Топор против блокчейна: кража крипты, которая должна стать уроком

Представьте: вы — Алекс Амсел. Разработчик с 15+ годами в разработке игр, один из пионеров криптоиндустрии. С 2012 года в блокчейне, когда о биткоине знали только единицы.

В 2021 году вы продали одну из самых дорогих цифровых работ в истории — CryptoPunk #7523 («Covid Alien») за $11.75 миллиона на аукционе Sotheby's. Это была одна из крупнейших NFT-сделок того времени.

После этого вы стали сооснователем платформы Soulcast, партнером Outlier Ventures, советником в крупных проектах AI, DeFi и NFT, и даже членом BAFTA. Можно сказать, вы — знаменитость.
Годы шли. У вас накопилось $23.6 миллиона — для проектов, благотворительности, открытого кода. Вы храните все в крипте, потому что верили в эту технологию.

Одна ошибка: вы не скрыли блокчейн-адрес. Он в открытых источниках. Любой может увидеть те самые $23.6 миллиона. А вы еще и довольно известная фигура. Найти, где живет селебрити — не такая уж и сложная задача.

4 марта 2026 года несколько человек, вооруженных топорами, пришли к вашему дому. Побои, угрозы похищением и изнасилованием. Выбор: деньги или жизнь. Решение очевидно.

За несколько часов грабители перевели средства через несколько промежуточных адресов и схем, но вы остались в живых.

Это поучительная история о том, что иногда блокчейн-безопасность могут нарушить парни в масках с топорами.

Расследование основано на материалах BitOK, криптоаналитической платформы, которая отследила ончейн-движение украденных средств.

Украденный актив — aEthUSDC. Разберемся, что это:

aEthUSDC — это токен, который Алекс получил, когда внес USDC в кредитный протокол Aave. Вместо того чтобы держать обычный USDC, он положил его в Aave и получил aEthUSDC — «квитанцию» о депозите.

Когда вы удерживаете aEthUSDC, его стоимость постоянно растет, потому что протокол начисляет проценты на твой USDC депозит. Чем дольше токен находится в системе, тем больше становится его стоимость.

Объем украденных средств: 23,596,293 единиц aEthUSDC, что составляет примерно $23.6 миллиона.

Часть схемы движения украденных активов:

Сразу после получения деньги пошли по трем направлениям одновременно.

Основная часть была переведена в DAI и припаркована на двух адресах:

Почему именно DAI?

USDC и USDT — стейблкоины, криптовалюты, привязанные к доллару США. Их выпускают компании Circle и Tether соответственно. Если правоохранительные органы скажут: «Заморозьте эти адреса», подконтрольная властям компания может это сделать.

DAI — это тоже стейблкоин, криптовалюта, привязанная к доллару. Но он работает совсем иначе.

В отличие от USDC и USDT, где компании могут заморозить адреса по приказу властей, DAI создается децентрализованно через протокол Maker. Когда ты блокируешь криптовалюту (например, Ethereum) как залог, смарт-контракт автоматически выпускает DAI. Нет компании, которой можно приказать. Нет центрального банка, которому можно приказать. Протокол работает правилам заложенного в него кода — автоматически и без посредников. Даже если суд примет решение заморозить адрес, некому будет исполнять постановление.

Преступники это понимали. Выбрав DAI вместо централизованных стейблкоинов, они выбрали актив, который невозможно заморозить.

Заметка инвестигейтора: Быстрая конвертация aEthUSDC в DAI — не ошибка и не случайность. Преступники понимают разницу между условным централизованным USDC и децентрализованной DAI. Перед нами осознанный выбор, сделанный людьми, которые разбираются в DeFi-инфраструктуре.

Часть денег пошла по сложной цепочке через несколько систем. Сначала через агрегатор кроссчейн-мостов LI.FI средства переместились с Ethereum на Arbitrum. Потом они прошли через Hyperliquid — децентрализованную биржу. Далее через Wagyu — платформу для торговли. Там произошла конвертация в XMR1 (обернутый Monero). И наконец вывод в настоящий Monero.

Разберемся, что это означает.

Arbitrum — это решение второго уровня (L2), которое работает поверх Ethereum. Кроссчейн-мост — это инструмент, который позволяет переводить активы с одного блокчейна на другой. Когда деньги переходят между разными блокчейнами, аналитический след становится менее четким. Аналитик видит выход с Ethereum и вход на Arbitrum, но связь между ними размывается. Первый уровень маскировки начинается именно здесь.

Заметка инвестигейтора: LI.FI + Arbitrum — не просто случайный выбор. Кроссчейн-маршрут намеренно затрудняет непрерывный анализ. Когда средства переходят через несколько блокчейнов, аналитические системы теряют целостный взгляд на движение. Каждый бридж добавляет точку разрыва в трейсе. Перед нами осознанная техника размытия следа, которую используют профессионалы.

