Внезапно! Национальная хакерская организация за один месяц украла 500 миллионов долларов США. Мира криптовалюты грозит «неравномерная война». Ваши активы в безопасности?

За последние три недели хакерская группа, связанная с определённой страной, похитила более 500 миллионов долларов на децентрализованных финансовых платформах. Методы атак претерпели кардинальные изменения: они больше не атакуют напрямую основные смарт-контракты, а сосредотачиваются на слабых звеньях периферийной инфраструктуры.

Два крупных инцидента против Drift Protocol и KelpDAO привели к тому, что сумма незаконных криптовладений этой организации в этом году превысила 700 миллионов долларов. За огромными потерями стоит заметное усовершенствование тактики: всё чаще используют сложные уязвимости и глубоко скрытых агентов, обходя стандартные системы безопасности.

20 апреля поставщик межцепочечной инфраструктуры LayerZero подтвердил, что 18 апреля KelpDAO подверглась атаке, в результате которой было украдено около 290 миллионов долларов, ставшая крупнейшей кражей криптоактивов в этом году. Предварительное расследование прямо указывает на TraderTraitor — специализированную группу, входящую в состав печально известной Lazarus Group.

Всего несколько недель назад, 1 апреля, на базе Solana децентрализованная вечная контрактная биржа Drift Protocol была взломана на сумму около 286 миллионов долларов. Компания по блокчейн-аналитике Elliptic быстро связала методы отмывания денег, последовательность транзакций и сетевые подписи с известными путями атаки в этой стране, отметив, что это уже 18-й подобный случай, зафиксированный в этом году.

Методы атак в апреле показывают, что атаки на DeFi перешли в более зрелую стадию. Атакующие больше не атакуют ядро системы напрямую, а ищут и используют структурные уязвимости на периферии. В случае атаки на KelpDAO злоумышленники взломали нижележащую RPC-инфраструктуру, используемую децентрализованной системой верификации LayerZero Labs.

Путём изменения этих ключевых каналов данных злоумышленники, не нарушая криптографические основы, смогли управлять работой протокола. LayerZero отключила пострадавшие узлы и полностью восстановила сеть верификации, однако финансовые потери уже невозможно компенсировать. Такой косвенный способ атаки демонстрирует тревожное развитие сетевых войн.

Компания по безопасности блокчейнов Cyvers заявила СМИ, что связанные с этой страной злоумышленники становятся всё более опытными, вкладывая больше ресурсов в подготовку и выполнение атак. Компания добавила, что злоумышленники постоянно находят самые слабые звенья, и в этот раз уязвимостью стала сторонняя компонента, а не основная инфраструктура протокола.

Эта стратегия очень похожа на тактику традиционных корпоративных шпионских операций и свидетельствует о том, что такие атаки становятся всё сложнее для предотвращения. Недавние инциденты, например, взлом широко используемого пакета npm Axios, связаны с конкретной угрозой этой страны — группой UNC1069, что указывает на систематическую работу по саботажу программного обеспечения до его попадания в блокчейн-экосистему.

Помимо технологических прорывов, страна также ведёт масштабную и организованную операцию по проникновению в глобальный рынок труда криптовалют. Модель угроз сместилась с удалённых хакерских действий на прямое внедрение злоумышленников в беззащитные Web3-стартапы.

Исследование проекта Ketman, входящего в состав программы ETH Rangers фонда Ethereum, после шести месяцев расследования пришло к шокирующему выводу: около 100 сетевых агентов этой страны скрываются внутри нескольких блокчейн-компаний. Они используют поддельные личности, легко проходят стандартные кадровые проверки, получают доступ к внутренним кодовым базам, тихо работают в командах в течение месяцев или лет, а затем совершают целенаправленные атаки.

Независимый блокчейн-исследователь ZachXBT подтвердил эти сведения, недавно разоблачив сеть специальных агентов, действующих через фальшивые аккаунты, удалённо трудящихся за границей, с ежемесячным доходом около 100 тысяч долларов. Эти схемы используют признанные глобальные финансовые каналы для перевода криптовалюты в фиат, с обработкой более 3,5 миллионов долларов с конца 2025 года.

По оценкам экспертов, общее число IT-специалистов, задействованных этой страной, приносит им ежемесячный доход в миллионы долларов. Это создаёт двойной источник дохода: стабильную зарплату и крупные кражи через внутренние протоколы.

Объём цифровых активов этой страны уже значительно превосходит любой традиционный группировочный уровень. Согласно данным аналитической компании Chainalysis, только в 2025 году связанные с этой страной хакеры похитили рекордные 2 миллиарда долларов, что составляет 60% от общего объёма криптоворовых краж за год. Учитывая масштаб атак в этом году, суммарные украденные активы достигли 6,75 миллиарда долларов.

После получения средств Lazarus Group демонстрирует высоко целенаправленные и регионализированные схемы отмывания денег. В отличие от обычных преступников, часто использующих децентрализованные биржи и P2P-кредитование, эти хакеры специально избегают таких каналов.

На блокчейне видно, что они сильно полагаются на гарантированные сделки в китайском регионе, глубокие внебиржевые брокерские сети и сложные межцепочечные микшеры. Такая предпочтительность указывает на структурные ограничения и географические особенности каналов монетизации, а не на неограниченный доступ к глобальной финансовой системе.

Эксперты по безопасности и руководители отрасли считают, что атаки можно предотвратить, однако криптокомпании должны устранить те же уязвимости, которые проявились в нескольких крупных инцидентах. Основатель Humanity Терренс Квок заявил СМИ, что текущие атаки связаны с распространёнными уязвимостями, а не с новыми видами сетевых проникновений.

Он считает, что злоумышленники совершенствуют методы взлома и перемещения средств, но корень проблемы — в плохом управлении доступом и рисках централизации. Он отметил, что удивительно, что потери всё ещё связывают с устаревшими проблемами, такими как контроль доступа и единая точка отказа, что говорит о том, что отрасль всё ещё не решила базовые вопросы безопасности.

По его мнению, первый уровень защиты — значительно усложнить задачу по перемещению активов, усилив контроль за приватными ключами, внутренними правами и доступом сторонних лиц. На практике компании должны уменьшить зависимость от отдельных операторов, ограничить привилегированные права, укрепить поставщиков и ввести дополнительные проверки в инфраструктуру между ядром протокола и внешним миром.

Второй уровень — скорость реагирования. Как только украденные средства переходят через цепочки, мосты или попадают в схемы отмывания, шанс их возврата резко снижается. Квок отметил, что биржи, эмитенты стейблкоинов, аналитические компании и правоохранительные органы должны работать максимально быстро в первые минуты и часы после атаки, чтобы повысить шансы на возврат средств.

Он подчеркнул, что слабое место в системах — это пересечение кода, персонала и операционной деятельности. Одно украденное удостоверение, слабый сторонний поставщик или уязвимость в правах доступа могут привести к потерям в сотни миллионов долларов. Вызовы DeFi уже не сводятся к написанию надёжных смарт-контрактов, а к защите периферийных операций протокола от использования злоумышленниками следующего уязвимого звена.