21.02.2025 мир цифровых валют потрясла новость: у биржи Bybit похитили более $1.4 млрд в криптовалюте Ethereum. Bybit заверяет, что пострадал только 1 кошелек, а вывод средств продолжается в штатном режиме.
Криптовалюты произвели революцию в финансовом мире, предложив децентрализованную альтернативу традиционным деньгам. Но вместе с новыми возможностями появились и новые риски. Цифровые активы, хранящиеся на онлайн-кошельках и биржах, стали лакомой добычей для хакеров. В этой статье мы расскажем о самых громких взломах в истории криптоиндустрии и о том, какие уроки безопасности из них можно извлечь.
Mt.Gox - первая кража века
Взлом японской биржи Mt.Gox в 2014 году стал настоящим потрясением для молодой индустрии. На тот момент Mt.Gox обрабатывала до 70% всех транзакций биткоина в мире. Но в феврале биржа неожиданно приостановила вывод средств, а затем объявила о банкротстве. Выяснилось, что хакеры на протяжении нескольких лет незаметно похищали биткоины со счетов пользователей. В общей сложности было украдено 850 000 BTC, что на тот момент составляло около $450 млн.
Причиной взлома стала критическая уязвимость в программном обеспечении кошелька биржи. Хакеры смогли подделывать транзакции и незаметно выводить средства. Но и сама биржа вела учет небрежно - холодные кошельки использовались нерегулярно, а недостача обнаружилась слишком поздно. Крах Mt.Gox сильно ударил по репутации биткоина и молодой криптоиндустрии. Но это было только начало.
The DAO - крупнейший взлом смарт-контракта
Следующей жертвой хакеров в 2016 году стал The DAO - децентрализованная автономная организация на базе Ethereum. Идея The DAO состояла в том, чтобы создать инвестиционный фонд без людей-управляющих. Решения о вложениях должны были приниматься всеми участниками через голосование, а смарт-контракты - автоматически распределять прибыль.
За месяц The DAO собрал рекордные $150 млн в эфирах. Но буквально на следующий день после запуска неизвестный хакер нашел уязвимость в коде смарт-контракта. Эксплуатируя ошибку рекурсии, он несколько раз запустил функцию вывода средств, опустошая кассу DAO. Прежде чем его остановили, хакер успел вывести криптовалюту на сумму $50 млн.
Это поставило сообщество Ethereum перед непростым выбором. Проект с самого начала позиционировал себя как неизменяемый и неподконтрольный. Отменять транзакции было против принципов. В результате было решено провести хардфорк, откатив блокчейн до момента взлома. Это спасло средства инвесторов DAO, но привело к расколу сети и появлению Ethereum Classic.
Bitgrail - exit scam по-итальянски
Далеко не всегда биржи становятся жертвами хакеров. Иногда их владельцы сами оказываются нечисты на руку. Поучительна история итальянской биржи Bitgrail, которая в 2018 году "потеряла" 17 млн монет Nano (XRB) на сумму $170 млн.
Сначала директор биржи Франческо Фирано заявил о хакерской атаке. Но после анализа блокчейна выяснилось, что средства выводились небольшими порциями на протяжении нескольких месяцев. Фирано же продолжал принимать депозиты, заверяя, что проблем нет. В итоге оказалось, что Bitgrail работала с критическими ошибками в ПО, фальсифицировала объемы торгов, а Фирано потратил деньги на личные нужды.
Владелец биржи предлагал возместить 20% украденных средств и открыть новую площадку Bitgrail Shares для компенсации остального в течение нескольких лет. Но итальянский суд арестовал оставшиеся активы и обвинил Фирано в мошенничестве и отмывании денег. Инвесторы до сих пор судятся за компенсации.
KuCoin и Cream Finance - наглость хакеров растет
В последние годы количество и масштабы взломов криптобирж только растут. В сентябре 2020 сингапурская биржа KuCoin сообщила об "утечке" криптовалют на $280 млн из-за компрометации приватных ключей. В 2021 децентрализованный лендинговый протокол Cream Finance за год ограбили три раза, похитив в общей сложности $140 млн. Рекорд принадлежит блокчейну Poly Network, у которого в 2021 своровали сразу $610 млн через уязвимость в смарт-контрактах.
Дерзость хакеров поражает. Преступники выводят такие суммы, что их невозможно быстро отмыть или обналичить. Часто похищенная криптовалюта так и остается лежать на известных кошельках. После взлома Poly Network хакер заявил, что целью была не нажива, а привлечение внимания к уязвимостям протокола. Он даже вернул часть средств, оставив себе $33 млн как "награду за найденный баг".
Уроки безопасности в мире криптовалют
Итак, какие уроки можно извлечь из громких взломов криптоиндустрии:
1. Не оставляйте большие суммы на горячих кошельках бирж. Используйте аппаратные кошельки для долгосрочного хранения.
2. Внимательно изучайте репутацию бирж и протоколов перед инвестированием. Не ведитесь на завышенную доходность.
3. Следите за обновлениями ПО кошельков и не переходите по подозрительным ссылкам. Хакеры часто распространяют фейковые приложения.
4. Используйте сложные пароли и двухфакторную аутентификацию. Не храните seed-фразы от кошельков в электронном виде.
5. Диверсифицируйте риски, храня активы на разных кошельках и биржах.
6. Страхуйте депозиты на биржах и в протоколах, если такая опция доступна.
Самый важный урок - даже в мире анонимных цифровых активов ваша безопасность в ваших руках. Выбирайте проверенные площадки, внимательно изучайте смарт-контракты перед взаимодействием и всегда помните о рисках. Следование базовым правилам безопасности поможет сохранить ваши инвестиции в бурном море криптовалют. А значит волны взломов и скамов, каким бы внушительным ни был их масштаб, вас не коснутся.
