" Сообщается, что пожилой гражданин США стал жертвой разрушительной кражи биткоинов на сумму 330 млн долларов. Этот инцидент теперь считается пятым по величине взломом криптовалюты в истории.
Злоумышленник использовал передовые методы социальной инженерии, чтобы получить доступ к кошельку жертвы, сообщил ончейн-следователь ZachXBT в обновлении от 30 апреля на X.
Взлом произошел 28 апреля 2025 года, когда ZachXBT отметил подозрительный перевод, включающий 3520 BTC на сумму 330,7 млн долларов.
После перевода украденные деньги были быстро отмыты через более чем шесть мгновенных обменов на криптовалюту Monero (XMR), ориентированную на конфиденциальность.
Ончейновые данные показывают, что жертва держала более 3000 BTC с 2017 года, без какой-либо истории крупных транзакций.
ZachXBT подтверждает жертву взлома. Источник: ZachXBT
После кражи злоумышленник не терял времени, отмывая биткоины с помощью Peel Chain — распространенного метода обфускации, при котором большие суммы разбиваются на более мелкие, трудноотслеживаемые части.
«330 миллионов долларов в BTC были получены двумя транзакциями, а затем немедленно распределены через Peel Chain», — объяснил Егор Рудица, ончейн-исследователь в Hacken.
«Средства начали поступать на несколько мгновенных бирж/миксеров с небольшими суммами, затем миксеры распределяли средства по нескольким новым кошелькам. Самая большая цепочка воронкообразования теперь состоит из более чем 40 кошельков», — пояснил он.
Задействовано более 300 кошельков и 20 бирж
Внутренний инструмент Hacken, Extractor, отследил BTC на сумму 284 миллиона долларов, прошедших через эти цепочки, что теперь составляет около 60 миллионов долларов после повторной «очистки» и перераспределения по биржам с низким уровнем доверия.
Рудица сказал, что было задействовано более 300 хакерских кошельков и более 20 бирж или платежных сервисов, включая Binance.
«Мы знаем об инциденте и работаем с правоохранительными органами и отраслевыми партнерами, чтобы помочь там, где это возможно», — сказал представитель Binance.
«Основная проблема в таких случаях (аналогично краже 4064 BTC кредитором Genesis в августе 2024 года) заключается в том, что заморозка счетов централизованных бирж, используемых в процессе отмывания, усложняется из-за особенно медленного юридического процесса подачи заявлений в полицию и проведения расследований», — добавил Рудица.
Усугубляя ситуацию, злоумышленник быстро конвертировал значительную часть BTC в XMR. Этот шаг спровоцировал рост цены Monero на 50%, и токен ненадолго достиг $339.
«После того, как средства были переведены в Monero, отслеживание становится практически невозможным из-за его архитектуры, сохраняющей конфиденциальность. После этого шага вероятность восстановления значительно снижается», — сказал старший руководитель операций по безопасности Cyvers Alerts Хакан Унал.
Унал сказал, что у злоумышленника, вероятно, были заранее открытые счета на нескольких биржах и внебиржевых торговых площадках, что предполагает высокую степень преднамеренности.
Небольшая часть украденных BTC также была переведена на Ethereum и размещена на различных платформах, что еще больше усложнило усилия по отслеживанию. С тех пор следователи предупредили биржи о возможной заморозке средств.
Знакомых тактик отмывания денег нет
ZachXBT ранее отверг теорию о том, что за атакой могла стоять северокорейская Lazarus Group, предположив, что за ней стоят независимые хакеры.
ZachXBT отвергает теорию о Северной Корее. Источник: ZachXBT
Хотя атрибуция остается неопределенной, эксперты сходятся во мнении, что тактика отмывания денег демонстрирует редкую автоматизацию и координацию для ограбления такого масштаба.
«До сих пор мы не смогли с уверенностью связать эту деятельность с какой-либо известной хакерской группой, поскольку используемые методы отмывания — хотя и сложные — не совсем соответствуют шаблонам подписей ранее идентифицированных преступников», — отметил Унал.
Он рекомендовал использовать кошельки с мультиподписью (multisig) для устранения отдельных точек отказа, минимизировать воздействие горячих кошельков, подключенных к Интернету, регулярно менять закрытые ключи и полагаться на аппаратное холодное хранилище для защиты крупных запасов биткоинов.
В первом квартале 2025 года хакеры украли криптовалюту на сумму более 1,6 млрд долларов с бирж и смарт-контрактов на блокчейне, сообщила в апрельском отчете компания по безопасности блокчейнов PeckShield.
Более 90% этих потерь приходится на централизованную криптовалютную биржу Bybit, которая потеряла в 1,5 млрд долларов в ходе атаки, совершенной северокорейской хакерской группой Lazarus Group.
