Несподівано! Національна хакерська організація за місяць викрала 500 мільйонів доларів, криптовалютний світ стикається з "несиметричною війною", чи в безпеці ваші активи?

За останні три тижні хакерська організація, пов’язана із певною країною, викрала понад 500 мільйонів доларів з децентралізованих фінансових платформ. Методи атак зазнали кардинальних змін: вони більше не атакують безпосередньо основні смарт-контракти, а зосереджуються на слабких місцях периферійної інфраструктури.

У двох масштабних атаках на Drift Protocol і KelpDAO ця організація незаконно отримала понад 700 мільйонів доларів у криптовалютах цього року. За цим стоїть значне оновлення тактики: все частіше використовують складні вразливості та глибоку приховану діяльність, обходячи стандартні засоби безпеки.

20 квітня провайдер міжланцюгової інфраструктури LayerZero підтвердив, що 18 квітня KelpDAO зазнала атаки, внаслідок якої було викрадено близько 290 мільйонів доларів — це найбільша крадіжка криптоактивів цього року на даний момент. Попереднє розслідування прямо вказує на TraderTraitor — спеціальну групу, що належить відомій Lazarus Group.

Лише кілька тижнів тому, 1 квітня, децентралізована платформа для торгівлі безстроковими контрактами на Solana — Drift Protocol — була зламаною на близько 286 мільйонів доларів. Компанія Elliptic швидко пов’язала методи відмивання грошей, послідовність транзакцій і підпис мережі з відомими шляхами атак цієї країни, зазначивши, що це вже 18-й подібний випадок, зафіксований цього року.

Методи атак у квітні свідчать про те, що атаки на DeFi перейшли у більш зрілу стадію. Зловмисники більше не атакують безпосередньо ядро системи, а шукають і експлуатують структурні крайові вразливості. Наприклад, у випадку з KelpDAO хакери зламали нижньорівневу RPC-інфраструктуру, яку використовує децентралізована мережа валідації LayerZero Labs.

Змінивши ці ключові канали даних, зловмисники, не порушуючи криптографічних основ, змогли керувати роботою протоколу. LayerZero деактивувала уражені вузли та повністю відновила мережу валідації, але фінансові втрати вже неможливо компенсувати. Такий опосередкований спосіб атаки відкриває страшний напрямок еволюції мережевих конфліктів.

Компанія з безпеки блокчейнів Cyvers повідомила ЗМІ, що атаки, пов’язані з цією країною, стають все більш досвідченими, і на підготовку та виконання атак витрачається більше ресурсів. Вони додали, що зловмисники завжди точно знаходять найслабкіше місце — цього разу це була стороння компонента, а не основна інфраструктура протоколу.

Ця стратегія дуже схожа на традиційні корпоративні шпигунські операції і ускладнює захист від таких атак. Останні інциденти, наприклад, проникнення в популярний пакет npm Axios, що використовується у багатьох проектах, і пов’язання його з відомою загрозою UNC1069, свідчать, що зловмисники систематично знищують цілі перед входом у блокчейн-екосистему.

Крім технічних проривів, ця країна активно проводить масштабну та організовану проникнення у глобальний ринок праці криптовалют. Загрози вже перейшли від віддалених хакерських дій до прямого втручання: вони вставляють своїх агентів у безпечні Web3-стартапи.

За даними проекту ETH Rangers, що входить до Ethereum Foundation, шість місяців досліджень показали, що близько 100 агентів цієї країни ховаються у внутрішніх командах кількох блокчейн-компаній. Вони використовують підроблені особистості, легко проходять стандартні кадрові перевірки, отримують доступ до внутрішніх кодових баз і мовчки працюють у командах місяцями або роками, готуючи цілеспрямовані атаки.

Незалежний дослідник блокчейнів ZachXBT підтвердив цю інформацію, розкривши діяльність спецслужб цієї країни, що працюють через фальшиві профілі, отримуючи щомісячний прибуток близько 1 мільйона доларів. Ці схеми здійснюються через авторизовані глобальні фінансові канали, і з 2025 року вже обробили понад 3,5 мільйона доларів у криптовалютах.

За оцінками експертів, загалом IT-персонал цієї країни приносить щомісяця мільйони доларів доходу. Це створює дві джерела доходу: стабільну зарплату і величезні крадіжки через внутрішніх співробітників.

Обсяг цифрових активів цієї країни значно перевищує будь-які традиційні групи кіберзлочинців. За даними Chainalysis, лише у 2025 році хакери, пов’язані з цією країною, викрали рекордні 2 мільярди доларів, що становить 60% від загальної суми крадіжок у криптовалютах за цей рік. Враховуючи масштабні атаки цього року, загальна сума викрадених активів вже досягла 6,75 мільярдів доларів.

Після отримання коштів Lazarus Group демонструє високорозвинені, регіоналізовані схеми відмивання грошей. На відміну від звичайних злочинців, що часто використовують децентралізовані біржі та P2P-кредитування, ці хакери навмисно уникають цих каналів.

Згідно з даними блокчейн-аналітики, вони сильно залежать від гарантійних сервісів у китайському регіоні, глибоких поза-кастодійних мереж і складних міжланцюгових схем змішування. Це свідчить про структурні обмеження і географічні обмеження у способах легалізації активів, а не про безмежний доступ до глобальної фінансової системи.

Фахівці з безпеки та галузеві керівники вважають, що атаки можна запобігти, але криптокомпанії мають усунути ті ж самі слабкі місця, що й під час попередніх масштабних інцидентів. Засновник Humanity Terence Kwok заявив ЗМІ, що атаки цієї країни здебільшого спрямовані на поширені вразливості, а не на нові форми кіберзлочинності.

Він вважає, що зловмисники посилюють свої методи проникнення і здатність переміщати злочинні кошти, але корінь проблеми — у поганому контролі доступу і ризиках централізації. За його словами, шокуюче, що втрати досі пояснюють старими проблемами, такими як контроль доступу і єдині точки відмови, що свідчить про незавершену роботу у сфері безпеки.

На його думку, перша лінія захисту — значно ускладнити переміщення активів, посилюючи контроль за приватними ключами, внутрішніми правами і доступом третіх сторін. Практично це означає зменшення залежності від окремих операторів, обмеження привілеїв і посилення безпеки постачальників, а також додавання додаткових перевірок у інфраструктуру між ядром протоколу і зовнішнім світом.

Другою лінією оборони є швидкість реагування. Як тільки викрадені кошти переходять між ланцюгами, через мости або потрапляють у мережі відмивання, шанс їх повернення стрімко знижується. Kwok зазначив, що біржі, емітенти стабільних монет, компанії з аналізу блокчейнів і правоохоронні органи мають швидко співпрацювати у перші хвилини або години після атаки, щоб підвищити ймовірність затримки коштів.

Він підкреслив, що найуразливіше місце у системі — це перехрестя коду, персоналу і операцій. Один викрадений ключ, слабкий постачальник або знехтуваний привілей — і це може спричинити втрату сотень мільйонів доларів. Вызов для DeFi — це вже не лише написання надійних смарт-контрактів, а й захист операційної безпеки протоколу перед наступною слабкою ланкою атак.