В первой половине 2025 года, согласно данным компании TRM Labs, занимающейся анализом блокчейна, ведущие воры криптовалют — это государства.
По данным анализа, опубликованного 26 июня, H1 2025 стало худшим началом года по количеству краж криптовалют. Во многом это произошло из-за рекордного взлома ByBit в Северной Корее, который привёл к краже 1,5 миллиарда долларов США.
Рост государственных атак
В первой половине 2025 года государства стали основными виновниками краж криптовалют, согласно анализу компании TRM Labs.
Только в 2025 году было украдено более 2,1 миллиарда долларов США (3,2 миллиарда австралийских долларов) в результате как минимум 75 заметных атак. Это более чем на 10% превышает предыдущий рекорд H1, установленный в 2022 году, и почти соответствует потерям, понесённым за весь 2024 год. TRM Labs утверждает, что подавляющее большинство этих потерь напрямую связано с действиями государств.
H1 2025 знаменует собой поворотный момент в хакерстве в сфере криптовалют: наблюдается рост стратегического намерения со стороны государственных субъектов и других геополитически мотивированных групп.
Роль Северной Кореи
Рост хакерских усилий Северной Кореи сыграл важную роль. Взлом ByBit в феврале, приписываемый северокорейскому режиму и ставший крупнейшей единичной кражей криптовалюты в истории на сумму 1,5 миллиарда долларов США (2,2 миллиарда австралийских долларов), сигнализирует о новой эре участия государств в этом процессе, по мнению TRM Labs.
Фирма заявила, что это потенциально указывает на то, что государственные субъекты теперь рассматривают криптопреступность как средство геополитического влияния, а не просто незаконный способ получения доходов.
Иран и группа Gonjeshke Darande
Хотя Северная Корея является крупнейшим игроком среди государств, она, конечно, не одинока в своих действиях. TRM указала на кражу 18 июня с крупнейшей иранской криптобиржи Nobitex, предположительно совершённую связанной с Израилем группой Gonjeshke Darande (также известной как Predatory Sparrow), как на ещё один пример использования криптокраж в качестве нового инструмента государственной политики.
«В случае взлома Nobitex группа Gonjeshke Darande заявила, что нацелилась на биржу из-за её центральной роли в помощи иранскому режиму обходить международные санкции и финансировать незаконную деятельность», — сообщила TRM Labs.
Примечательно, что злоумышленники перевели украденные средства на специально созданные адреса, не предназначенные для расходования — адреса, у которых известны или подозреваются в отсутствии соответствующих приватных ключей. Это указывает на то, что у них нет намерения или возможности получить доступ к этим средствам, что убедительно свидетельствует об их мотивах, имеющих скорее символический или политический, нежели финансовый характер.
Основные уязвимости
TRM Labs сообщила, что инфраструктурные атаки, включая кражи приватных ключей и взломы интерфейсов, остаются самыми большими уязвимостями в сфере криптовалют — на них приходится 80% всех потерь в первом полугодии 2025 года. Эти атаки в среднем в 10 раз крупнее других типов атак.
Инфраструктурные атаки — это методы атак, нацеленные на техническую основу системы цифровых активов для получения несанкционированного контроля, введения пользователей в заблуждение или перенаправления активов.
Атаки на протоколы, которые в основном затрагивают платформы DeFi и включают в себя атаки с использованием флэш-кредитов и повторных входов, занимают второе место среди векторов угроз, согласно TRM Labs, составляя 12% потерь. Эти атаки, как правило, используют уязвимости в коде смарт-контрактов и подчёркивают, что постоянная проблема безопасности смарт-контрактов остаётся проблемой для криптоиндустрии.
Рекомендации
TRM Labs заявила, что растущая роль государств в кражах криптовалют означает, что отрасль должна усилить свою безопасность (например, проводить аудиты, использовать многофакторную аутентификацию), а правоохранительные органы должны сотрудничать более тесно.
Не является инвестиционной рекомендацией.