Существует рспространённое мнение, что кража криптовалюты — это проблема криптографии: будто бы где-то математик взломал алгоритм или нашёл изъян в самой архитектуре блокчейна. Это мнение ошибочно, и важно это понимать, потому что из-за него люди выстраивают защиту не там, где нужно.
Код блокчейна не взламывают. Взламывают приватные ключи, сид-фразы и людей.
Для доступа к криптокошельку нужно ровно одно — приватный ключ, который им управляет. Этот ключ где-то хранится: в файле, в браузерном расширении, записан на бумаге или заучен наизусть. И где бы он ни находился, его можно украсть, не тронув ни единой строчки кода блокчейна. Большинство методов атак, которые мы видим в нших расследованиях, ближе к традиционному мошенничеству, чем к чему-либо техническому: обман, выдача себя за другого, манипуляции.
Масштабы это подтверждают. Отчёт ФБР о киберпреступности за 2025 год зафиксировал 181 565 жалоб на мошенничество с криптовалютой от граждан США на общую сумму более 11 миллиардов долларов. Шифрование устояло, а вот всё, что вокруг него, — нет.
Фишинг становится отправной точкой в большем числе случаев кражи криптовалюты, чем любой другой метод. Это не самый разрушительный вектор в расчёте на один инцидент, но безусловно самый распространённый, и распознать его становится всё сложнее.
Базовая механика не изменилась: заставить жертву передать учётные данные, подписать то, что не следовало, или ввести сид-фразу там, где всё контролирует злоумышленник. Изменилось качество самого обмана.
Одна из схем, которую мы видим снова и снова, — поддельный интерфейс кошелька. Пользователь ищет MetaMask или Ledger Live, попадает на сайт, неотличимый от настоящего, и вводит сид-фразу, чтобы «восстановить» кошелёк. Фраза перехватывается в реальном времени. К тому моменту, когда человек понимает, что произошло, средства уже в движении.
Более технически изощрённый вариант, который мы наблюдали, — вредоносная транзакция-подтверждение (approval). В DeFi почти любое взаимодействие с протоколом требует подписать разрешение на использование токенов — право, позволяющее смарт-контракту тратить ваши токены. Злоумышленники создают поддельные DeFi-сайты, которые запрашивают неограниченные разрешения. Жертва подписывает то, что выглядит как рядовая транзакция. А контракт злоумышленника опустошает кошелёк в любой удобный момент, иногда спустя часы или дни.
ИИ полностью изменил экономику этого процесса. В своём отчёте за 2025 год IC3 ФБР отметил, что дипфейки, клонирование голоса и сгенерированные ИИ-образы стали стандартными инструментами в масштабной социальной инженерии. Более 22 000 жалоб в 2025 году были связаны с мошенничеством с применением ИИ, а потери превысили 893 миллиона долларов — и это только в США. Порог входа для запуска убедительной кампании, по сути, рухнул.
Если фишинг даёт наибольшее число инцидентов, то кража приватного ключа и сид-фразы наносит наибольший ущерб в расчёте на один случай. Сид-фраза — это мастер-ключ ко всему, что есть в кошельке. Здесь нет процедуры восстановления и нет службы поддержки, к которой можно обратиться, если только быстро не начато профессиональное расследование.
Как показывает наша практика, большинство жертв, к сожалению, не осознают, сколько существует точек, через которые их сид-фраза может утечь. Вредоносное ПО-инфостилер ищет фразы, сохранённые в текстовых файлах, браузерных расширениях и скриншотах. Поддельные приложения-кошельки генерируют фразу для пользователя, а затем незаметно передают её злоумышленнику. Облачные резервные копии (iCloud, Google Photos) превращают фотографию записанной от руки фразы в удалённо доступную цель.
С точки зрения отслеживания, кражи сид-фразы часто проще всего идентифицировать и сложнее всего возместить. Транзакция кражи мгновенна и тотальна. К моменту, когда жертва обращается к нам, средства, как правило, уже прошли через несколько кошельков. Примерно 70% украденных криптосредств за последние годы так или иначе восходят к утечке сид-фразы, а значит, большинство случаев, которые мы видим, можно было предотвратить.
Взлом Bybit в феврале 2025 года особенно показателен: 1,5 миллиарда долларов за одну операцию, и это крупнейшая кража криптовалюты в истории. Злоумышленники не использовали уязвимость смарт-контракта. Методами социальной инженерии они обработали внутреннего подписанта мультиподписного кошелька Bybit на базе Safe, скомпрометировали приватный ключ и за считаные минуты вывели 400 000 ETH. Пробили не периметр биржи, а человеческий слой.
