов — оценочная общая сумма украденных средст�в в результате криптомошенничества и афер в 2025 году
- $ 4,04 миллиарда — выведено у пользователей и платформ в результате совокупности хакерских атак и мошенничества
- 158 000 случаев компрометации отдельных кошельков, затронувших 80 000 уникальных жертв
- 41 % всех криптомошенничеств включали фишинг и социальную инженерию
- 56 % криптовалютных афер совершались через платформы социальных сетей
Мошенничество с использованием ИИ оказалось в 4,5 раза более прибыльным, чем традиционные методы. Это говорит о том, что угроза будет только нарастать по мере совершенствования технологий клонирования голоса и дипфейков.
Почему аппаратные кошельки не могут спасти вас от самих себя
Трагедия кражи $ 282 миллионов заключается в том, что жертва многое делала правильно. Она использовала аппаратный кошелек — «золотой стандарт» безопасности криптовалют. Приватные ключи никогда не касались устройства, подключенного к интернету. Жертва, вероятно, понимала важность холодного хранения.
Ничто из этого не помогло.
Аппаратные кошельки предназначены для защиты от технических атак: вредоносного ПО, удаленных вторжений, взломанных компьютеров. Они специально разработаны так, чтобы требовать участия человека для всех транзакций. Это функция, а не ошибка, но это означает, что человек остается вектором атаки.
Ни один аппаратный кошелек не помешает вам продиктовать свою сид-фразу злоумышленнику. Ни одно решение для холодного хранения не защитит от вашей собственной доверчивости. Самая совершенная криптографическая защита в мире бесполезна, если вас можно убедить раскрыть свои секреты.
Уроки ошибки стоимостью в четверть миллиарда долларов
Никогда не делитесь своей сид-фразой
Это невозможно подчеркнуть достаточно сильно: ни одна законная компания, представитель службы поддержки или сервис никогда не попросит вашу сид-фразу. Ни Trezor. Ни Ledger. Ни ваша биржа. Ни поставщик кошелька. Ни разработчики блокчейна. Ни правоохранительные органы. Никто.
Ваша сид-фраза эквивалентна главному ключу ко всему вашему состоянию. Раскрыть ее — значит отдать всё. Из этого правила нет исключений.
Скептически относитесь к входящим контактам
Злоумышленник сам инициировал контакт с жертвой, а не наоборот. Это критический «красный флаг». Законные взаимодействия со службой поддержки почти всегда начинаются с вашего обращения через официальные каналы, а не с того, что кто-то звонит или пишет вам первым.
Если с вами связались и заявили, что представляют криптосервис:
- Положите трубку и перезвоните по официальному номеру на сайте компании
- Не переходите по ссылкам в письмах или сообщениях, которые вы не запрашивали
- Проверьте контакт по нескольким независимым каналам
- В случае сомнений не предпринимайте никаких действий, пока не подтвердите подлинность
Понимайте, что можно вернуть, а что нет
Как только криптовалюта переходит в Monero или проходит через протоколы обеспечения конфиденциальности, она становится фактически безвозвратной. Те $ 700 000, которые ZeroShadow удалось заморозить, представляют собой лучший сценарий быстрого реагирования — и это все равно составило менее 0,3 % от общей суммы.
Страхование, средства правовой защиты и блокчейн-криминалистика имеют свои пределы. Профилактика — единственная надежная защита.
Диверсифицируйте активы
Ни одна сид-фраза не должна контролировать активы на сумму $ 282 миллиона. Распределение средств между несколькими кошельками, использование нескольких сид-фраз и различных подходов к безопасности создает избыточность. Если один метод подведет, вы не потеряете всё.
Неудобные вопросы
Кража $ 282 миллионов заставляет криптоэкосисте�му столкнуться с вопросами, на которые нет простых ответов:
Должны ли децентрализованные протоколы нести ответственность за предотвращение отмывания денег? Роль THORChain в этой краже — и в отмывании $ 1,4 миллиарда с Bybit — свидетельствует о том, что инфраструктура без разрешений может стать инструментом для преступников. Но введение ограничений фундаментально меняет само значение слова «децентрализованный».
Могут ли анонимные монеты сосуществовать с предотвращением преступности? Функции конфиденциальности Monero законны и служат веским целям. Но те же самые функции сделали $ 282 миллиона фактически неотслеживаемыми. Технология нейтральна, но последствия — нет.
Готова ли индустрия к социальной инженерии с использованием ИИ? Если клонирование голоса и дипфейки делают атаки в 4,5 раза более прибыльными, что произойдет, когда они станут в 10 раз совершеннее?
Жертва событий 10 января 2026 года усвоила самый суровый урок безопасности криптовалют. Для всех остальных этот урок доступен по цене внимания: в мире, где миллиарды могут перемещаться за считанные секунды, самым сла�бым звеном всегда остается человек.
Создание безопасных Web3-приложений требует надежной инфраструктуры. BlockEden.xyz предоставляет RPC-узлы корпоративного уровня и API со встроенным мониторингом и обнаружением аномалий, помогая разработчикам выявлять необычную активность до того, как она затронет пользователей. Изучите наш маркетплейс API, чтобы создавать проекты на фундаменте, ориентированном на безопасность.