Log in
For business
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
AML certification
How industry players can get up-to-date knowledge and professional certification.
AML certification
How industry players can get up-to-date knowledge and professional certification.
Comprehensive transaction analytics that helps to build graphs and trace funds.
Graph
Travel rule
(soon)
For personal use
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Crypto recovery
Services are focused on tracking
and recovering crypto assets.
Сrypto recovery
Services are focused on tracking
and recovery crypto assets.
Docs and reports
All types of documents related
to cryptocurrency.
Docs and reports
All types of documents related
to cryptocurrency.
Portfolio tracker
Information about all assets and risk assessment in one place.
Portfolio tracker
Information about all assets and risk assessment in one place.
AML checks
Сhecking wallets and transactions
for illicit funds.
AML checks
Сhecking wallets and transactions
for illicit funds.
ES
FR
中文
Вход
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
Graph
Визуализация перемещения активов
и связей между кошельками.
Graph
Визуализация перемещения активов
и связей между кошельками.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
Для себя
Для Бизнеса
Travel rule
(Cкоро)
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Отчёты
Все типы документов связанные
с криптовалютой.
Отчёты
Все типы документов связанные
с криптовалютой.
PRIVATE
Government
Financial institutions
Exchanges
PSP's
Wallets
Gambling platforms
Investment platforms
Stablecoin issuers
Investigators
Regulators
Law enforcement
Для бизнеса
Госсектор
Финансовые организации
Биржи
Платежные провайдеры
Кошельки
Игровые платформы
Инвестиционные платформы
Эмитенты стейблкоинов
Расследователи
Регуляторы
Правоохранительные органы
ES
FR
中文
30.06.2026

Как связаны взломы Humanity Protocol, Kelp DAO и Bybit

Взломы Humanity Protocol, Kelp DAO и Bybit могут быть звеньями одной цепочки отмывания средств. К такому выводу пришли инвестигейторы BitOK. Похищенное в результате взломов прошло через одну и ту же сеть биткоин-кошельков и сервисов отмывания, а часть потоков уходит в сторону русскоязычного даркнет-маркета Kraken Market.

Рассказываем, как действовали мошенники, и какой урок из этого кейса стоит извлечь.

Главное

Версия команды BitOK строится на трех инцидентах: взломе биржи Bybit (~$1,5 млрд, февраль 2025), эксплойте протокола Kelp DAO (~$292 млн, апрель 2026) и компрометации кошельков Humanity Protocol (июнь 2026).

Под эксплойтом подразумевается использование уязвимости или похищенного доступа для вывода средств из криптопроекта.

Инвестигейторы BitOK предполагают, что за всеми тремя взломами стоит северокорейская группировка Lazarus, либо связанная с ней инфраструктура отмывания.

Важный элемент — связь биткоин-инфраструктуры с русскоязычным даркнет-маркетом Kraken Market: часть средств из кластера системно уходит в его сторону.

Попадая в такую среду, деньги от взломов смешиваются с потоками от наркотрафика, расчетов на маркетплейсе и других криминальных операций, и дальнейшее движение средств становится трудно отделить. Сложно с полной уверенностью сказать, какие выходящие кошельки принадлежат хакерам, какие продавцам, какие операторам сервиса, а какие внутренним расчетам площадки.

Kraken Market может быть не просто конечной точкой отдельных переводов, а частью более широкой инфраструктуры запутывания следов после крупных криптовзломов.

Содержание:

  1. Три взлома, на которых строится версия
  2. Что отследили аналитики BitOK
  3. Как средства попадают в биткоин-сеть отмывания
  4. Связь с даркнет-маркетом Kraken Market
  5. Неприятные выводы

Три взлома, на которых строится версия

Bybit

Взлом криптобиржи Bybit в феврале 2025 года стал крупнейшей кражей в истории криптовалют. Похищено около $1,5 млрд. Атака свелась к компрометации *мультисиг-платформы Safe{Wallet}.

*Safe{Wallet} (бывший Gnosis Safe) — это популярный сервис кошельков с мультиподписью, которым пользуются криптокомпании и биржи для совместного управления средствами. Мультисиг (мультиподпись) — это схема, при которой для перевода средств нужна подпись сразу нескольких человек, чтобы один скомпрометированный сотрудник не мог увести деньги в одиночку.

Kelp DAO

18 апреля 2026 года из моста Kelp DAO было выведено около $292 млн. Мост (bridge) — это сервис, который переводит токены из одного блокчейна в другой; такие сервисы хранят крупные суммы и потому часто становятся мишенью.

Мост Kelp DAO работал на базе протокола LayerZero. Причиной взлома называют компрометацию инфраструктуры проекта. В ряде сообщений атаку связывали с хакерами, ассоциированными с Северной Кореей.

Humanity Protocol

9 июня 2026 года произошла массовая компрометация кошельков, связанных с протоколом Humanity Protocol и аффилированной с ним организацией Humanity Foundation. Было выведено около 187,6 млн токенов H более чем с 280 кошельков.