По нашему опыту, большинство жертв подмены SIM-карты не понимают, что атака началась, пока телефон не потеряет связь. К этому моменту злоумышленник уже получил SMS-коды подтверждения и сбрасывает пароли их аккаунтов на биржах.
Метод не требует никаких технических навыков. Злоумышленник собирает персональные данные (например, имя, адрес, последние четыре цифры номера социального страхования) из утечек данных или профилей в соцсетях. Он звонит мобильному оператору жертвы, выдаёт себя за неё, заявляет, что телефон потерян или украден, и просит перенести номер на новую SIM-карту. Сотрудник поддержки, вынужденный закрывать обращения как можно быстрее, становится слабым звеном.
Как только номер перехвачен, двухфакторная аутентификация по SMS бесполезна. Все коды уходят злоумышленнику. Дальше он сбрасывает почтовый ящик, затем аккаунт на бирже, а потом выводит всё доступное.
Масштаб резко вырос. Отчёт IC3 ФБР за 2024 год зафиксировал 28,4 миллиона долларов документально подтверждённых криптопотерь в США, прямо отнесённых к подмене SIM-карт. В марте 2025 года арбитражный суд США обязал T-Mobile выплатить 33 миллиона долларов после того, как одна подмена SIM-карты опустошила криптоактивы клиента.
В октябре 2025 года Европол ликвидировал операцию SIMCARTEL — базировавшуюся в Латвии сеть, которая предоставляла мошенникам в 80 странах SIM-инфраструктуру, обеспечивавшую работу более 49 миллионов фальшивых аккаунтов для обхода двухфакторной аутентификации на криптобиржах, в цифровых банках и на социальных платформах.
Эксплойты смарт-контрактов — это то, что большинство людей представляет себе, когда слышит «взлом крипты». Они реальны, наносят серьёзный ущерб и требуют действительно высокой технической квалификации, и именно поэтому встречаются реже описанных выше методов.
Базовый принцип таков: смарт-контракты — это код; в коде есть ошибки; ошибки можно использовать, чтобы вывести средства, которые хранит контракт. Злоумышленнику не нужен чей-либо приватный ключ — он находит изъян в логике и обращает его против самого протокола.
Вот варианты, которые мы видим в расследованиях чаще всего:
Одна закономерность заслуживает упоминания: эксплойты смарт-контрактов всё чаще обгоняют аудиты, которые упустили уязвимость. Протокол проходит аудит, запускается, а затем его опустошают ровно через тот самый граничный случай, который аудит и должен был выявить.
Централизованные биржи — самые приоритетные цели в экосистеме. Они хранят средства пользователей в «горячих» кошельках, которые для повседневной работы должны оставаться подключёнными к интернету. Один успешный взлом может принести сотни миллионов. Злоумышленники это знают и вкладываются соответственно.
Поверхность атаки шире, чем думает большинство пользователей. Сюда входят фишинговые кампании против сотрудников поддержки, скомпрометированные учётные данные администраторов, инсайдеры-злоумышленники, уязвимые сторонние интеграции и кража API-ключей. Во многих случаях с потерями на уровне биржи, которые мы расследуем, технический взлом был вторичен относительно шага социальной инженерии, который ему предшествовал.
Особого внимания заслуживают кросс-чейн мосты. Это критическая инфраструктура, позволяющая активам перемещаться между блокчейнами, и они структурно сложны так, что это порождает новые поверхности атаки: малочисленные наборы валидаторов, привилегированные административные ключи, запутанная логика обработки разных типов активов. Эксплойт моста в 2025 году, связанный с изъяном в архитектуре валидаторов, привёл к потерям в 700 миллионов долларов. Мосты остаются одной из самых стабильно эксплуатируемых категорий в индустрии.
Bybit — нагляднейший недавний пример того, как такие атаки разворачиваются на практике. Злоумышленники вывели 401 000 ETH из мультиподписных кошельков на базе Safe в сетях Ethereum и Arbitrum. Средства раздробили по десяткам свежих адресов и за считанные часы провели через мосты и миксеры. К тому моменту, когда биржа публично подтвердила взлом, отмывание уже шло полным ходом.
