Украл $190 млн, извинился и попросил награду — история, до которой далеко даже Netflix

Американо-израильский гражданин Александр Гуревич арестован в Иерусалиме по обвинению в причастности к одной из крупнейших кибератак в истории децентрализованных финансов. Речь идёт о взломе кроссчейн-моста Nomad, в результате которого в августе 2022 года было похищено криптовалютных активов на сумму около 190 миллионов долларов.

По данным аналитической платформы TRM Labs, именно их специалисты предоставили международным правоохранительным органам информацию, позволившую установить личность Гуревича. Его задержание стало результатом координации между полицией Израиля, Минюстом США, ФБР и Интерполом. В скором времени Гуревич будет экстрадирован в США — необходимые юридические процедуры уже согласованы.

Nomad Bridge — это протокол, позволяющий пользователям передавать активы между различными блокчейнами. 1 августа 2022 года злоумышленники воспользовались уязвимостью в функции process() смарт-контракта Replica, появившейся после обновления. Вместо полноценной верификации доказательства сообщения система принимала любую транзакцию с корректным корневым хэшем, независимо от её достоверности. Это позволило атакующему обойти проверку и вывести средства с моста.

Сама схема была настолько примитивной, что её быстро скопировали сотни других кошельков — достаточно было просто повторить формат успешной транзакции. Получившийся «моб-стайл» взлом превратился в спонтанную массовую атаку: сотни участников одновременно расхищали ресурсы моста. Всего было украдено более 190 миллионов долларов в ETH, USDC, WBTC и других токенах стандарта ERC-20.

Хотя Гуревич, по информации TRM Labs, не создавал эксплойт и не начинал атаку, его роль в преступлении оценивается как ключевая. Он координировал действия с ранними участниками и занимался отмыванием значительных объёмов похищенных активов. Кошельки, связанные с ним, начали получать средства уже через несколько часов после начала атаки.

Гуревич применял для сокрытия следов «chain-hopping» — перевод средств между различными блокчейнами, использовал миксер Tornado Cash, а также переводил эфир в анонимные криптовалюты Monero (XMR) и Dash. Чтобы обналичить криптовалюту, он задействовал некастодиальные биржи, внебиржевых брокеров, офшорные счета и подставные компании. Часть средств была выведена в фиат через платформы, не требующие верификации личности.

Несмотря на многоступенчатую схему обфускации и длительный срок после атаки, специалистам удалось проследить транзакции и установить связь с Гуревичем, что и привело к его задержанию. По информации прокуратуры, он лично вывел из Nomad Bridge цифровые активы на сумму около 2,89 миллиона долларов. Причём уже 4 августа 2022 года он связался с техническим директором Nomad, признался в том, что искал уязвимости, извинился за произошедшее и даже потребовал «награду» в размере 500 тысяч долларов.

Изначально в отчётах TRM Labs фигурировало другое имя — Оси Моррелл. Однако 17 мая 2025 года была опубликована поправка, подтверждающая, что речь шла именно об Александре Гуревиче. В момент задержания он пытался выехать из Израиля через аэропорт Бен-Гурион, используя документы на имя Александр Блок, которое он официально сменил незадолго до ареста.

Случай с Nomad Bridge считается одним из нагляднейших примеров, как даже простейшие уязвимости в DeFi-инфраструктуре могут привести к массовым хищениям и участию сотен анонимных кошельков. Несмотря на кажущуюся анонимность блокчейн-транзакций, анализ цифровых следов и международное сотрудничество позволяют выявлять организаторов даже спустя годы.