В феврале 2025 года крипторынок пережил один из крупнейших взломов в истории. Хакеры похитили около $1,5 млрд с биржи Bybit. Инцидент показал важную вещь: украсть криптовалюту намного проще, чем потом воспользоваться ею.
После атаки за движением средств начали следить десятки аналитических компаний, исследователей блокчейна и бирж по всему миру. Каждый перевод оказался виден в публичном реестре практически в режиме реального времени. В этот момент начинается вторая жизнь украденной криптовалюты — намного более интересная, чем сам взлом.
Главное отличие криптовалюты от наличных денег заключается в том, что практически все крупные блокчейны публичны. Если хакер украл биткоин, эфир или другие популярные активы, весь рынок видит адрес, на который поступили средства. Именно поэтому проблема злоумышленника начинается сразу после кражи.
Перевести украденную криптовалюту на крупную биржу и продать ее обычно невозможно. Как только адрес попадает в базы аналитических компаний, биржи начинают отслеживать любые связанные с ним операции. В случае взлома Bybit многие площадки оперативно внесли адреса злоумышленников в черные списки. В результате значительная часть инфраструктуры оказалась закрыта для прямого вывода средств.
По сути, хакер получает актив стоимостью миллиарды долларов, но сталкивается с проблемой его легализации. Именно поэтому большая часть работы после взлома посвящена не краже, а попыткам скрыть происхождение средств.
За последние годы методы отмывания криптовалюты стали значительно сложнее. Если раньше злоумышленники часто просто переводили средства между несколькими кошельками, то сегодня используются целые цепочки операций.
Украденные активы могут дробиться на тысячи транзакций, проходить через децентрализованные биржи, кроссчейн-мосты и различные блокчейны. Иногда средства переводятся через десятки сетей за несколько часов.
После взлома Bybit аналитики наблюдали, как похищенный эфир дробился на множество адресов и постепенно перемещался между различными сервисами. По данным расследований, часть средств проходила через инфраструктуру, которую ранее связывали с северокорейской группировкой Lazarus Group.
Однако даже такие сложные схемы далеко не всегда помогают скрыться. В отличие от банковской системы, записи в блокчейне невозможно удалить или исправить. Поэтому спустя месяцы и даже годы аналитики продолжают восстанавливать маршрут движения украденных средств практически шаг за шагом.
Еще десять лет назад расследование криптовалютных преступлений выглядело почти безнадежной задачей. Сегодня существует целая индустрия компаний, которые специализируются на анализе блокчейнов. Самыми известными считаются Chainalysis, TRM Labs и Elliptic.
Их задача — строить карту движения средств, выявлять связи между адресами и помогать биржам, правоохранительным органам и пострадавшим компаниям. После крупных взломов именно такие фирмы часто первыми публикуют схемы перемещения украденных активов.
В результате многие адреса злоумышленников становятся известны рынку буквально через несколько часов после атаки. Именно поэтому современный криптохакер вынужден бороться не только с разработчиками и правоохранительными органами, но и с десятками аналитиков, которые круглосуточно отслеживают каждое движение средств.
Самый популярный вопрос после любого крупного взлома звучит одинаково: можно ли вернуть деньги? Теоретически — да. Практически — это удается крайне редко.
Если средства успели попасть на централизованную биржу, были заморожены или заблокированы до вывода, часть активов иногда удается вернуть владельцам. Именно так происходило в ряде громких расследований последних лет.
Но если хакер сумел провести активы через несколько блокчейнов, обменять их на другие токены и вывести через малоизвестные сервисы, шансы резко снижаются. Особенность блокчейна заключается в том, что отменить транзакцию невозможно. В отличие от банковского перевода, здесь нет кнопки «отозвать платеж».
Поэтому расследование чаще напоминает поиск похищенного имущества после ограбления, а не возврат ошибочного перевода. Даже если известно, кто совершил атаку, это еще не означает, что средства получится вернуть. Именно поэтому многие компании после взлома концентрируются не только на расследовании, но и на поиске способов компенсировать потери клиентам из собственных резервов.
На первый взгляд идея вознаграждения за влом собственного проекта выглядит абсурдно. Однако после взлома пострадавший проект иногда публично предлагает злоумышленнику оставить часть украденных средств себе и добровольно вернуть остальное. Такие предложения называют white hat bounty или recovery bounty.