Основатель проекта Теренс Квок объяснил инцидент компрометацией приватных ключей участника Humanity Foundation. По его словам, ключи мультиподписи по ошибке оказались сохранены на устройстве, которое затем было взломано.

После вывода токены H оперативно реализовали через децентрализованные биржи (DEX) — это площадки, где обмен идет напрямую между кошельками через смарт-контракты, без посредника и без проверки личности.

Маршруты обмена:
  • H меняли на ETH; 
  • H — на стейблкоин USDC, а затем на ETH; 
  • H — на BNB, а затем на ETH.
В итоге и часть в ETH, и часть в BNB были сведены в ETH.

Что отследили аналитики BitOK

Графы прослеживают движение средств по взлому Humanity Protocol. По данным BitOK, основной адрес атакующего Humanity Protocol в сети Ethereum — 0x9e995952eF7665B243eeEF0693acD7FEd7150504.

Финансирование операции прослеживается через адреса, которые получали средства с крупных бирж — MEXC, Bybit и Binance.

После обмена средства были собраны на трех адресах:
  • 0xf3590fc0d591a3868e19b9a200a85165592f9734 — поступило около 7 тыс. ETH (~$11,67 млн);
  • 0x36560d6ac2004e1bb483e77b791e905dd4f5e672 — поступило около 7 тыс. ETH (~$11,67 млн);
  • 0x59eff548cd9bcfbc169b6340f734e442c764a814 — поступило около 4,44 тыс. ETH (~$7,4 млн).
Общий объем на трех адресах — около 18,44 тыс. ETH, или примерно $30,74 млн. По состоянию на момент составления отчета эти средства лежали без движения.

Здесь важна оговорка: деньги для операции пришли с адресов, принадлежащих крупным биржам, говорит лишь об источнике финансирования, а не о связи с взломом этих бирж. Любой пользователь выводит средства с биржи на свой кошелек, и хакеры не исключение. Связку с Bybit как с источником именно отмываемых денег N выстраивает на следующем звене — на пересечении средств уже в биткоине.

Средства развели на три промежуточных адреса, затем снова собрали и провели через кросс-чейн-мост Symbiosis Finance. После этого их обменяли на USDC через 1inch и KyberSwap и вывели в мост Across Protocol. Часть средств уже выведена, часть до сих пор лежит на адресах без движения.

Как средства попадают в биткоин-сеть отмывания

После перевода в биткоин транзакции, связанные с эксплойтами Humanity и Kelp, прошли через одну и ту же сеть биткоин-кошельков и сервисов. На графе точкой входа в биткоин выступает кросс-чейн-сервис Hyperunit, через который активы из других сетей перевели в BTC.
От него средства веером расходятся по множеству промежуточных биткоин-адресов с дроблением сумм — крупные переводы разбивают на десятки мелких, чтобы затруднить отслеживание.

Часть этих веток сходится в одном узле, помеченном как Kraken Market, другая часть уходит в Wasabi 2.0. Это криптовалютный миксер, который объединяет переводы многих пользователей в одну общую транзакцию, чтобы перемешать средства и оборвать связь между отправителем и получателем.

На графе также виден кошелек, связанный со взломом Bybit от 21 февраля 2025 года. По данным BitOK, средства с этого адреса заходят в тот же узел Kraken Market и Wasabi. Таким образом, на графе наглядно показано пересечение денежных потоков, полученных мошенниками в результате разных взломов, что и позволяет предполагать взаимосвязь кейсов.

Заметка ивнестигейтора. У читателя может возникнуть вопрос — почему мошенники выбрали именно биткоин, а не, скажем, какую-то монету с повышенным уровнем анонимности. Выбор в пользу BTC пал, потому что это самый ликвидный криминальный резервный актив. При переводе крупных сумм в XMR возникает проблема ликвидности, проскальзывания и заметного спроса на ограниченных площадках. Резко растет цена, привлекает внимание. В будущем можно ожидать роста использования Monero как дополнительного инструмента для повышения приватности транзакций, например, через THORChain.

Связь с даркнет-маркетом Kraken Market

Команда BitOK обращает внимание на связь обнаруженного биткоин-кластера с русскоязычным даркнет-маркетом Kraken Market. По нашим данным, часть средств из кластера системно уходит в сторону этой площадки. Попадая в такую среду, средства от взломов смешиваются с потоками от наркотрафика, маркетплейс-расчетов и других криминальных операций.

Kraken Market может быть не просто конечной точкой отдельных переводов, а частью более широкой инфраструктуры запутывания следов после крупных криптовзломов.

Неприятные выводы

Компрометация одного устройства с приватными ключами способна обрушить целый проект, поэтому ключи мультиподписи нужно держать физически раздельно, а основную казну — у лицензированного кастодиана или в MPC-схеме, а не «на одном ноутбуке».

И второй вывод: схождение средств в общей точке отмывания (микшере или даркнет-маркете) показывает, что деньги попали в одну инфраструктуру. При этом факт сам по себе не доказывает, что за разными взломами стоят одни и те же люди.
Перейти

Чтобы узнать о тарифах, нажмите сюда

Попробуйте демо-версию AML-сервиса для вашего бизнеса