21 лютого 2025 року відбулася серйозна подія безпеки на відомій платформі для торгівлі криптоактивами, в результаті якої з її холодного гаманця Ethereum було вкрадено приблизно 1,5 мільярда доларів США активів. Ця подія вважається найбільшою одноразовою крадіжкою в історії криптоактивів, перевищуючи раніше зафіксовані великі крадіжки, такі як ті, що трапилися в 2021 та 2022 роках, завдавши величезного удару всій індустрії.
Ця стаття детально розповість про хід цього хакерського інциденту та методи відмивання коштів, а також попередить читачів про можливі ризики масового замороження коштів для групи позабіржових торгів та компаній з криптооплат у найближчі кілька місяців.
Процес крадіжки
Згідно з описом керівництва торгової платформи та попереднім розслідуванням компанії з аналізу блокчейну, процес крадіжки виглядає приблизно так:
Підготовка до атаки: Хакери за три дні до інциденту розгорнули шкідливий смарт-контракт, щоб підготуватися до подальшої атаки.
Вторгнення в багатопідписну систему: холодний гаманець Ethereum цієї торгової платформи використовує механізм багатопідпису, зазвичай вимагаючи підписи кількох уповноважених осіб для виконання транзакції. Хакери проникли в комп'ютер, що керує багатопідписним гаманець, ймовірно, використовуючи масковані інтерфейси або шкідливе програмне забезпечення.
Псевдоторгівля: в день інциденту торговельна платформа планувала перенести ETH з холодного гаманця на гарячий гаманець для задоволення щоденних торгових потреб. Хакер, скориставшись цим моментом, підробив інтерфейс торгівлі, спонукаючи підписувача підтвердити нібито легальну угоду. Проте насправді підпис виконувала команду, яка змінювала логіку смарт-контракту холодного гаманця.
Переміщення коштів: після набрання чинності команди, хакер швидко контролював холодний гаманець, перемістивши велику кількість ETH та сертифікати стейкінгу ETH на невідому адресу. Потім кошти були розподілені на кілька гаманців і розпочався процес відмивання грошей.
Способи відмивання грошей
Очищення коштів в основному поділяється на два етапи:
Перший етап — це раннє розділення капіталу. Зловмисники швидко обмінюють сертифікати стейкінгу ETH на токени ETH, а не вибирають стабільні монети, які можуть бути заморожені. Потім вони суворо розділяють ETH і переносять його на нижчі адреси, готуючи до відмивання.
Варто зазначити, що на цьому етапі спроба зловмисників обміняти 15000 жетонів ETH на ETH була своєчасно припинена, що дозволило галузі частково відшкодувати збитки.
Другий етап – це конкретна робота з очищення коштів. Зловмисники використовують різні централізовані та децентралізовані галузеві інфраструктури для переміщення та обміну коштів, включаючи платформи для кросчейн-транзакцій, децентралізовані біржі тощо. Частина платформ використовуються для обміну коштів, інші – для кросчейн-переміщення.
Станом на сьогодні, значні кошти, що були вкрадені, вже були обміняні на біткойн, догкоін, солану та інші основні криптоактиви для переміщення. Зловмисники навіть випустили мем-коїни або перевели кошти на адреси бірж для їх замаскування.
Компанія з аналізу блокчейну відстежує адреси, пов'язані з вкраденими коштами, і відповідна інформація про загрози буде синхронно надсилатися на її професійну платформу, щоб запобігти випадковому отриманню користувачами вкрадених коштів.
Аналіз хакерських організацій
Аналізуючи рух коштів, дослідники виявили, що ця атака пов'язана з двома випадками крадіжки на біржах, які сталися в жовтні 2024 року та січні 2025 року, що свідчить про те, що ці три атаки можуть бути сплановані однією і тією ж хакерською групою.
Поєднуючи свої高度 індустріалізовані методи відмивання коштів та засоби атаки, деякі експерти з безпеки блокчейну припускають, що цей інцидент може бути пов'язаний з одним із сумнозвісних хакерських угрупувань. Це угрупування неодноразово здійснювало кібератаки на установи та інфраструктуру Криптоактиви впродовж останніх кількох років, незаконно отримуючи криптоактиви вартістю в десятки мільярдів доларів.
