Проекты NFT потеряли примерно 1 миллион криптовалют за прошедшую неделю, когда хакеры выдавали себя за сотрудников IT-отдела и атаковали системы создания токенов. Среди пострадавших — площадка для фанатских токенов Favrr и инициативы Web3 Replicandy и ChainSaw.
По словам сетевого аналитика и специалиста по кибербезопасности ZackXBT, злоумышленники массово выпускали NFT, обрушивали цены до нуля, а затем обналичивали свою добычу до того, как команды успевали среагировать.
Хакеры проникают в команды Web3
Согласно отчётам, группа незаметно присоединялась к командам разработчиков под вымышленными личностями. Они получали доступ к контрактам на выпуск токенов. Затем они мгновенно выпускали тысячи токенов и NFT.
Внезапный поток обрушил цены, и воры за считанные минуты собрали крупную сумму. Всё это произошло менее чем за неделю, и около 1 миллиона долларов исчезло из казначеек этих проектов.
Множество проектов, связанных с создателем Pepe Мэттом Фьюри, ChainSaw, а также другой проект Favrr были атакованы на прошлой неделе, что привело к краже примерно 1 миллиона долларов.
Мой анализ связывает обе атаки с группой IT-специалистов из КНДР, которые, вероятно, были случайно наняты на работу разработчиками.
Массовый выпуск снижает цены
Favrr пострадал от одного из самых серьёзных ударов. Воры сбрасывали токены так быстро, что рынок не успевал за ними. В Replicandy и ChainSaw наблюдались аналогичные движения. На Replicandy значения на полу рынка упали до нуля практически мгновенно.
Украденные криптовалюты из ChainSaw всё ещё лежат неактивными на кошельках, ожидая, пока их «отмоют» и вернут на биржи. ZackXBT отметил, что вложенные сервисы затем ещё больше запутывали следы денег.
Переводы через биржи
Переводы через биржи перемещали средства через несколько бирж и кошельков. Аналитики говорят, что отслеживание смешанных выходов может занять недели. Биржи должны просматривать огромные журналы.
Это замедляет или даже блокирует правоохранительные органы от блокировки счетов. В утечке данных Coinbase в мае 2025 года личная информация около 69 461 клиента была раскрыта.
Эпизод с NFT/Web3
Инсайдерский эпизод с NFT/Web3 перекликается с тактикой Ruby Sleet. В ноябре 2024 года эта группа атаковала аэрокосмические и оборонные фирмы, а затем переключилась на IT-компании через фальшивые кампании по найму.
Они использовали социальную инженерию для установки вредоносного ПО и сбора учётных данных. Сегодняшние взломы блокчейна и NFT показывают, что открытые и необратимые реестры увеличивают количество ошибок. Когда инсайдеры получают привилегии, часто нет кнопки отмены.
Эксперты по безопасности предупреждают команды о необходимости переосмыслить модели доверия. Подходы Zero-trust ограничивают возможности каждого инженера. Многоуровневые системы одобрения могут блокировать внезапные всплески выпуска токенов.
Мониторы активности в реальном времени могут сразу же отмечать странное поведение. А проверки кода в сочетании с проверкой личности каждого нового сотрудника помогают закрыть пробелы до того, как ими начнут злоупотреблять.
Не является инвестиционной рекомендацией.