ТОП-5 крупнейших криптоограблений

Криптовалюты — это идеальная цель для киберпреступников: есть куча способов их украсть, а вот вернуть украденное назад крайне сложно. Причем некоторым хакерам удается наживаться действительно по-крупному: после их атак криптобиржи и другие организации, имеющие дело с криптой, теряют десятки, а иногда и сотни миллионов долларов. В этой статье мы собрали ТОП-5 крупнейших краж за всю относительно недолгую историю существования криптовалют. А в конце рейтинга вас ждет бонус — удивительная история криптоограбления, которая захватывает не меньше, чем сюжеты сериалов Netflix.

История 1. Ключ от всех дверей

• Жертва: криптовалютная биржа KuCoin
• Когда произошло: 26 сентября 2020 года
• Сумма ущерба: около 285 миллионов долларов

В ночь с 25 на 26 сентября 2020 года команда безопасности сингапурской криптобиржи KuCoin обнаружила в своей системе серию аномальных транзакций с нескольких горячих кошельков. Чтобы остановить подозрительные операции, специалисты перевели все оставшиеся средства со скомпрометированных горячих кошельков на холодные. С момента обнаружения инцидента до его завершения прошло около двух часов. За это время злоумышленники успели вывести с биржи около 285 миллионов долларов в нескольких криптовалютах.

Расследование произошедшего показало, что преступники смогли получить доступ к секретным ключам от горячих кошельков биржи. В ограблении подозревают Lazarus Group — северокорейскую APT-группировку. Подозрения пали на нее из-за метода вывода похищенных средств, которым воспользовались преступники. Для отмывания награбленного они использовали многоступенчатый алгоритм. Сначала они равными суммами прогоняли деньги через криптомиксеры (инструмент, с помощью которого пользователи могут смешивать свою криптовалюту с большими суммами других средств), чтобы транзакции было сложнее отследить, а после этого переводили криптовалюту через децентрализованные платформы.

Это крупное ограбление не стало концом для криптобиржи. На следующий день после ограбления генеральный директор KuCoin Джонни Лю провел прямую трансляцию, на которой пообещал полностью возместить украденное преступниками. Слово Джонни Лю сдержал — уже в ноябре того же года в своем аккаунте в Twitter он сообщил, что 84% от суммы похищенного вернулось владельцам. Оставшиеся 16% KuCoin покрыла с помощью средств из страхового фонда.

История 2. Деньги из воздуха

• Жертва: блокчейн-мост Wormhole
• Когда произошло: 2 февраля 2022 года
• Сумма ущерба: 334 миллиона долларов

Следующее место в нашем топе занимает ограбление с использованием уязвимости в блокчейн-мосте Wormhole — протоколе, который позволяет переносить информацию между разными блокчейнами. Совершить это преступление злоумышленникам помог программный код, который разработчики платформы сами выложили в открытый доступ. Но обо всем по порядку.

Wormhole — это инструмент, который призван облегчить совершение сделок в криптовалюте. В частности, он позволяют отдать токены в сети Ethereum и получить взамен токены в сети Solana. Технически обмен происходит так: токены замораживаются в одной цепочке, а в другой выпускаются так называемые «обернутые токены» той же ценности.

При этом Wormhole — это проект с открытым исходным кодом, у которого есть свой репозиторий на GitHub. Незадолго до ограбления разработчики разместили в этом репозитории код, который должен был исправить одну из уязвимостей системы. Однако злоумышленники воспользовались этой уязвимостью до того, как изменения вступили в силу.

Баг позволил преступникам обойти проверку транзакции на стороне блокчейна Solana и выпустить 120 000 «обернутых ETH» (около 334 миллионов долларов на момент атаки) без заморозки эквивалентных средств на стороне блокчейна Ethereum. Две трети от общей суммы преступник перевел на кошелек Ethereum, а на остаток накупил других токенов.

Представители Wormhole публично обратилось к злоумышленникам с просьбой вернуть украденное и подробно рассказать об эксплойте за вознаграждение в 10 миллионов долларов. Это щедрое предложение было проигнорировано.

Уже на следующий день после ограбления в официальном аккаунте Wormhole в Twitter появилось сообщение, что все похищенные средства возмещены и мост продолжает работать. Закрыть финансовую дыру помогла компания Jump Trading, купившая за полгода до ограбления разработчика Wormhole. Личности грабителей, судя по информации из открытых источников, по сей день остаются неизвестными.

