Крипто Взломы 2025: Полный отчет и хронология атак
Первый квартал 2025 года ознаменовался серией масштабных и технически сложных атак на как централизованные криптовалютные биржи (CEX), так и на децентрализованные финансовые протоколы (DEX), что вызвало волну обеспокоенности среди инвесторов и участников крипторынка. Эти инциденты продемонстрировали уязвимости как в архитектуре централизованных платформ, так и в смарт-контрактах децентрализованных систем, подчеркивая необходимость постоянного совершенствования механизмов безопасности.
В настоящем отчёте представлен детализированный обзор наиболее значимых подтвержденных взломов, произошедших в период с января по март 2025 года. Для каждого инцидента указаны ключевые сведения: наименование пострадавшей платформы, точная дата атаки, предварительная оценка финансовых потерь, адреса криптокошельков, с которых производились транзакции (если они были идентифицированы), используемый вектор атаки, краткое описание хода взлома, текущий статус расследования или возврата средств, а также ссылки на достоверные источники и официальные заявления. Этот анализ призван не только информировать, но и послужить основой для оценки текущего состояния кибербезопасности в сфере цифровых активов.
В настоящем отчёте представлен детализированный обзор наиболее значимых подтвержденных взломов, произошедших в период с января по март 2025 года. Для каждого инцидента указаны ключевые сведения: наименование пострадавшей платформы, точная дата атаки, предварительная оценка финансовых потерь, адреса криптокошельков, с которых производились транзакции (если они были идентифицированы), используемый вектор атаки, краткое описание хода взлома, текущий статус расследования или возврата средств, а также ссылки на достоверные источники и официальные заявления. Этот анализ призван не только информировать, но и послужить основой для оценки текущего состояния кибербезопасности в сфере цифровых активов.
Январь 2025
Январь 2025
Phemex (централизованная биржа) — 23 января 2025 года
Взлом биржи Phemex: хакеры похитили более $ 85 млн в криптовалюте.
23 января 2025 года централизованная криптовалютная биржа Phemex подверглась масштабной хакерской атаке. Злоумышленники вывели более $ 85 миллионов в криптоактивах из горячих кошельков.
Основные факты:
23 января 2025 года централизованная криптовалютная биржа Phemex подверглась масштабной хакерской атаке. Злоумышленники вывели более $ 85 миллионов в криптоактивах из горячих кошельков.
Основные факты:
- Сумма ущерба:
По предварительным оценкам, потери составили около $ 69,1 млн, однако позже биржа уточнила сумму до ~$ 85 млн.
- Масштаб атаки:
Были скомпрометированы горячие кошельки на 16 различных блокчейнах, включая Ethereum, Solana, Bitcoin и XRP. Хакеры последовательно опустошали каждый из них, переводя средства на собственные адреса.
- Методы отмывания:
Украденные активы быстро конвертировались в незамораживаемые токены, чтобы усложнить отслеживание. По нашим данным, было выведено:
○ ~$ 20 млн в ETH и стейблкоинах (USDT/USDC),
○ ~$ 17 млн в Solana (SOL),
○ ~$ 13 млн в XRP.
Стейблкоины конвертировались в эфир, а часть активов отмывалась с помощью мемкоинов. Злоумышленники создавали фальшивые токены, например TEDDY, добавляли к ним ликвидность и заманивали сторонних инвесторов, чтобы замаскировать движение средств.
○ ~$ 17 млн в Solana (SOL),
○ ~$ 13 млн в XRP.
Стейблкоины конвертировались в эфир, а часть активов отмывалась с помощью мемкоинов. Злоумышленники создавали фальшивые токены, например TEDDY, добавляли к ним ликвидность и заманивали сторонних инвесторов, чтобы замаскировать движение средств.
Анализ отмывания:
Адрес 6TCPLRVLJoLPRFf4tC9i6T8j5M8HDdswH1iMibzRKqNa использовал полученные с адреса эксплуататоров Phemex токены SOL (полученные 10 февраля 2025 года) для покупки токена TEDDY.
Большая часть средств с адреса DDzhYH в дальнейшем была отмыта через централизованную биржу OKX.
