For business
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
AML certification
How industry players can get up-to-date knowledge and professional certification.
AML certification
How industry players can get up-to-date knowledge and professional certification.
Comprehensive transaction analytics that helps to build graphs and trace funds.
Graph
Travel rule
(soon)
For personal use
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Getting money back
Services are focused on tracking
and recovering crypto assets.
and recovering crypto assets.
Getting money back
Services are focused on tracking
and recovering crypto assets.
and recovering crypto assets.
Docs and reports
All types of documents related
to cryptocurrency.
to cryptocurrency.
Docs and reports
All types of documents related
to cryptocurrency.
to cryptocurrency.
Portfolio tracker
Information about all assets and risk assessment in one place.
Portfolio tracker
Information about all assets and risk assessment in one place.
AML checks
Сhecking wallets and transactions
for illicit funds.
for illicit funds.
AML checks
Сhecking wallets and transactions
for illicit funds.
for illicit funds.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
Graph
Визуализация перемещения активов
и связей между кошельками.
и связей между кошельками.
Graph
Визуализация перемещения активов
и связей между кошельками.
и связей между кошельками.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
Для себя
Для Бизнеса
Travel rule
(Cкоро)
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Отчёты
Все типы документов связанные
с криптовалютой.
с криптовалютой.
Отчёты
Все типы документов связанные
с криптовалютой.
с криптовалютой.
Содержание:
1. UPCX — $70 млн (апрель 2025)
2. Bitget / VOXEL — до $100 млн (апрель 2025)
3. Cetus Protocol — $223 млн (май 2025)
4. Coinbase — утечка данных 69 000+ клиентов (май 2025)
5. Nobitex — $90 млн (июнь 2025)
6. CoinDCX — $44,2 млн (июль 2025)
7. GMX — $42 млн (июль 2025)
8. BtcTurk — $48 млн (август 2025)
9. SwissBorg — $41 млн (сентябрь 2025)
10. Shibarium Bridge — $4,1 млн (сентябрь 2025)
11. Balancer — $128 млн (ноябрь 2025)
12. Upbit — ~$30 млн (ноябрь 2025)
Сводная таблица: все ключевые инциденты
Общий анализ: ключевые тенденции периода
1. UPCX — $70 млн (апрель 2025)
2. Bitget / VOXEL — до $100 млн (апрель 2025)
3. Cetus Protocol — $223 млн (май 2025)
4. Coinbase — утечка данных 69 000+ клиентов (май 2025)
5. Nobitex — $90 млн (июнь 2025)
6. CoinDCX — $44,2 млн (июль 2025)
7. GMX — $42 млн (июль 2025)
8. BtcTurk — $48 млн (август 2025)
9. SwissBorg — $41 млн (сентябрь 2025)
10. Shibarium Bridge — $4,1 млн (сентябрь 2025)
11. Balancer — $128 млн (ноябрь 2025)
12. Upbit — ~$30 млн (ноябрь 2025)
Сводная таблица: все ключевые инциденты
Общий анализ: ключевые тенденции периода
Период с марта 2025 по март 2026 года стал одним из самых разрушительных в истории криптовалютной индустрии. По данным BitOK, за 2025 год было похищено около $ 3 млрд в результате почти 150 инцидентов. По альтернативным оценкам, сумма потерь может достигать $ 3,4−4 млрд с учетом скамов и мелких эксплойтов. Характер атак радикально изменился: хакеры переключились с поиска уязвимостей в коде на эксплуатацию операционных слабостей — скомпрометированных ключей, подкупленных сотрудников и социальной инженерии.
Контекст: крупнейший обозримого прошлого — Bybit ($ 1,46 млрд, 21 февраля 2025) — произошел чуть раньше нашего временного окна. Тем не менее его тень определила весь период: именно после Bybit индустрия осознала масштаб угрозы со стороны северокорейской Lazarus Group, которая, по подсчетам наших аналитиков, украла >$ 2 млрд за 2025 год.