История 3. Ограбление длиной в три года

• Жертва: криптовалютная биржа Mt.Gox
• Когда произошло: февраль 2014 года
• Сумма ущерба: 480 миллионов долларов

История Mt.Gox началась в далеком 2007 году, тогда это была платформа по обмену карточками из игры Magic: The Gathering. Спустя три года, на фоне растущей популярности криптовалют, владелец сайта американский программист Джед Маккалеб решил сделать из него криптобиржу, но уже в 2011 году он продал сервис французскому разработчику Марку Карпелесу. Всего через два года после этого на Mt.Gox оборачивалось около 70% от общемирового объема биткойнов.

За быстрым подъемом последовал сокрушительный крах: 7 февраля 2014 года биржа внезапно полностью заблокировала вывод средств в биткойнах. Компания объясняла это внутренними техническими проблемами. У штаб-квартиры Mt.Gox в Токио начали собираться возмущенные клиенты, требующие возврата своих денег. Ответа они не получили.

Удивительно в этой истории то, что ограбление Mt.Gox начались еще в 2011 году. Тогда неизвестные хакеры завладели секретными ключами от горячего кошелька биржи и начали постепенно выкачивать из нее биткойны. К 2013 году преступники вывели на свои счета 630 000 BTC.

История биржи завершилась уже 28 февраля, когда Марк Карпелес объявил о банкротстве биржи и заявил, что «из-за несовершенства системы» компания потеряла около 750 000 BTC, принадлежавших клиентам, и еще около 100 000 собственных биткойнов. В качестве суммы украденного в долларах обычно указывают около $480 миллионов — это стоимость общего количества похищенных токенов по курсу за день до объявления биржи банкротом, то есть 27 февраля.

Но следует иметь в виду, что за время после прекращения торгов на Mt.Gox и до объявления ее банкротом биткойн успел сильно упасть. Если посчитать по курсу на 6 февраля (за день до того, как биржа фактически закрылась), то ущерб составит 660 миллионов долларов. Впрочем, обе эти цифры довольно условны — они не учитывают тот факт, что ограбление растянулось на несколько лет, в течение которых курс постоянно менялся. Так что точную сумму ущерба в данном случае посчитать затруднительно.

Курс Биткойна в феврале 2014 года. Источник

Как такое вообще оказалось возможным? По словам бывших сотрудников, руководство компании довольно халатно относилось ко многим важным вопросам. На бирже были серьезные проблемы с финансовым учетом. Более того, в Mt.Gox не проводилось тщательной проверки качества и безопасности кода — например, не применялись решения для контроля версий.

Прокуратура предъявляла владельцу Mt.Gox Марку Карпелесу обвинение в растрате порядка трех миллионов долларов, принадлежавших клиентам биржи. Однако доказать это в суде им не удалось. В результате в 2019 году Марк Карпелес был приговорен к двум годам и шести месяцам условно за манипуляцию данными, но оправдан по другим обвинениям.

История 4. Глух и NEM

• Жертва: криптовалютная биржа Coincheck
• Когда произошло: 26 января 2018 года
• Сумма ущерба: 496 миллионов долларов

Coincheck — одна из крупнейших криптовалютных бирж Японии. В 2018 году преступникам удалось похитить из нее более 500 миллионов токенов NEM на почти такую же сумму в долларах.

Подробностей того, как именно злоумышленники провели атаку, компания не сообщила и заявила о надежности своей системы безопасности. Однако некоторые эксперты считают, что преступники могли получить доступ к секретным ключам горячих кошельков Coincheck при помощи вредоносного ПО, внедренного на один из компьютеров в офисе компании.

Преступники также создали собственный ресурс, где стали продавать NEM за биткойны и другие криптовалюты со скидкой 15%. В итоге курс NEM сильно снизился, злоумышленникам удалось серьезно запутать расследование, а Coincheck лишилась почти 500 миллионов долларов, что, впрочем, не привело к закрытию биржи. Отследить преступников так и не удалось. Бирже пришлось на некоторое время приостановить работу и пообещать клиентам возместить ущерб из собственных средств.

