Как связаны взломы Humanity Protocol, Kelp DAO и Bybit

Взломы Humanity Protocol, Kelp DAO и Bybit могут быть звеньями одной цепочки отмывания средств. К такому выводу пришли инвестигейторы BitOK. Похищенное в результате взломов прошло через одну и ту же сеть биткоин-кошельков и сервисов отмывания, а часть потоков уходит в сторону русскоязычного даркнет-маркета Kraken Market.

Рассказываем, как действовали мошенники, и какой урок из этого кейса стоит извлечь.

Версия команды BitOK строится на трех инцидентах: взломе биржи Bybit (~$1,5 млрд, февраль 2025), эксплойте протокола Kelp DAO (~$292 млн, апрель 2026) и компрометации кошельков Humanity Protocol (июнь 2026).

Под эксплойтом подразумевается использование уязвимости или похищенного доступа для вывода средств из криптопроекта.

Инвестигейторы BitOK предполагают, что за всеми тремя взломами стоит северокорейская группировка Lazarus, либо связанная с ней инфраструктура отмывания.

Важный элемент — связь биткоин-инфраструктуры с русскоязычным даркнет-маркетом Kraken Market: часть средств из кластера системно уходит в его сторону.

Попадая в такую среду, деньги от взломов смешиваются с потоками от наркотрафика, расчетов на маркетплейсе и других криминальных операций, и дальнейшее движение средств становится трудно отделить. Сложно с полной уверенностью сказать, какие выходящие кошельки принадлежат хакерам, какие продавцам, какие операторам сервиса, а какие внутренним расчетам площадки.

Kraken Market может быть не просто конечной точкой отдельных переводов, а частью более широкой инфраструктуры запутывания следов после крупных криптовзломов.

Взлом криптобиржи Bybit в феврале 2025 года стал крупнейшей кражей в истории криптовалют. Похищено около $1,5 млрд. Атака свелась к компрометации *мультисиг-платформы Safe{Wallet}.

*Safe{Wallet} (бывший Gnosis Safe) — это популярный сервис кошельков с мультиподписью, которым пользуются криптокомпании и биржи для совместного управления средствами. Мультисиг (мультиподпись) — это схема, при которой для перевода средств нужна подпись сразу нескольких человек, чтобы один скомпрометированный сотрудник не мог увести деньги в одиночку.

18 апреля 2026 года из моста Kelp DAO было выведено около $292 млн. Мост (bridge) — это сервис, который переводит токены из одного блокчейна в другой; такие сервисы хранят крупные суммы и потому часто становятся мишенью.

Мост Kelp DAO работал на базе протокола LayerZero. Причиной взлома называют компрометацию инфраструктуры проекта. В ряде сообщений атаку связывали с хакерами, ассоциированными с Северной Кореей.

9 июня 2026 года произошла массовая компрометация кошельков, связанных с протоколом Humanity Protocol и аффилированной с ним организацией Humanity Foundation. Было выведено около 187,6 млн токенов H более чем с 280 кошельков.

Основатель проекта Теренс Квок объяснил инцидент компрометацией приватных ключей участника Humanity Foundation. По его словам, ключи мультиподписи по ошибке оказались сохранены на устройстве, которое затем было взломано.

После вывода токены H оперативно реализовали через децентрализованные биржи (DEX) — это площадки, где обмен идет напрямую между кошельками через смарт-контракты, без посредника и без проверки личности.

Маршруты обмена:

В итоге и часть в ETH, и часть в BNB были сведены в ETH.

Графы прослеживают движение средств по взлому Humanity Protocol. По данным BitOK, основной адрес атакующего Humanity Protocol в сети Ethereum — 0x9e995952eF7665B243eeEF0693acD7FEd7150504.

Финансирование операции прослеживается через адреса, которые получали средства с крупных бирж — MEXC, Bybit и Binance.

После обмена средства были собраны на трех адресах:

Общий объем на трех адресах — около 18,44 тыс. ETH, или примерно $30,74 млн. По состоянию на момент составления отчета эти средства лежали без движения.

Здесь важна оговорка: деньги для операции пришли с адресов, принадлежащих крупным биржам, говорит лишь об источнике финансирования, а не о связи с взломом этих бирж. Любой пользователь выводит средства с биржи на свой кошелек, и хакеры не исключение. Связку с Bybit как с источником именно отмываемых денег N выстраивает на следующем звене — на пересечении средств уже в биткоине.

Средства развели на три промежуточных адреса, затем снова собрали и провели через кросс-чейн-мост Symbiosis Finance. После этого их обменяли на USDC через 1inch и KyberSwap и вывели в мост Across Protocol. Часть средств уже выведена, часть до сих пор лежит на адресах без движения.

После перевода в биткоин транзакции, связанные с эксплойтами Humanity и Kelp, прошли через одну и ту же сеть биткоин-кошельков и сервисов. На графе точкой входа в биткоин выступает кросс-чейн-сервис Hyperunit, через который активы из других сетей перевели в BTC.

От него средства веером расходятся по множеству промежуточных биткоин-адресов с дроблением сумм — крупные переводы разбивают на десятки мелких, чтобы затруднить отслеживание.

Часть этих веток сходится в одном узле, помеченном как Kraken Market, другая часть уходит в Wasabi 2.0. Это криптовалютный миксер, который объединяет переводы многих пользователей в одну общую транзакцию, чтобы перемешать средства и оборвать связь между отправителем и получателем.

На графе также виден кошелек, связанный со взломом Bybit от 21 февраля 2025 года. По данным BitOK, средства с этого адреса заходят в тот же узел Kraken Market и Wasabi. Таким образом, на графе наглядно показано пересечение денежных потоков, полученных мошенниками в результате разных взломов, что и позволяет предполагать взаимосвязь кейсов.

Заметка ивнестигейтора. У читателя может возникнуть вопрос — почему мошенники выбрали именно биткоин, а не, скажем, какую-то монету с повышенным уровнем анонимности. Выбор в пользу BTC пал, потому что это самый ликвидный криминальный резервный актив. При переводе крупных сумм в XMR возникает проблема ликвидности, проскальзывания и заметного спроса на ограниченных площадках. Резко растет цена, привлекает внимание. В будущем можно ожидать роста использования Monero как дополнительного инструмента для повышения приватности транзакций, например, через THORChain.

Команда BitOK обращает внимание на связь обнаруженного биткоин-кластера с русскоязычным даркнет-маркетом Kraken Market. По нашим данным, часть средств из кластера системно уходит в сторону этой площадки. Попадая в такую среду, средства от взломов смешиваются с потоками от наркотрафика, маркетплейс-расчетов и других криминальных операций.

Kraken Market может быть не просто конечной точкой отдельных переводов, а частью более широкой инфраструктуры запутывания следов после крупных криптовзломов.

Компрометация одного устройства с приватными ключами способна обрушить целый проект, поэтому ключи мультиподписи нужно держать физически раздельно, а основную казну — у лицензированного кастодиана или в MPC-схеме, а не «на одном ноутбуке».

И второй вывод: схождение средств в общей точке отмывания (микшере или даркнет-маркете) показывает, что деньги попали в одну инфраструктуру. При этом факт сам по себе не доказывает, что за разными взломами стоят одни и те же люди.