Тип атаки | Основная цель | Масштаб в 2025 году | Ключевая защита |
Фишинг и социальная инженерия | Частные пользователи | 132+ инцидента, $410 млн+ в 1-м полугодии 2025 года | Проверяйте ссылки; никогда не делитесь сид-фразой |
Кража сид-фразы / приватного ключа | Кошельки частных лиц | $1,71 млрд — 69% потерь 1-го полугодия по сумме | Аппаратный кошелёк; резервная копия только офлайн |
Подмена SIM-карты | Аккаунты на биржах | Рост на 1055% в Великобритании; $26 млн+ потерь в США (2024) | Замените SMS-2FA на приложение-аутентификатор |
Эксплойты смарт-контрактов | DeFi-протоколы | 25 инцидентов, в среднем по $11,1 млн (2025) | Проверенные аудитом контракты; используйте зарекомендовавшие себя протоколы |
Взломы бирж / кастодианов | «Горячие» кошельки CEX | $1,5 млрд только на Bybit (февраль 2025) | Некастодиальное хранение для крупных сумм |
Первый порыв у большинства жертв — продолжать попытки войти в кошелёк, написать в поддержку биржи или искать помощи на форумах. Ни один из этих шагов не годится в качестве первого.
Злоумышленники действуют быстро. В делах, которые мы расследовали, украденные средства переводили в другую сеть через мост в течение 15 минут после кражи. В течение часа они проходили через три-четыре промежуточных кошелька. В течение 12 часов попадали на OTC-площадку или в миксер. Каждый шаг усложняет возврат. Каждый час без участия специалиста сужает окно возможностей.
Первоочередные действия:
Большинство жертв, которым удаётся вернуть хотя бы часть средств, добиваются этого потому, что действовали в первые 24–48 часов. Большинство тех, кто не возвращает ничего, слишком долго ждали, пробовали любительские способы возврата или сначала обратились не к тем людям.
Да, во многих случаях — особенно когда о краже сообщают быстро, а средства удаётся отследить до того, как они попадут в не готовую к сотрудничеству юрисдикцию или будут полностью конвертированы. Возврат более вероятен, когда речь идет о стейблкоинах, поскольку эмитенты могут заморозить конкретные адреса по запросу правоохранительных органов. Match Systems работает и с биржами, и с правоохранительными органами, чтобы поддержать этот процесс. Ни одна добросовестная компания не гарантирует возврат, но быстрые действия существенно повышают шансы.
Они существенно сокращают поверхность атаки, храня приватные ключи офлайн. Но риск они не устраняют. Фишинг, физическая кража и утечка сид-фразы остаются угрозами независимо от типа кошелька. Аппаратный кошелёк — правильный инструмент для защиты крупных сумм, но он не заменяет понимания ландшафта угроз.
У них разные риски. DeFi подвергает вас угрозе ошибок в смарт-контрактах и фишинга на основе разрешений (approval), но вы сохраняете контроль над своими средствами. Централизованные биржи удобнее, но добавляют кастодиальный риск: если биржу взломают, ваши возможности зависят целиком от её страховки и резервов. Ни то ни другое не является безопаснее по умолчанию.
Взаимодействия в DeFi требуют подписания разрешений на использование токенов — прав, позволяющих контракту тратить ваши токены. Злоумышленники создают поддельные DeFi-сайты, которые запрашивают неограниченные разрешения. После подписания их контракт может опустошить ваш кошелёк в любой момент. Регулярно проверяйте и отзывайте старые разрешения.
Расследователи выстраивают граф транзакций от адреса кражи через промежуточные кошельки к депозитным адресам бирж. Когда средства попадают на биржу с верификацией KYC, в её отдел комплаенса направляется юридическое уведомление. Match Systems сочетает такое отслеживание по блокчейну с налаженными отношениями с биржами, благодаря чему процесс маркировки средств идёт значительно быстрее, чем стандартный запрос правоохранительных органов.
В расследованиях криптокраж время значит больше, чем осознаёт большинство жертв.
После того как средства переведены через мост, смешаны в миксере или выведены через OTC-каналы, возврат становится значительно сложнее. Match Systems работает с биржами, эмитентами стейблкоинов и правоохранительными органами, чтобы отслеживать украденные активы и поддерживать их юридический возврат, — опираясь на собственную базу маркировки адресов и прямые комплаенс-отношения, которые сжимают сроки с недель до дней.
Начните оценку вашего дела: https://matchsystems.com