Курс NEM после инцидента с Coincheck. Источник

История 5. Вакансия с сюрпризом

• Жертва: блокчейн-платформа Ronin Network
• Когда произошло: 23 марта 2022 года
• Сумма ущерба: 540 миллионов долларов

Платформа Ronin Network была создана компанией Sky Mavis специально для блокчейн-игры Axie Infinity, в первую очередь — для покупки внутриигровой криптовалюты Smooth Love Potion (SLP). В конце марта 2022 года неизвестные злоумышленники вывели из Ronin криптовалюту на рекордную сумму в 540 миллионов долларов. В этом им помогло шпионское ПО и магия социальной инженерии.

Преступники провели целевую атаку на сотрудников Sky Mavis. В результате им удалось войти в контакт (скорее всего, через LinkedIn) с одним из старших инженеров компании. Тот прошел все «этапы отбора» и получил «оффер» в виде PDF-файла, внутри которого была шпионская программа. Это дало грабителям возможность скомпрометировать четыре секретных ключа валидаторов сети.

Для доступа к активам компании злоумышленникам было необходимо получить одобрение по крайней мере пяти из девяти валидаторов. Как мы уже сказали выше, с помощью шпионской программы они смогли добыть четыре ключа. И еще один ключ они получили из-за недосмотра компании, которая забыла отозвать разрешение на одобрение переводов у автономной децентрализованной организации Axie DAO (за несколько месяцев до инцидента она помогала Ronin Network справиться с большим потоком транзакций).

Компания Sky Mavis, впрочем, быстро оправилась от инцидента. В июне 2022 года она перезапустила блокчейн-платформу и начала выплачивать игрокам компенсацию украденных средств.

NFT-персонаж из игры Axie Infinity. Репродукция

Бонус. Ограбление с возвратом

• Цель: межсетевой протокол Poly Network
• Когда произошло: 10 августа 2021 года
• Сумма украденного и возвращенного: 610 миллионов долларов

Наконец, «бонусная» история: одно из крупнейших криптоограблений в истории криптовалюты, в результате которого грабитель вернул все похищенное. Рассказываем, как так вышло.

Poly Network — это очередной протокол, упрощающий переводы между разными блокчейнами. Именно на этой платформе летом 2021 года произошло одно из самых грандиозных ограблений за всю историю криптовалютного рынка. Неизвестный хакер воспользовался уязвимостью в Poly Network и похитил более 600 миллионов долларов в нескольких видах токенов.

Руководители Poly Network обратились к преступнику в Twitter с просьбой вернуть похищенное. Ко всеобщему удивлению, хакер вышел на связь и согласился отдать деньги. Украденную сумму он передавал постепенно, поделив ее на несколько неравных частей.

Хакер вел достаточно долгую публичную переписку с Poly Network. В ней он сообщил, что деньги его не интересуют и что ограбление он совершил по идеологическим соображениям. В благодарность за сотрудничество в Poly Network отказались от претензий, гарантировали взломщику анонимность, предложили вознаграждение в размере 500 000 долларов и пригласили на должность «главного консультанта по вопросам безопасности». А также запустили программу баг баунти еще на 500 000 долларов

Морали не будет

Мы привели лишь самые выдающиеся примеры криптоограблений, затронувших крупные организации. Но, конечно же, в мире криптовалют отнюдь не редкость и более мелкие инциденты, которые касаются рядовых пользователей. Поэтому каждый владелец криптовалюты должен внимательно относиться к безопасности своих активов. Вот несколько советов, которые в этом помогут.

• Тщательно выбирайте платформы для торгов и других операций: почитайте обзоры, отзывы, по возможности проконсультируйтесь с опытными пользователями, которым вы доверяете.
• Никому не сообщайте данные для входа в аккаунт на бирже и в кошелек. Помните, что в секрете нужно хранить не только пароли и секретные ключи, но и сид-фразу.
• Храните основные криптовалютные сбережения в холодных кошельках: они, в отличие от горячих, не требуют постоянного подключения к Сети, поэтому в целом безопаснее.
• Если пользуетесь горячим кошельком, обязательно включите двухфакторную аутентификацию.
• Остерегайтесь фишинга. Как распознать охотников за чужой криптовалютой, мы рассказали в этом посте.
• Пользуйтесь надежным решением с защитой финансовых операций, которое не даст зловреду выкрасть пароль или секретный ключ от вашего кошелька и предупредит о мошеннических сайтах.