Потенційний ризик замороження
Згідно з дослідженнями, проведеними за останні кілька років, дослідники виявили, що ця хакерська організація, окрім використання децентралізованих платформ для відмивання грошей, також активно користується централізованими торговими платформами для скидання. Це безпосередньо призводить до того, що багато користувачів бірж, які випадково отримали крадені кошти, мають заморожені рахунки через ризиковий контроль, а адреси бізнесу позабіржових трейдерів та платіжних установ блокуються.
Наприклад, у 2024 році одна японська криптоактивів біржа зазнала атаки, внаслідок якої було вкрадено біткоїнів на суму 600 мільйонів доларів. Частина коштів була переведена до крипто-платформи в Південно-Східній Азії, що призвело до замороження адреси гарячого гаманця цієї платформи, внаслідок чого було заблоковано майже 30 мільйонів доларів.
У 2023 році ще одна відома торгова платформа зазнала атаки, внаслідок чого було втрачено понад 100 мільйонів доларів. Частина вкрадених коштів була відмивана через позабіржову торгівлю, що призвело до замороження бізнес-адрес багатьох позабіржових трейдерів або до блокування їхніх рахунків на платформі, що серйозно вплинуло на нормальну діяльність.
Висновок
Часті атаки хакерів завдали величезних збитків індустрії криптоактивів, а подальші операції з відмивання грошей торкнулися ще більшої кількості невинних осіб та установ. Для цих потенційних жертв ключовим є збереження пильності у повсякденному бізнесі та уважне спостереження за підозрілими фінансовими потоками, щоб уникнути шкоди своїм інтересам. Завдяки спільним зусиллям регуляторів та учасників індустрії, ми сподіваємося на створення більш безпечної та прозорої екосистеми криптоактивів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 мільярдів доларів США ETH зазнали крадіжки Хакером, шифрування індустрія стикається з серйозними викликами безпеки
Криптоактиви платформа遭遇重大安全事件
21 лютого 2025 року відбулася серйозна подія безпеки на відомій платформі для торгівлі криптоактивами, в результаті якої з її холодного гаманця Ethereum було вкрадено приблизно 1,5 мільярда доларів США активів. Ця подія вважається найбільшою одноразовою крадіжкою в історії криптоактивів, перевищуючи раніше зафіксовані великі крадіжки, такі як ті, що трапилися в 2021 та 2022 роках, завдавши величезного удару всій індустрії.
Ця стаття детально розповість про хід цього хакерського інциденту та методи відмивання коштів, а також попередить читачів про можливі ризики масового замороження коштів для групи позабіржових торгів та компаній з криптооплат у найближчі кілька місяців.
Процес крадіжки
Згідно з описом керівництва торгової платформи та попереднім розслідуванням компанії з аналізу блокчейну, процес крадіжки виглядає приблизно так:
Підготовка до атаки: Хакери за три дні до інциденту розгорнули шкідливий смарт-контракт, щоб підготуватися до подальшої атаки.
Вторгнення в багатопідписну систему: холодний гаманець Ethereum цієї торгової платформи використовує механізм багатопідпису, зазвичай вимагаючи підписи кількох уповноважених осіб для виконання транзакції. Хакери проникли в комп'ютер, що керує багатопідписним гаманець, ймовірно, використовуючи масковані інтерфейси або шкідливе програмне забезпечення.
Псевдоторгівля: в день інциденту торговельна платформа планувала перенести ETH з холодного гаманця на гарячий гаманець для задоволення щоденних торгових потреб. Хакер, скориставшись цим моментом, підробив інтерфейс торгівлі, спонукаючи підписувача підтвердити нібито легальну угоду. Проте насправді підпис виконувала команду, яка змінювала логіку смарт-контракту холодного гаманця.
