Когда в новостях пишут, что хакеры украли криптовалюту на сотни миллионов долларов, у многих складывается простая картина: значит, "взломали блокчейн". Но в большинстве громких случаев проблема была не в Bitcoin, Ethereum или самой идее распределенного реестра. Чаще ломали то, что находится вокруг криптовалют — биржи, кошельки, мосты между сетями, смарт-контракты, внутренние процессы, интерфейсы, доступы сотрудников и системы хранения ключей.
Именно поэтому история крупнейших крипто-взломов — это не только список громких краж. Это еще и история взросления рынка. Каждый крупный инцидент показывал индустрии, где слабое место.
Что чаще всего атакуют в криптоиндустрии
Криптовалюта не существует в вакууме. Чтобы купить, продать, обменять или перевести активы, пользователь обычно взаимодействует с сервисами: биржами, обменниками, кошельками, DeFi-протоколами, мостами между блокчейнами, платежными решениями и кастодиальными платформами. У каждого такого элемента есть своя зона риска.
Биржа может плохо контролировать доступы. Горячий кошелек может быть подключен к интернету и стать удобной целью. Смарт-контракт может содержать ошибку в логике. Мост между сетями может концентрировать огромные суммы в одном технически сложном месте. А сотрудника, администратора или самого пользователя можно атаковать через фишинг, поддельные ссылки и социальную инженерию. Слабое звено почти всегда находится не внутри блокчейна, а в точке, где активы переходят под контроль сервисов, компаний и людей.
Mt. Gox — когда рынок еще не умел хранить миллиарды
В начале 2010-х Mt. Gox была не просто одной из крупнейших бирж, она обрабатывала около 70% всех мировых транзакций с Bitcoin. Для большинства пользователей того времени это был главный и часто единственный способ войти в криптовалюту.
В феврале 2014 года всё рухнуло. Биржа объявила о банкротстве и сообщила о пропаже примерно 850 000 BTC — из них около 750 000 принадлежали клиентам. По тогдашнему курсу это были сотни миллионов долларов. По нынешнему — цифра, о которой страшно думать.
Самое неприятное в этой истории — проблемы возникли не в один день. По данным расследований, часть средств пропадала годами, начиная с 2011 года. Внутри биржи не было нормального учета. Ключи хранились небрежно. Контроля за движением средств практически не существовало. Руководство либо не замечало происходящего, либо не предпринимало никаких существенных мер.
Позже было найдено около 200 000 BTC на старых кошельках — судя по всему, просто забытых. Кредиторы ждут возврата средств уже больше десяти лет: срок выплат неоднократно переносился и в последний раз был продлён до октября 2026 года. Дело дошло до уголовного преследования руководителя биржи Марка Карпелеса в Японии.
Mt. Gox стала болезненным уроком сразу для всего рынка. Популярность сервиса ничего не говорит о качестве его внутренней инфраструктуры. Миллионы пользователей доверяли площадке средства, не имея никакой возможности проверить, как именно там устроено хранение. И когда всё вскрылось, было уже поздно.
Coincheck — горячие кошельки и цена удобства
В январе 2018 года японская биржа Coincheck потеряла около 523 миллионов токенов NEM — примерно $530 млн по тогдашнему курсу. История этого взлома известна тем, что проблему можно было легко предотвратить. Разработчики NEM заранее предлагали бирже внедрить многоподписную защиту — механизм, при котором для проведения транзакции требуется подтверждение сразу нескольких сторон, а не одного ключа. Coincheck отказалась. Все токены лежали в одном горячем кошельке, постоянно подключенном к интернету, без какой-либо дополнительной защиты. Когда злоумышленники получили доступ к этому кошельку, ничто не мешало им вывести всё сразу. Что они и сделали — за одну операцию.
Coincheck в итоге выплатила компенсации пострадавшим пользователям из собственных средств — порядка $425 млн. Это случай редкий для индустрии, и бирже это дорого обошлось. Впоследствии её купила инвестиционная группа Monex, и под новым управлением платформа продолжила работу.
Но суть истории не в том, кто кому заплатил. Суть в том, что хранение активов на горячем кошельке без дополнительной защиты — это осознанный выбор в пользу скорости и удобства в ущерб безопасности. Холодные кошельки не подключены к интернету постоянно, ими неудобно пользоваться для ежедневных операций, но именно поэтому они существенно сложнее для атаки. Coincheck сделала ставку на удобство — и поставила на кон полмиллиарда долларов чужих денег.