Ниже — самые крупные и резонансные инциденты в хронологическом порядке.
Контекст: крупнейший обозримого прошлого — Bybit ($ 1,46 млрд, 21 февраля 2025) — произошел чуть раньше нашего временного окна. Тем не менее его тень определила весь период: именно после Bybit индустрия осознала масштаб угрозы со стороны северокорейской Lazarus Group, которая, по подсчетам наших аналитиков, украла >$ 2 млрд за 2025 год.
Ниже — самые крупные и резонансные инциденты в хронологическом порядке.
1. UPCX — $70 млн (апрель 2025)
1. UPCX — $70 млн (апрель 2025)
Параметр
- Тип
- Блокчейн
- Статус
Действие
- Компрометация приватного ключа, вредоносный апгрейд контракта
- Ethereum
- Токены не проданы, расследование
1 апреля 2025 года платежная Web3-платформа UPCX потеряла 18,4 млн токенов UPC (~$70 млн) — больше, чем находилось в обращении на момент атаки (~4,14 млн). Команда подтвердила инцидент.
P.S. Проводить свои расследования можно через сервис Graph от BitOK.
P.S. Проводить свои расследования можно через сервис Graph от BitOK.
Как это произошло
Как это произошло
- Атакующий получил доступ к привилегированному адресу проекта — вероятно, через кражу приватного ключа.
- Провел вредоносный апгрейд ProxyAdmin-контракта.
- Вызвал встроенную функцию withdrawByAdmin, опустошив три управленческих аккаунта.
Реакция
Реакция
- UPCX приостановила депозиты и выводы, заверив, что персональные средства пользователей не пострадали.
- Цена UPC упала на 7% — с $4,06 до $3,52.
- Украденные токены по-прежнему лежат на одном Ethereum-адресе: хакер не предпринял попыток продажи, что объяснимо — ликвидность UPC крайне ограничена (торги только на Gate.io и MEXC).
Урок
Урок
- Инцидент подчеркнул риски привилегированного админ-доступа в смарт-контрактах.
- Хакер украл в 4,5 раза больше токенов, чем было в обращении — любая попытка продажи обрушит цену, создавая тупиковую ситуацию.
Ну а чтобы случайно не столкнуться с грязной криптой, не забывайте пользоваться AML-сервисом BitOK.
2. Bitget / VOXEL — до $100 млн (апрель 2025)
2. Bitget / VOXEL — до $100 млн (апрель 2025)
Параметр
- Тип
- Потери Bitget
- Статус
Значение
- Эксплуатация бага маркет-мейкерского бота
- ~$100 млн; выведено $38,31 млн USDT до отката
- Откат сделок, судебные иски против 8 аккаунтов
20 апреля 2025 года на бирже Bitget произошел один из самых необычных инцидентов года: баг во внутреннем торговом боте превратил биржу в «банкомат, бесконтрольно выдающий наличные».
Как это произошло
Как это произошло
- Неисправность маркет-мейкерского бота привела к тому, что ордера на фьючерсы VOXEL/USDT автоматически исполнялись в узком диапазоне $0,125–$0,138 без нормального контрагента.
- Трейдеры обнаружили аномалию и начали молниеносно переключаться между лонг- и шорт-позициями.
- Объем торгов VOXEL за сутки достиг ~$12 млрд, превысив объем торгов BTC на той же бирже.
- Отдельные пользователи превращали $100 в шестизначные суммы за минуты.
Масштаб потерь
Масштаб потерь
Оценки разнятся. Усредненное значение — около $100 млн убытков. Предположительно, до отката сделок было выведено $38,31 млн USDT, из которых >$20 млн приходились на 8 скоординированных аккаунтов. Еще ~$12 млрд аномального объема откатили.
Реакция
Реакция
- Bitget заморозила рынок VOXEL, заблокировала подозрительные аккаунты.
- Провела откат всех нерегулярных сделок в течение 24 часов.
- Объявила о судебных исках против 8 аккаунтов, получивших >$20 млн.