Часть схемы движения украденных активов:

Hyperliquid — децентрализованная биржа. В отличие от централизованных Binance или Coinbase, она не требует проверки личности (KYC). Подключаешь кошелек — и можешь торговать. Для преступников это критично: нет точки контроля.

Заметка инвестигейтора: Выбор Hyperliquid вместо централизованной биржи — еще один показатель профессионализма. Преступники осознанно избегают любых контрольных точек, где могла бы быть верификация личности. DEX без KYC — ключевой элемент схемы, потому что перед нами последняя точка перед выходом в Monero, где верификация физически невозможна.

XMR1 и Monero — здесь начинается криптография. Monero создана специально для приватности.

С условными USDC и DAI все транзакции видны на блокчейне. Аналитик может увидеть адрес отправителя, адрес получателя, точную сумму, дату и время. Цепочка просматривается полностью.

С Monero ситуация другая. Транзакции видны, но все детали зашифрованы. Адреса замаскированы, суммы невидимы, отправитель и получатель неизвестны. Даже если ты видишь, что транзакция произошла, ты не знаешь кто, кому и сколько отправил.

XMR1 — это обернутый Monero, совместимый с блокчейном Ethereum для торговли. Преступники конвертировали свои деньги в XMR1 на Hyperliquid, потом вывели в настоящий Monero.

Технически система работает через два механизма:

● Ring signatures — подпись отправителя смешивается с подписями других участников, поэтому невозможно определить, кто реально отправил транзакцию.

● Stealth addresses — адреса создаются так, что даже видя блокчейн, невозможно определить адрес получателя.

Всего переведено: 6,174.4 XMR.

Заметка инвестигейтора: Преступники выбрали Monero не просто за приватность. Они знали, что анонимность встроена прямо в протокол — это не уловка, а его основа. Ring signatures скрывают, кто отправил деньги, смешивая подпись отправителя с другими. Stealth addresses скрывают, кому деньги пришли. После этого отследить движение денег невозможно — даже теоретически. Это не проблема безопасности, которую можно исправить. Это фундаментальная архитектура Monero. Преступники выбрали эту криптовалюту потому, что она дает абсолютную анонимность, которую никто не может обойти.

После этого отследить деньги на публичном блокчейне уже невозможно. Даже если ты видишь транзакцию в сети Monero, ты не знаешь, кто отправитель, кто получатель и сколько денег передавалось.

Часть денег ушла в биткоин через кроссчейн-мосты. BTC, в отличие от Monero, не полностью приватен. Транзакции видны на блокчейне. На биткоин пришлось около $1.1 миллиона.

Также преступники использовали Tornado Cash — миксер, который смешивает деньги. Вы вносите средства, они смешиваются с чужими деньгами. На выходе непонятно, откуда они пришли.

Tornado Cash использует zero-knowledge proofs — математический алгоритм, который позволяет доказать право на вывод средств без раскрытия связи с депозитом. Такой подход делает его сильнее обычных миксеров.
В этот поток ушло 375 ETH, примерно $0.75 миллиона.

Tornado Cash стоит упомянуть отдельно. В 2022 году США наложили санкции на этот сервис. Но он продолжил работать, потому что это просто код на блокчейне, который никто не может выключить. В 2025, кстати, санкиции сняли. Тем не менее Tornado Cash стал примером того, как криптоиндустрия дает преступникам инструменты, которые сложно контролировать традиционными способами.

Это не грабеж, совершенный людьми, которые просто знают, как украсть криптовалюту. Перед нами операция людей, которые понимают DeFi-экосистему глубже, чем большинство финтех-инженеров. Ну и, судя по всему, умеют орудовать топорами.

Похитители знали:

Люди часто думают, что деньги в крипте теряют только через уязвимости в коде — баги в смарт-контрактах, проблемы в протоколах. На самом деле, в этой истории код вообще ни при чем.

Это wrench attack — атака на человека, а не на технологию. Древний метод: взять монтировку, подойти к человеку и потребовать ключи. Блокчейн, смарт-контракты, криптография — все сработали идеально. Уязвимой была одна точка: человек.

Вся опасность была в человеческом факторе. Известная фигура, видимые деньги, открытый адрес — этого было достаточно.

Если ты известная фигура в криптоиндустрии и твой адрес известен, ты становишься мишенью. Главное здесь не в том, что блокчейн небезопасен. Главное — личная безопасность.

Вы можете сколько угодно прятать крипту в холодных кошельках за семью замками. История Алекса Амсела учит нас тому, что иногда блокчейн ломается под прессом парочки молотков.