Хороший курс и приятный интерфейс — это видимая часть биржи. Архитектура хранения активов почти всегда остается за кадром. И узнают о ней пользователи, как правило, только тогда, когда что-то идет не так.
Poly Network и Wormhole — когда ошибка в коде стоит слишком дорого
С развитием DeFi риски стали сложнее. Если раньше главная тревога была вокруг централизованных бирж, то позже внимание сместилось к смарт-контрактам и протоколам, которые работают автоматически.
Poly Network и Wormhole — два показательных примера. В августе 2021 года злоумышленник атаковал Poly Network — протокол, позволяющий перемещать активы между разными блокчейнами. Уязвимость была в логике смарт-контракта, управляющего тем, кто именно имеет право менять параметры передачи средств. Хакер нашел способ убедить контракт, что именно он является нужным адресом, и получил контроль над кошельками сразу в нескольких сетях — Ethereum, BSC и Polygon. За несколько часов было выведено более $610 млн. Это один из крупнейших взломов в истории DeFi.
Дальше произошло неожиданное. Хакер начал возвращать средства. По его словам, атака была задумана как демонстрация уязвимости, а не кража. Вся сумма в итоге вернулась, Poly Network даже предложила атаковавшему роль советника по безопасности. Рынок облегченно выдохнул, но осадок остался — потому что следующий человек с такой же уязвимостью мог рассуждать совсем иначе.
Wormhole в феврале 2022 года показал ту же логику, но с другим финалом. Wormhole — это мост между Solana и Ethereum. Злоумышленник нашел уязвимость в механизме проверки цифровых подписей. Суть была в том, что контракт доверял определенному типу служебных аккаунтов, которые больше не использовались в актуальной версии системы, но проверка их статуса не была достаточно жесткой. Хакер воспользовался этим, чтобы сфабриковать нужную подпись и выпустить 120 000 завернутых ETH на стороне Solana — без реального обеспечения на стороне Ethereum. За один раз из протокола ушло около $320 млн. Средства в итоге восстановила компания Jump Crypto, которая финансировала проект. Это спасло пользователей от потерь, но лишь потому, что за мостом стоял крупный инвестор с ресурсами. У большинства DeFi-протоколов такой подушки нет.
Смарт-контракт не думает, хороший перед ним пользователь или злоумышленник. Он просто выполняет заложенную в него логику. Если в этой логике есть ошибка, автоматизация не спасает — она с той же скоростью, что и обычная транзакция, превращает маленькую уязвимость в огромную проблему. В DeFi автоматизация работает в обе стороны. Если протокол функционирует корректно — всё хорошо. Если нет — ошибка разворачивается мгновенно, и отменить её некому.
Ronin Network — почему мосты стали любимой целью хакеров
В марте 2022 года стало известно об атаке на Ronin Network — блокчейн, созданный для игры Axie Infinity. Из него вывели около 173 600 ETH и 25,5 млн USDC, что в сумме составило примерно $625 млн. Позже атаку связали с северокорейской группировкой Lazarus.
Понять, как это произошло, важно — потому что здесь взломали не код в привычном смысле, а саму архитектуру управления. Ronin использовал систему из девяти валидаторов для подтверждения транзакций. Чтобы вывести средства, нужно было получить подпись как минимум пяти из них. Казалось бы, надёжная схема. Но несколькими месяцами ранее компания Sky Mavis, стоящая за Axie Infinity, временно упростила процесс — чтобы снизить нагрузку на сеть во время пикового роста игры. Для этого они передали Axie DAO право подписывать транзакции от своего имени. Когда нагрузка спала, технический доступ забыли отозвать.
Злоумышленники скомпрометировали приватные ключи четырёх валидаторов Sky Mavis, а пятый нашли именно через тот самый устаревший доступ Axie DAO. Пяти подписей оказалось достаточно. Транзакции прошли как будто всё в порядке.
Самое тревожное — атаку обнаружили лишь спустя шесть дней, когда один из пользователей попытался вывести средства и не смог. До этого момента в системе не было никаких автоматических сигналов о том, что происходит что-то странное.
Это хорошо иллюстрирует, что атаковать можно не только код. Можно атаковать процессы, управление доступами, старые разрешения, которые никто не удосужился убрать. Сложность инфраструктуры — это всегда большее количество точек, которые нужно держать под контролем одновременно.