- Пообещала вернуть 100% изъятых средств пользователям через аирдроп из $300 млн защитного фонда.
Уроки
Уроки
- Инцидент обнажил риски закрытых маркет-мейкерских систем CEX, куда не допускаются сторонние провайдеры ликвидности.
- Откат сделок вызвал обвинения в двойных стандартах — CEO Bitget Грейси Чен незадолго до этого публично критиковала Hyperliquid за аналогичные действия.
- Границы между «багом», «эксплойтом» и «справедливым арбитражем» остаются размытыми.
3. Cetus Protocol — $223 млн (май 2025)
3. Cetus Protocol — $223 млн (май 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Эксплойт смарт-контракта
- Sui
- $162 млн заморожены, частично возвращены
22 мая 2025 года крупнейшая DEX на Sui стала жертвой одного из самых масштабных DeFi-взломов года. Команда подтвердила кражу $223 млн, а Sui Foundation описала координированную реакцию валидаторов. Ошибка — в математической библиотеке, а именно в функции checked_shlw, отвечавшей за проверку переполнения при битовом сдвиге.
Схема атаки
Схема атаки
- Атакующий открыл позицию ликвидности с крошечным диапазоном тиков [300000, 300200].
- Внес 1 единицу токена — из-за бага система начислила огромный объем ликвидности.
- Извлек ликвидность за несколько транзакций, выведя ~$223 млн.
- ~$60 млн были конвертированы в ETH и выведены на Ethereum; $162 млн заморожены валидаторами Sui.
Детальный технический разбор можно почитать у Cyfrin и в официальном инцидент-репорте Cetus.
Реакция
Реакция
- Контракты немедленно приостановили.
- Экстренное голосование валидаторов: 90,9% одобрили возврат замороженных средств.
- Активы перевели на кошелек с мультиподписью, контролируемый Cetus, OtterSec и Sui Foundation.
- Sui выделила $10 млн на улучшение безопасности экосистемы.
Урок
Урок
- Протокол прошел многочисленные аудиты — ни один не выявил проблему. Еще один камень в «огород» аналитических компаний.
4. Coinbase — утечка данных 69 000+ клиентов (май 2025)
4. Coinbase — утечка данных 69 000+ клиентов (май 2025)
Параметр
- Тип
- Финансовый ущерб
- Статус
Значение
- Инсайдерская атака, подкуп, социальная инженерия
- $180–400 млн (разные оценки)
- Уголовное расследование, коллективные иски
Не классический криптовзлом, а кража данных через подкуп аутсорсеров. Coinbase раскрыла инцидент в официальном блог-посте 15 мая 2025 года, а детали подтвердила в форме 8-K для SEC.
Что украдено
Что украдено
- Имена, даты рождения, адреса, телефоны, e-mail.
- Последние цифры SSN, маскированные номера банковских счетов.
- Сканы удостоверений личности (у части пользователей).
- Истории транзакций и балансы.
Что НЕ скомпрометировано
Что НЕ скомпрометировано
- Пароли и приватные ключи.
- Аккаунты Coinbase Prime.
- Средства на кошельках.
Ключевые факты
Ключевые факты
- Согласно судебным документам, сотрудница TaskUs Ашита Мишра фотографировала до 200 записей в день, продавая по $200 за скриншот — с сентября 2024 по январь 2025.
- 11 мая злоумышленники потребовали выкуп $20 млн — Coinbase отказалась.
- Компания объявила встречную награду $20 млн за информацию об организаторах.
- Ущерб от последующих атак социальной инженерии оценивается в $180–400 млн.
5. Nobitex — $90 млн (июнь 2025)
5. Nobitex — $90 млн (июнь 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Политически мотивированная кибератака
- Ethereum, TRON, Bitcoin, Solana, Dogecoin, XRP и др
- Средства безвозвратно уничтожены (сожжены)
18 июня 2025 года крупнейшая криптобиржа Ирана подверглась атаке группировки Gonjeshke Darande (Predatory Sparrow), которую связывают с Израилем. Это первый масштабный случай «геополитического» криптовзлома, в котором целью было не обогащение, а нанесение экономического ущерба.