Переміщення коштів: після набрання чинності команди, хакер швидко контролював холодний гаманець, перемістивши велику кількість ETH та сертифікати стейкінгу ETH на невідому адресу. Потім кошти були розподілені на кілька гаманців і розпочався процес відмивання грошей.
Способи відмивання грошей
Очищення коштів в основному поділяється на два етапи:
Перший етап — це раннє розділення капіталу. Зловмисники швидко обмінюють сертифікати стейкінгу ETH на токени ETH, а не вибирають стабільні монети, які можуть бути заморожені. Потім вони суворо розділяють ETH і переносять його на нижчі адреси, готуючи до відмивання.
Варто зазначити, що на цьому етапі спроба зловмисників обміняти 15000 жетонів ETH на ETH була своєчасно припинена, що дозволило галузі частково відшкодувати збитки.
Другий етап – це конкретна робота з очищення коштів. Зловмисники використовують різні централізовані та децентралізовані галузеві інфраструктури для переміщення та обміну коштів, включаючи платформи для кросчейн-транзакцій, децентралізовані біржі тощо. Частина платформ використовуються для обміну коштів, інші – для кросчейн-переміщення.
Станом на сьогодні, значні кошти, що були вкрадені, вже були обміняні на біткойн, догкоін, солану та інші основні криптоактиви для переміщення. Зловмисники навіть випустили мем-коїни або перевели кошти на адреси бірж для їх замаскування.
Компанія з аналізу блокчейну відстежує адреси, пов'язані з вкраденими коштами, і відповідна інформація про загрози буде синхронно надсилатися на її професійну платформу, щоб запобігти випадковому отриманню користувачами вкрадених коштів.
Аналіз хакерських організацій
Аналізуючи рух коштів, дослідники виявили, що ця атака пов'язана з двома випадками крадіжки на біржах, які сталися в жовтні 2024 року та січні 2025 року, що свідчить про те, що ці три атаки можуть бути сплановані однією і тією ж хакерською групою.
Поєднуючи свої高度 індустріалізовані методи відмивання коштів та засоби атаки, деякі експерти з безпеки блокчейну припускають, що цей інцидент може бути пов'язаний з одним із сумнозвісних хакерських угрупувань. Це угрупування неодноразово здійснювало кібератаки на установи та інфраструктуру Криптоактиви впродовж останніх кількох років, незаконно отримуючи криптоактиви вартістю в десятки мільярдів доларів.
Потенційний ризик замороження
Згідно з дослідженнями, проведеними за останні кілька років, дослідники виявили, що ця хакерська організація, окрім використання децентралізованих платформ для відмивання грошей, також активно користується централізованими торговими платформами для скидання. Це безпосередньо призводить до того, що багато користувачів бірж, які випадково отримали крадені кошти, мають заморожені рахунки через ризиковий контроль, а адреси бізнесу позабіржових трейдерів та платіжних установ блокуються.
Наприклад, у 2024 році одна японська криптоактивів біржа зазнала атаки, внаслідок якої було вкрадено біткоїнів на суму 600 мільйонів доларів. Частина коштів була переведена до крипто-платформи в Південно-Східній Азії, що призвело до замороження адреси гарячого гаманця цієї платформи, внаслідок чого було заблоковано майже 30 мільйонів доларів.
У 2023 році ще одна відома торгова платформа зазнала атаки, внаслідок чого було втрачено понад 100 мільйонів доларів. Частина вкрадених коштів була відмивана через позабіржову торгівлю, що призвело до замороження бізнес-адрес багатьох позабіржових трейдерів або до блокування їхніх рахунків на платформі, що серйозно вплинуло на нормальну діяльність.
Висновок
Часті атаки хакерів завдали величезних збитків індустрії криптоактивів, а подальші операції з відмивання грошей торкнулися ще більшої кількості невинних осіб та установ. Для цих потенційних жертв ключовим є збереження пильності у повсякденному бізнесі та уважне спостереження за підозрілими фінансовими потоками, щоб уникнути шкоди своїм інтересам. Завдяки спільним зусиллям регуляторів та учасників індустрії, ми сподіваємося на створення більш безпечної та прозорої екосистеми криптоактивів.