Предполагаемый вектор атаки:
Специалисты полагают, что атака стала возможной вследствие компрометации приватных ключей, обеспечивающих доступ к горячим кошелькам. Характер действий — одновременное взломы кошельков в разных сетях — указывает на возможный утечку ключей или взлом хранилища ключей. Эксперты также отмечают сходство с методами хак-группировки Lazarus, связанной с Северной Кореей, известной подобными атаками на централизованные биржи.
Реакция биржи:
Адрес 6TCPLRVLJoLPRFf4tC9i6T8j5M8HDdswH1iMibzRKqNa использовал полученные с адреса эксплуататоров Phemex токены SOL (полученные 10 февраля 2025 года) для покупки токена TEDDY.
Большая часть средств с адреса DDzhYH в дальнейшем была отмыта через централизованную биржу OKX.
Предполагаемый вектор атаки:
Специалисты полагают, что атака стала возможной вследствие компрометации приватных ключей, обеспечивающих доступ к горячим кошелькам. Характер действий — одновременное взломы кошельков в разных сетях — указывает на возможный утечку ключей или взлом хранилища ключей. Эксперты также отмечают сходство с методами хак-группировки Lazarus, связанной с Северной Кореей, известной подобными атаками на централизованные биржи.
Реакция биржи:
- Phemex оперативно приостановила ввод и вывод средств, одновременно заверив, что все холодные кошельки остались в безопасности.
- Генеральный директор биржи публично заявил о готовности компенсировать все потери клиентам.
- Было опубликовано Proof-of-Reserves, чтобы подтвердить финансовую устойчивость компании.
- Расследование продолжается при участии сторонних экспертов и правоохранительных органов. Phemex поэтапно восстанавливает нормальную работу платформы.
Moby Trade (децентрализованный торговый протокол на Arbitrum) — 8 января 2025 года
Moby Trade (децентрализованный торговый протокол на Arbitrum) — 8 января 2025 года
Украдено $ 2,5 млн, но часть средств удалось вернуть благодаря белому хакеру.
В январе 2025 года децентрализованная платформа Moby Trade, специализирующаяся на торговле опционами, стала жертвой хакерской атаки. Преступникам удалось похитить около $ 2,5 млн в криптовалюте, включая USDC, WETH и WBTC. Однако благодаря быстрой реакции независимого исследователя и белого хакера Тони Ке (Solayer Labs / Fuzzland), часть средств была возвращена.
Кратко о происшествии:
В январе 2025 года децентрализованная платформа Moby Trade, специализирующаяся на торговле опционами, стала жертвой хакерской атаки. Преступникам удалось похитить около $ 2,5 млн в криптовалюте, включая USDC, WETH и WBTC. Однако благодаря быстрой реакции независимого исследователя и белого хакера Тони Ке (Solayer Labs / Fuzzland), часть средств была возвращена.
Кратко о происшествии:
- Общий ущерб: около $2,5 млн, включая:
○ 3,7 WBTC,
- Ход атаки:
Злоумышленник развернул вредоносный смарт-контракт и обновил прокси-контракт Moby, получив полный контроль над логикой протокола. Он активировал функцию emergencyWithdraw, опустошив пулы ликвидности платформы.
- Вектор атаки:
Основной причиной атаки стала компрометация приватного ключа, связанного с прокси-контрактом. Это дало хакеру возможность выполнить несанкционированное обновление смарт-контракта и произвести вывод средств пользователей.
Контратака и возврат средств:
8 января 2025 года команда Moby Trade зафиксировала подозрительную активность и начала расследование.
Ключевым моментом стал поворот в ходе атаки: белый хакер Тони Ке обнаружил, что вредоносный контракт самого злоумышленника содержит незащищённую функцию обновления. Он оперативно воспользовался этой уязвимостью, сумев перехватить часть средств и вернуть ~$ 1,5 млн в USDC обратно на контракт проекта.
К сожалению, ~207 WETH и 3,7 WBTC остались у хакера. Контратака опоздала всего на 30 секунд.
Таким образом, чистый ущерб составил ~$ 1 млн. Команда Moby пообещала полностью покрыть этот убыток из собственных средств, а также усилила безопасность управления ключами.