Мосты — одна из самых уязвимых точек в крипто-инфраструктуре. Они концентрируют большие суммы, технически сложны и нередко создаются быстро под растущий спрос. Комиссия и скорость — это лишь то, что видно снаружи. За ними стоят аудиты, архитектурные решения, репутация команды и то, что произойдет, если что-то пойдет не так.
Bybit — новый уровень атак
В феврале 2025 года произошел взлом, который переписал представление рынка о том, как вообще можно атаковать крупную биржу. Bybit потерял около $1,5 млрд в Ethereum, из хранилища вывели более 401 000 ETH. На сегодня это крупнейшая кража криптовалюты в истории. FBI связало атаку с северокорейской группировкой TraderTraitor (она же Lazarus), которая стоит за множеством других крупных краж в индустрии.
Bybit использовал мультиподписной кошелек на базе Safe (бывший Gnosis Safe) — это считается одним из наиболее надёжных решений для корпоративного хранения криптовалюты. Несколько уполномоченных сотрудников должны были одобрить каждую транзакцию. Всё выглядело как зрелая, выстроенная система.
Злоумышленники атаковали не кошелёк напрямую, а инфраструктуру, через которую сотрудники видели и подписывали транзакции. Им удалось скомпрометировать интерфейс одного из поставщиков — так, что на экране сотрудники видели легитимную транзакцию, а реально подписывали изменение логики самого смарт-контракта кошелька. По сути, они своими руками передали атакующим контроль над хранилищем. После этого средства вывели в один момент.
Атака была тщательно подготовлена. Она не предполагала грубого взлома — она строилась на доверии людей к привычному инструменту. Увидел знакомый интерфейс, проверил сумму, нажал подтвердить. И именно это сработало против биржи.
Bybit стал напоминанием для всего рынка — безопасность это не одна настройка и не один инструмент. Это система, которая должна работать каждый день. Важно, кто и как подписывает операции, сколько уровней проверки проходит перевод, как отслеживаются подозрительные адреса, кто имеет доступ к критическим действиям и что происходит, если что-то идет не по плану.
Что объединяет крупнейшие криптовзломы
У всех этих историй разные детали. Где-то были проблемы с хранением. Где-то — уязвимость в коде. Где-то — атака на мост. Где-то — компрометация доступа или процесса подписания.
Но общая логика повторяется. Крупные взломы чаще всего происходят там, где сходятся три фактора — много денег, сложная инфраструктура и хотя бы одно слабое звено. Это может быть приватный ключ, смарт-контракт, сотрудник, админ-панель, интерфейс, горячий кошелек или невнимательный пользователь.
Именно поэтому безопасность в крипте нельзя сводить к одной фразе "блокчейн надежен". Сам блокчейн может работать корректно, но пользователь все равно может потерять деньги, если ошибется адресом, перейдет по фишинговой ссылке или доверит активы сервису без нормальных процедур контроля.
Как пользователю снизить риски
Хорошая новость в том, что пользователю не нужно становиться специалистом по кибербезопасности, чтобы снизить базовые риски. Достаточно соблюдать несколько правил финансовой гигиены.
- Не храните все активы в одном месте (и особенно на биржах). В криптоиндустрии есть золотое правило: «Не твои ключи — не твоя крипта» (Not your keys, not your coins). Когда ваши деньги лежат на бирже, технически они принадлежат не вам, а самой бирже. У вас на экране отображается лишь база данных, своего рода долговая расписка о том, что биржа обещает вам эти средства вернуть. Если биржу взломают, заморозят или она обанкротится (как Mt. Gox), ваша «расписка» может превратиться в тыкву. Для повседневных операций и трейдинга биржа подходит отлично. Но для долгосрочного хранения крупных сумм нужен личный кошелек, приватные ключи от которого есть только у вас.
- Всегда проверяйте адрес перед переводом. Особенно первые и последние символы. При крупной операции лучше сначала отправить небольшую тестовую сумму.
- Используйте двухфакторную аутентификацию через приложение, а не только SMS.
- Не переходите по ссылкам из случайных сообщений.
- Не доверяйте "службе поддержки", которая сама пишет вам в личку и просит срочно что-то подтвердить.
- Осторожнее относитесь к новым DeFi-протоколам и мостам. Высокая доходность, красивый интерфейс и активный Telegram-чат не заменяют аудит, репутацию и понятную модель безопасности.