Ключевые факты
Ключевые факты
- Украденные приватные ключи + административные учетные данные, опустошены горячие кошельки на нескольких блокчейнах.
- Средства отправлены на vanity-адреса с надписями вроде «FuckIRGCTerrorists» — ключи от этих адресов не существуют, $90 млн безвозвратно уничтожены.
- На следующий день хакеры опубликовали полный исходный код и внутреннюю документацию Nobitex, поставив под угрозу все оставшиеся на бирже активы.
- В ночь атаки интернет-трафик в Иране упал на 98% — власти ввели почти полный блэкаут.
- Входящий объем транзакций биржи упал более чем на 70% год к году (TRM Labs).
- CEO Nobitex пообещал полную компенсацию из страхового фонда и резервов; биржа возобновила работу поэтапно через 4–5 дней.
- Накануне, 17 июня, та же группировка атаковала иранский Bank Sepah, уничтожив его данные.
6. CoinDCX — $44,2 млн (июль 2025)
6. CoinDCX — $44,2 млн (июль 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Серверный взлом, компрометация приватного ключа
- Solana и Ethereum
- Биржа покрыла убытки, арест сотрудника
19 июля 2025 года одна из крупнейших индийских бирж потеряла $44,2 млн из горячего кошелька.
Как это произошло
Как это произошло
- Атакующий скомпрометировал один из внутренних серверов биржи и похитил приватный ключ.
- За ~5 минут средства были выведены через множество транзакций.
- Украденное переброшено на несколько Solana-адресов, затем переведено через мосты на Ethereum с помощью Tornado Cash.
Реакция
Реакция
- Первым о взломе сообщил ZachXBT.
- CoinDCX подтвердила взлом и полностью покрыла потери из собственных средств.
- Полиция арестовала сотрудника, предположительно причастного к содействию взлому.
7. GMX — $42 млн (июль 2025)
7. GMX — $42 млн (июль 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Эксплойт смарт-контракта
- Arbitrum
- ~$40,5 млн удалось вернуть
9 июля 2025 года протокол GMX потерял $42 млн из-за классической уязвимости повторного входа в V1-контрактах.
Схема атаки
Схема атаки
- Уязвимость в функции executeDecreaseOrder — ETH-возврат отправлялся до обновления состояния.
- Вредоносный контракт перехватывал управление через receive().
- Хакер открывал короткие позиции по BTC с 30× плечом, искусственно занижая глобальную среднюю цену шортов.
- Завышенная AUM привела к завышенной цене GLP, что позволило реализовать вывод $42 млн через выкуп.
Итог
Итог
- GMX предложила баунти-программу >10% от суммы.
- Хакер вернул ~$40,5 млн (10 000 ETH + $10,5 млн FRAX), оставив себе около $5 млн.
- Токен GMX упал на 28% после инцидента, но восстановился после возврата средств.
8. BtcTurk — $48 млн (август 2025)
8. BtcTurk — $48 млн (август 2025)
Параметр
- Тип
- Блокчейн
- Дата
- Статус
Значение
- Компрометация горячих кошельков
- ETH, AVAX, ARB, BASE, OP, MANTLE, MATIC
- 14 августа 2025
- Расследование
Одна из старейших турецких бирж (основана в 2013) пострадала дважды за 14 месяцев. Ранее, в июне 2024, платформа потеряла $55 млн. Очередной инцидент связан с компрометацией приватных ключей горячих кошельков.
- Cyvers Cyvers зафиксировалаподозрительные переводы на $48 млн через 7 блокчейнов.
- Большая часть средств консолидирована в два адреса и быстро обменяна через DEX.
- BtcTurk приостановила депозиты/выводы, заверив что холодные кошельки не затронуты.
- После взлома 2024 года CEO ушел в отставку — но, судя по повторному инциденту, кардинальных изменений в безопасности ключей так и не произошло.
