«Черная дыра» размером в $127 млн: куда утекли деньги криптоинвесторов в ноябре

leer en español

CertiK Balancer Upbit Lazarus DeFi криптовалюта
«Черная дыра» размером в $127 млн: куда утекли деньги криптоинвесторов в ноябре
CertiK Balancer Upbit Lazarus DeFi криптовалюта

Пока пользователи радуются падению фишинга, атакующие переключаются на более сложные эксплойты, способные выжечь из DeFi сотни миллионов за один удар.

image

Криптовалютный рынок завершил ноябрь с очередным ударом по репутации безопасности: по данным блокчейн-аудитора CertiK, за месяц хакеры и мошенники вывели с площадок и у пользователей около $127 млн, а общий объём атак превысил $172 млн с учётом средств, которые позже удалось заморозить или вернуть. Основной удар пришёлся на DeFi-протоколы, крупные централизованные биржи и по-прежнему активные северокорейские группировки, которым аналитики всё чаще приписывают использование генеративного ИИ для подготовки атак.

Главным инцидентом ноября стал взлом протокола ликвидности Balancer: на него, по оценке CertiK, пришлось более $113 млн потерь. Атакующие воспользовались уязвимостями в механике пулов, что ударило не только по самому Balancer, но и по связанным с ним Ethereum-протоколам и решениям второго уровня. Среди пострадавших оказалась, например, биржа BEX на базе Berachain, которая лишилась свыше $12 млн, но впоследствии заявила, что смогла полностью вернуть украденные активы — именно такие случаи формируют около $45 млн средств, которые за месяц удалось заморозить или восстановить.

Серьёзно пострадала и южнокорейская биржа Upbit, потерявшая под конец месяца почти $37 млн. Специалисты отметили у этой атаки «подпись» Lazarus Group — северокорейской хакерской группировки, которая уже несколько лет фигурирует в расследованиях крупнейших криптоограблений и, по оценкам западных спецслужб и исследователей, частично финансирует через них государственные программы КНДР.

Среди других заметных инцидентов ноября CertiK выделяет взломы Beets и платёжного сервиса Gana Payment, потерявших более $3,8 млн и $3,1 млн соответственно. Хотя эти эпизоды куда меньше балансовского, в совокупности они демонстрируют сразу несколько проблем: от технических недоработок инфраструктуры до атак, нацеленных напрямую на пользователей.

Статистика причин взломов в ноябре показывает знакомую, но по-новому тревожную картину. На первом месте — уязвимости в смарт-контрактах и коде, которые стали источником более чем $130 млн потерь. На втором — компрометация кошельков: кража ключей, вредоносное ПО и другие способы перехвата доступа к активам принесли злоумышленникам порядка $33 млн. Отдельные инциденты были связаны с манипуляцией ценами и взломами фронтенда, когда пользователь взаимодействует с, казалось бы, доверенным интерфейсом, а транзакции уводятся в пользу атакующего.

Интересная деталь — заметное снижение успешных фишинговых атак. Если в октябре CertiK фиксировал около $28 млн потерь от фишинга, то в ноябре этот показатель упал до примерно $5,8 млн. Это может говорить как о лучшей осведомлённости пользователей и ужесточении фильтров со стороны бирж и кошельков, так и о том, что хакеры переключились на более «технические» векторы, дающие единично гораздо более крупные суммы.

Всего за месяц CertiK насчитал 53 инцидента. По типам пострадавших систем безоговорочным лидером снова стал DeFi: децентрализованные протоколы потеряли свыше $134 млн. На втором месте — криптовалютные биржи с суммарными потерями более $29 млн. Далее, с заметным отрывом, следуют мосты, мем-проекты и платформы с элементами искусственного интеллекта, которые тоже попали в поле зрения атакующих.

Каждый новый отчёт о взломах усиливает давление на биржи, разработчиков протоколов, аудиторов и регуляторов, которые вынуждены искать способы сокращения потерь от эксплойтов и мошенничества. Блокчейн-аналитические компании и правоохранительные органы научились быстрее отслеживать и блокировать часть украденных средств, о чём свидетельствуют те самые $45 млн замороженных и возвращённых активов, но система в целом остаётся реактивной: успех операции до сих пор во многом зависит от скорости реагирования и того, насколько «прозрачную» инфраструктуру использует злоумышленник.

Отдельную тревогу вызывает роль Северной Кореи и связанных с ней группировок. В новых отчётах крупных ИИ-платформ, таких как Google Gemini и Anthropic Claude, говорится, что северокорейские хакеры уже пробуют использовать генеративный ИИ для подготовки атак, автоматизации поиска уязвимостей и улучшения социальной инженерии. В сочетании с миллиардными оборотами DeFi это создаёт крайне токсичную смесь, в которой каждая новая ошибка в коде или в настройках безопасности может обернуться десятками миллионов долларов потерь за считаные минуты.