Крипторынок за июнь потерял $76 млн, а виноват один заражённый ноутбук

изображение: grok
За первый месяц лета злоумышленники вывели с криптоплатформ примерно 75,87 млн долларов. Специалисты PeckShield зафиксировали 40 удачных атак, а самый крупный ущерб понёс Humanity Protocol, потерявший более 30 млн долларов. Приоритеты преступников не меняются — они охотятся за уязвимостями в межблокчейн-мостах, смарт-контрактах и плохо защищённых приватных ключах.
По подсчётам PeckShield, июнь оказался чуть менее убыточным, чем май. Месяцем ранее суммарные потери оценивались примерно в 81,7 млн долларов, а теперь показатель просел примерно на 7,13%. Небольшое снижение цифр вовсе не отменяет размах отдельных инцидентов. Ряд эпизодов лишний раз напомнил простую истину — одна оплошность разработчика способна стоить проекту десятков миллионов долларов.
Наиболее шумной оказалась атака на Humanity Protocol. Преступники завладели приватными ключами, после того как компьютер одного из разработчиков подцепил вредоносное программное обеспечение. Этого хватило, чтобы вывести цифровые активы на сумму свыше 30 млн долларов и превратить взлом в самое дорогостоящее событие месяца.
Стоит обратить внимание на то, что инструменты и приёмы, применённые в ходе операции, во многом совпадают с почерком северокорейских хакерских группировок, о чём сообщили специалисты Quantstamp.
Прямых заявлений о причастности конкретной структуры исследователи не сделали, но зафиксировали характерные признаки, ранее замеченные в других делах.
Выведенные деньги преступники раскидали по нескольким сетям. Среди задействованных блокчейнов оказались Bitcoin, Solana, Hyperliquid и BNB Chain. По сведениям PeckShield, украденные активы затем смешивались с криптовалютой, ранее связанной со взломом KelpDAO. Эксперты компании допустили, что подобное пересечение денежных потоков может указывать на общих исполнителей двух громких преступлений.
Второе место по объёму ущерба занял инцидент с мостом Syscoin, где потери оценили примерно в 10 млн долларов. Спусковым крючком взлома оказался несанкционированный выпуск токенов SYS, что позволило преступнику быстро зафиксировать солидную прибыль. Владелец известного MEV-бота JaredFromSubway.eth недосчитался примерно 7,5 млн долларов. Экосистема Secret Network в результате отдельной атаки лишилась цифровых активов на 4,67 млн долларов.
Наиболее необычная деталь июньской сводки связана с двумя давно заброшенными сервисами Aztec. Прекратив активное развитие несколько лет назад, старые проекты неожиданно вернулись в центр внимания преступников:
- из Aztec Payments Product было выведено около 2,16 млн долларов;
- почти одновременно исчезли ещё примерно 2,1 млн долларов через Aztec Connect;
- совокупные потери приблизились к 4 млн долларов;
- оба сервиса уже давно перестали использоваться по прямому назначению.
Представители Aztec Labs быстро выступили с пояснением. Команда рассказала, что оба продукта были архивированы несколько лет назад, а разработчики более не имеют к этим системам доступа и не управляют их работой. Проще говоря, преступники воспользовались наследием инфраструктуры, продолжающей жить в блокчейне даже после сворачивания активной эксплуатации.
Прочие громкие эпизоды месяца тоже стоит перечислить отдельным блоком:
- пользователи Polymarket потеряли около 3 млн долларов после фишинговой кампании;
- проекты SecondFi и TESSERA лишились примерно 2,4 млн долларов;
- эксплойт моста Taiko принёс злоумышленникам около 1,7 млн долларов;
- в целом десятка крупнейших атак месяца охватила более десяти разных сервисов.
Общая сводка июня показывает, что преступники не гоняются исключительно за свежими уязвимостями. Старые смарт-контракты, забытые сервисы и архивные проекты остаются лакомой добычей. Пока код продолжает жить в публичной сети, всегда сохраняется шанс отыскать слабое место и превратить его в источник заработка. Именно поэтому даже брошенные разработчиками системы требуют внимания со стороны сообщества — забытый код не исчезает, он просто ждёт своего исследователя.
Отмечается, что запутывание движения похищенных средств стало не менее заметной чертой июня, чем сами взломы, а расследование подобных дел растягивается на недели и месяцы.
Использование сразу нескольких блокчейнов, смешивание активов с ранее выведенной криптовалютой и дробление переводов между сетями существенно осложняют работу следствия. Современные атаки давно перестали быть разовыми событиями. После получения доступа стартует отдельная операция по сокрытию источника цифровых активов, способная тянуться месяцами.
Приёмы отмывания эволюционируют быстрее, чем возможности следственных инструментов. Преступники комбинируют миксеры, децентрализованные биржи, кроссчейн-мосты и стейблкоины, чтобы окончательно оборвать цепочку транзакций. Раскрутить такой клубок под силу лишь редким аналитическим командам, у которых есть доступ к специализированным блокчейн-сканерам и наработанные связи с биржами.
Ранее сообщалось, что криптовалютная платформа прогнозов Polymarket стала жертвой атаки через скомпрометированного стороннего подрядчика. Получив доступ к инфраструктуре поставщика, злоумышленники внедрили вредоносный скрипт в веб-интерфейс сервиса, что позволило похитить средства у части пользователей. По оценкам независимых аналитиков, общий ущерб составил около 3 млн долларов. Компания подтвердила факт инцидента и заявила, что компенсирует пострадавшим клиентам украденные криптоактивы в полном объёме.
Эксперты редакции CISOCLUB уверены, что июньская сводка обозначает уже сложившуюся долгосрочную тенденцию, а вовсе не разовое стечение обстоятельств. Заброшенные проекты Aztec наглядно показали риск, о котором в сообществе редко задумываются — код в блокчейне не умирает вместе с уходом разработчиков. Компрометация личного компьютера сотрудника Humanity Protocol снова доказывает, что даже мощная криптография бессильна перед банальным заражением рабочей станции. Пересечение потоков между разными взломами намекает на консолидацию хакерских группировок и превращение атак в отлаженный конвейер. Отрасли пора не только латать дыры в свежих контрактах, но и системно ревизовать архивы, а также инвестировать в защиту рабочих мест разработчиков.



