Хакеры украли $2 млрд из криптосервисов в 2025 году. Кто стоит за атаками
В первой половине 2025 года было похищено более $2,1 млрд в результате не менее 75 различных взломов и эксплойтов. Это на 10% больше, чем предыдущий рекорд в первой половине 2022 года, и почти равно общему объему украденных средств за весь 2024 год. Согласно отчету аналитической блокчейн-компании TRM Labs, специализирующейся на киберпреступлениях, эти данные подчеркивают возрастающую концентрацию угроз в сфере цифровых активов. Эксперты также указали на качественное изменение в характере взломов, которые «теперь все чаще носят стратегический характер и мотивированы геополитикой».
«С ростом роли цифровых активов в вопросах национальной безопасности растет как сложность атак, так и их политическая подоплека. Рекордные хищения первого полугодия 2025 года — это тревожный сигнал и призыв к глобальным мерам: безопасность криптоиндустрии должна быть не только технической, но и геополитически ориентированной», — говорится в отчете.
Поворотный момент
Первые шесть месяцев 2025 года отметились крупнейшим взломом в истории криптовалют — криптобиржи Bybit на сумму $1,5 млрд. По оценкам экспертов инцидент составил почти 70% всех потерь за отчетный период, подняв средний размер взлома до $30 млн, что вдвое больше, чем в первой половине 2024 года.
Bybit восстановила резервы после взлома. Как биржа ищет украденные токены
Bybit — вторая по торговым объемам криптобиржа после Binance и одна из крупнейших в мире платформ для торговли криптоактивами. В январе 2025 года на нее приходилось более 6% мирового объема торгов криптовалютами. В России платформа также имеет высокую популярность — почти треть интернет-трафика в январе 2025 года пришлась именно на Россию.
21 февраля Bybit подверглась взлому путем утери контроля над так называемым холодным кошельком, где хранились Ethereum. Метод атаки, использованный хакерами, ранее применялся при компрометации индийской биржи WazirX в июле 2024 года, когда злоумышленники вывели более $200 млн в криптовалюте.
Тогда расследование связало атаку с северокорейской хакерской группировкой Lazarus, которая специализируется на кибератаках на криптовалютные платформы. Во взломе Bybit также подозреваются северокорейские хакеры.
Несмотря на размер взлома Bybit в феврале, в TRM Labs отметили и остальные месяцы, когда похищали примерно по $100 млн ежемесячно, что указывает на «устойчивую и широкомасштабную угрозу».
Телеграм-канал «РБК-Крипто» — подпишитесь и будьте в курсе самых главных и актуальных новостей о криптовалюте.
Присоединяйтесь к форуму «РБК-Крипто» в Telegram для обсуждения новостей и тенденций криптомира.
«Государственные хакеры»
В дополнение к атаке на Bybit данные TRM Labs подчеркивают тревожную тенденцию по деятельности «государственных хакерских групп». В качестве лидирующей группы эксперты выделяют северокорейские группы, ответственные за $1,6 млрд, или около 70% от общего объема.
По мнению аналитиков, их целями является «обход международных санкций, финансирование стратегических программ (включая ядерную) и использование криптовалют в качестве элемента государственной стратегии».
В отчете отметили и другие государства, которые также начали использовать криптоатаки. Так, 18 июня 2025 года группа Gonjeshke Darande, предположительно, связанная с Израилем, взломала крупнейшую иранскую биржу Nobitex, похитив более $90 млн.
Атакующие заявили, что целью стал ключевой инструмент иранского режима для обхода санкций и финансирования нелегальной деятельности, пишет TRM Labs.
Главные векторы атак
Атаки на инфраструктуру, включающие кражу приватных ключей, сид-фраз и взлом пользовательского интерфейса составили более 80% всех потерь, согласно отчету: «Часто такие атаки совершаются с помощью социальной инженерии или с участием инсайдеров, выявляя слабые места в технической основе криптобезопасности».
Одним из примеров атак «социальной инженерии» стала биржа Coinbase. В мае выяснилось, что злоумышленники подкупили сотрудников службы поддержки, чтобы получить доступ к данным пользователей. В результате хакерам удалось заполучить данные почти 70 тыс. клиентов биржи — имена, адреса, телефоны, email, банковские реквизиты, фотографии документов и история транзакций. Пароли и средства пользователей не были затронуты в ходе взлома. Но благодаря полученным данным злоумышленники позже смогли украсть сотни миллионов долларов (около $400 млн), используя методы социальной инженерии.
Криптобиржа Coinbase сообщила об утечке данных 69 тыс. пользователей
Другой крупный тип атак, названный использованием уязвимости в протоколах, составил около 12%, что подтверждает сохраняющуюся уязвимость смарт-контрактов в секторе децентрализованных финансовых приложений.
Доля биткоина достигла четырехлетнего пика. Что это значит для альткоинов
Глава Tether заявил о планах стать крупнейшим майнером в мире
Суд признал сделки с криптовалютой через карты бизнесом. Что нужно знать