След злоумышленника:
В ходе расследования были выявлены кошельки, связанные с атакующим:
0xD0729c5287c742C5F7232543820D78eBA7f0Ff8F 0x83629C00266BD68C60634cAfF34646162233700b 0x07B00BAB187A1acC4Dfb18190B5652a6D86795f9 0x396b19959cABeCB07787190044c11aaf48C44a05 0xA6523E3BdF6A798EF3cD8A5e1d55E6D82416Dc02 0x5eCBE4f3d08594E42A3ebE3752FA6D6FA0bc8D38 0x0261254A0ea9c4065727B77b2680Fe0726010e49 0x1Bb090b419b1437247eCA7fC4c2A847f7222CD1a 0x246159d610AB6165f9445A6a22F2FA63782b710e 0x3D5908D723Db3e75962b464935ec72b25F279488
Большинство из них всё ещё содержат украденные активы, за исключением последнего, через который уже было отмыто 72 ETH.
Стратегия отмывания средств:
Хакер разбил украденные ETH на мелкие суммы и начал их конвертацию в различные токены, включая FTT, SOL, OP и другие. Затем средства были распределены между децентрализованными и централизованными биржами с целью затруднить отслеживание.
На текущий момент у злоумышленника остаётся около 240 ETH, которые продолжают отслеживаться.
8 января 2025 года команда Moby Trade зафиксировала подозрительную активность и начала расследование.
Ключевым моментом стал поворот в ходе атаки: белый хакер Тони Ке обнаружил, что вредоносный контракт самого злоумышленника содержит незащищённую функцию обновления. Он оперативно воспользовался этой уязвимостью, сумев перехватить часть средств и вернуть ~$ 1,5 млн в USDC обратно на контракт проекта.
К сожалению, ~207 WETH и 3,7 WBTC остались у хакера. Контратака опоздала всего на 30 секунд.
Таким образом, чистый ущерб составил ~$ 1 млн. Команда Moby пообещала полностью покрыть этот убыток из собственных средств, а также усилила безопасность управления ключами.
След злоумышленника:
В ходе расследования были выявлены кошельки, связанные с атакующим:
0xD0729c5287c742C5F7232543820D78eBA7f0Ff8F 0x83629C00266BD68C60634cAfF34646162233700b 0x07B00BAB187A1acC4Dfb18190B5652a6D86795f9 0x396b19959cABeCB07787190044c11aaf48C44a05 0xA6523E3BdF6A798EF3cD8A5e1d55E6D82416Dc02 0x5eCBE4f3d08594E42A3ebE3752FA6D6FA0bc8D38 0x0261254A0ea9c4065727B77b2680Fe0726010e49 0x1Bb090b419b1437247eCA7fC4c2A847f7222CD1a 0x246159d610AB6165f9445A6a22F2FA63782b710e 0x3D5908D723Db3e75962b464935ec72b25F279488
Большинство из них всё ещё содержат украденные активы, за исключением последнего, через который уже было отмыто 72 ETH.
Стратегия отмывания средств:
Хакер разбил украденные ETH на мелкие суммы и начал их конвертацию в различные токены, включая FTT, SOL, OP и другие. Затем средства были распределены между децентрализованными и централизованными биржами с целью затруднить отслеживание.
На текущий момент у злоумышленника остаётся около 240 ETH, которые продолжают отслеживаться.
Взлом плагина AdsPower: украдено $4,7 млн с криптокошельков пользователей
С 21 по 24 января 2025 года пользователи популярного браузерного плагина AdsPower, используемого для управления криптокошельками, стали жертвами целевой хакерской атаки. В результате компрометации плагина было похищено около $4,7 млн в криптовалюте.
Основные факты:
Основные факты:
- Общий ущерб: похищено около $4,7 млн в криптовалюте, пострадали по крайней мере 5 кошельков пользователей.
- Адреса: атака была направлена на пользователей AdsPower, а не на конкретный смарт-контракт. Злоумышленники внедрили вредоносный код в официальный плагин, используемый для управления кошельками. Конкретные адреса жертв не раскрыты, однако все транзакции были отслежены в процессе расследования.
Ход атаки:
- Тип атаки:
атака на цепочку поставок (supply chain). Хакеры заменили легитимные версии плагинов AdsPower на версии, содержащие инфостилер. Пользователи, которые установили или обновили плагин в период с 21 по 24 января 2025 года, получили заражённое ПО вместо обычного плагина.
- Что делает инфостилер:
вредоносный плагин крал приватные ключи и мнемонические фразы из криптокошельков, которыми управлял AdsPower, что позволило злоумышленникам получить доступ к средствам пользователей.