9. SwissBorg — $41 млн (сентябрь 2025)
9. SwissBorg — $41 млн (сентябрь 2025)
Параметр
- Тип
- Блокчейн
- Дата
- Статус
Значение
- Supply-chain атака через API партнера (Kiln)
- Solana
- 8 сентября 2025
- SwissBorg обязалась покрыть все убытки
Швейцарская платформа управления криптоактивами потеряла 192 600 SOL (~$41 млн) из программы SOL Earn — но не из-за взлома собственной системы.
Как это произошло
Как это произошло
- Атакующий скомпрометировал API стейкинг-партнера Kiln, управлявшего Solana-стейкингом для SwissBorg.
- 31 августа — в обычную транзакцию анстейкинга были встроены 8 скрытых инструкций авторизации, передававших контроль над стейкинг-аккаунтами атакующему.
- 8 сентября — хакер активировал «скелетный ключ» и вывел все средства.
Реакция
Реакция
- Затронуто <1% пользователей и ~2% активов платформы.
- CEO Сайрус Фазель пообещал полное возмещение потерь из казны компании.
- Некоторые транзакции заблокированы на биржах.
10. Shibarium Bridge — $4,1 млн (сентябрь 2025)
10. Shibarium Bridge — $4,1 млн (сентябрь 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Flash-loan атака, захват валидаторов
- Shibarium / Ethereum
- Часть средств заморожена
Несмотря на скромную сумму, этот взлом выделяется нестандартным вектором атаки:
- Flash-loan на 4,6 млн BONE перешел в делегирование валидатору, что привело к захвату большинства валидаторской мощности.
- Подписание поддельного состояния сети позволило реализовать вывод 17 токенов на $4,1 млн.
- Заемные BONE остались заблокированы из-за задержки анстейкинга — механизм, обычно раздражающий пользователей, спас ситуацию.
Разработчик Shibarium Каал Дарья назвал атаку «изощренной». K9 Finance DAO потерял >$700 000 и выставил Shiba Inu публичный ультиматум.
11. Balancer — $128 млн (ноябрь 2025)
11. Balancer — $128 млн (ноябрь 2025)
Параметр
- Тип
- Блокчейн
- Статус
Значение
- Эксплойт ошибки округления в смарт-контракте
- Ethereum, Arbitrum, Base, Polygon, Optimism, Sonic
- ~$18 млн восстановлены; Balancer Labs закрывается
3 ноября 2025 года за 30 минут атакующий вывел $128 млн из пулов Balancer V2 на шести блокчейнах.
Механизм
Механизм
- Уязвимость в _upscaleArray: при балансах около 8–9 wei округление давало погрешность до 10% на операцию.
- 65+ микро-обменов в одной транзакции batchSwap привели к накоплению погрешностей.
- Искусственное занижение цены BPT позволило реализовать арбитражное извлечение прибыли.
Интересно, что вредоносный контракт содержал console.log — это типичный признак, когда код писали с помощью ИИ.
Последствия
Последствия
- BAL обвалился на 91% год к году (до $0,17); TVL просел на 18%.
- Berachain провела экстренный хардфорк для заморозки украденных средств; Polygon-валидаторы цензурировали транзакции хакера.
- 24 марта 2026 года — Balancer Labs объявила о закрытии как юрлица. Протокол переходит в DAO.
12. Upbit — ~$30 млн (ноябрь 2025)
12. Upbit — ~$30 млн (ноябрь 2025)
Параметр
- Тип
- Страна
- Статус
Значение
- Кража из горячего кошелька Solana
- Южная корея
- Пользователи полностью возмещены
27 ноября 2025 года крупнейшая южнокорейская биржа потеряла 44,5 млрд вон из Solana-кошелька — ровно через 6 лет после предыдущего взлома на $50 млн (27 ноября 2019). Первоначально потери оценивались в 54 млрд вон (~$36 млн), позже скорректированы до 44,5 млрд вон (~$30 млн).
Ключевые факты
Ключевые факты
- Среди украденного — SOL, USDC, BONK, JUP, RAY, RENDER, ORCA, PYTH и другие Solana-токены.
- Атаку приписывают Lazarus Group — совпадение дат расценивается как «послание».
- Причина: уязвимость в алгоритме цифровой подписи Upbit — утечка структуры nonce из Solana-транзакций позволяла вычислить приватный ключ.
- Upbit полностью возместила 38,6 млрд вон клиентских средств из резервов.
- Корпоративные потери биржи — 5,9 млрд вон (~$4 млн).
- 2,3 млрд вон удалось заморозить через блокчейн-трекинг.
Сводная таблица: все ключевые инциденты
Сводная таблица: все ключевые инциденты
Общий анализ: ключевые тенденции периода
Общий анализ: ключевые тенденции периода
По мнению Дмитрия Мачихина, основателя и CEO BitOK, анализ инцидентов 2025–2026 годов показывает фундаментальное смещение вектора атак в криптоиндустрии.
Эксперт отметил, что хотя ончейн-безопасность улучшилась, общие потери растут. По его наблюдениям, многие инциденты произошли из-за операционных провалов уровня Web2, а не уязвимостей в коде.
По словам Дмитрия Мачихина, главные угрозы сегодня — компрометация приватных ключей (UPCX, CoinDCX, BtcTurk, Nobitex), подкуп инсайдеров, социальная инженерия с ИИ-клонированием голоса и фишинг.
CEO BitOK подчеркивает индустриализацию краж со стороны Lazarus Group: за 2025 год выведено свыше $2 млрд (в 3 раза больше, чем в 2024-м), с 2017 года — более $6 млрд. Тактика сместилась от мостов к мега-атакам на CEX, цели все чаще — состоятельные частные лица.
При этом именно централизованные биржи понесли самые тяжелые потери — более $1,8 млрд за год. В DeFi же доля эксплойтов снизилась, но они стали сложнее.
Индустрия учится реагировать: заморозка $162 млн в Sui/Cetus, возврат $40,5 млн в GMX, хардфорк Berachain, быстрое возмещение Upbit доказывают тезис. По данным BitOK, феврале 2026 года около 30% украденных средств удалось заморозить или вернуть.
Дмитрий Мачихин пришел к выводу о том, что эпоха простых взломов кода заканчивается. Безопасность теперь — это комплексная защита людей, процессов и ключей. Тот, кто первым адаптируется к этому сдвигу, получит решающее преимущество.
Эксперт отметил, что хотя ончейн-безопасность улучшилась, общие потери растут. По его наблюдениям, многие инциденты произошли из-за операционных провалов уровня Web2, а не уязвимостей в коде.
По словам Дмитрия Мачихина, главные угрозы сегодня — компрометация приватных ключей (UPCX, CoinDCX, BtcTurk, Nobitex), подкуп инсайдеров, социальная инженерия с ИИ-клонированием голоса и фишинг.
CEO BitOK подчеркивает индустриализацию краж со стороны Lazarus Group: за 2025 год выведено свыше $2 млрд (в 3 раза больше, чем в 2024-м), с 2017 года — более $6 млрд. Тактика сместилась от мостов к мега-атакам на CEX, цели все чаще — состоятельные частные лица.
При этом именно централизованные биржи понесли самые тяжелые потери — более $1,8 млрд за год. В DeFi же доля эксплойтов снизилась, но они стали сложнее.
Индустрия учится реагировать: заморозка $162 млн в Sui/Cetus, возврат $40,5 млн в GMX, хардфорк Berachain, быстрое возмещение Upbit доказывают тезис. По данным BitOK, феврале 2026 года около 30% украденных средств удалось заморозить или вернуть.
Дмитрий Мачихин пришел к выводу о том, что эпоха простых взломов кода заканчивается. Безопасность теперь — это комплексная защита людей, процессов и ключей. Тот, кто первым адаптируется к этому сдвигу, получит решающее преимущество.