Логика здесь чисто экономическая. Если украдено $100 млн, компании может быть выгоднее заплатить хакеру $10–20 млн за возврат средств, чем годами пытаться вернуть деньги через расследования и суды.
Подобные случаи уже происходили в индустрии десятки раз. Иногда злоумышленники соглашались на сделку и возвращали большую часть средств. Иногда переговоры ни к чему не приводили.
Интересно, что в криптовалюте грань между хакером и исследователем безопасности иногда оказывается очень тонкой. Некоторые атаки фактически заканчиваются не уголовным делом, а переговорами между сторонами. Именно поэтому после крупных взломов рынок часто наблюдает не только за движением средств, но и за своеобразным торгом между проектом и злоумышленником.
Парадоксально, но часть похищенной криптовалюты никогда не продается. Причина проста: чем крупнее сумма, тем сложнее ее легализовать.
Если хакер украл несколько миллионов долларов, рынок может этого даже не заметить. Но когда речь идет о сотнях миллионов или миллиардах, практически каждая крупная транзакция оказывается под наблюдением аналитиков. В результате некоторые кошельки с украденными средствами годами остаются без движения.
На рынке есть примеры, когда похищенные биткоины лежали нетронутыми десять и более лет. Владельцы адресов понимали, что попытка продажи немедленно привлечет внимание правоохранительных органов и аналитических компаний.
Фактически часть украденной криптовалюты превращается в своеобразное цифровое золото, которое существует на блокчейне, но воспользоваться которым крайне сложно. Именно поэтому размер кражи далеко не всегда означает размер реальной прибыли злоумышленника. Иногда украсть деньги оказывается значительно проще, чем потратить их.
Когда появляется новость об очередной краже криптовалюты, многие представляют себе гениального программиста, который нашел сложную уязвимость в блокчейне. На практике ситуация часто выглядит намного прозаичнее.
Во многих крупных инцидентах последних лет причиной становились украденные учетные данные сотрудников, компрометация устройств, ошибки при работе с мультиподписью или успешные атаки социальной инженерии.
Именно это произошло во многих крупнейших атаках на криптокомпании. Злоумышленники все чаще атакуют не технологию, а людей, которые с ней работают. Причина проста: взломать человека зачастую легче, чем взломать современную криптографию.
Поэтому сегодня безопасность крупных проектов все больше зависит не только от качества кода, но и от внутренних процедур, контроля доступа и подготовки сотрудников. В результате многие расследования заканчиваются неожиданным выводом: причиной потери сотен миллионов долларов стала не ошибка в блокчейне, а человеческий фактор.
Если посмотреть на историю крипторынка, можно заметить любопытную закономерность. Одни проекты погибают после потери нескольких миллионов долларов. Другие переживают взломы на сотни миллионов и продолжают работать.
Разница обычно заключается не в размере ущерба, а в том, как компания реагирует на кризис. После крупных инцидентов пользователи в первую очередь оценивают три вещи: насколько быстро команда сообщила о проблеме, удалось ли сохранить платежеспособность и кто в итоге понес убытки.
Например, после крупнейшего взлома Bybit в 2025 году биржа сохранила работу сервисов и выполнила обязательства перед клиентами. Это позволило избежать массового оттока пользователей и кризиса доверия. История рынка показывает, что пользователи готовы простить даже очень серьезный инцидент, если компания берет ответственность на себя.
Гораздо хуже воспринимаются попытки скрыть масштабы проблемы, переложить потери на клиентов или затянуть коммуникацию. Именно поэтому для многих криптокомпаний самый опасный момент наступает не во время самой атаки, а в первые часы после ее обнаружения. От принятых решений в этот период часто зависит будущее всего бизнеса.
Для обычного владельца криптовалюты последствия атаки часто оказываются намного серьезнее, чем для самой компании. Если биржа теряет часть резервов, у нее могут оставаться инвесторы, страховые фонды и собственный капитал. У пользователя такой подушки безопасности обычно нет.
Именно поэтому после крупных взломов рынок всегда задает один и тот же вопрос: кто в итоге оплатит ущерб. В одних случаях компании полностью компенсируют потери клиентов из собственных средств. В других пользователи получают деньги частями в течение нескольких лет. Бывают и ситуации, когда вернуть удается лишь часть активов.
Самый известный пример — банкротство биржи Mt. Gox. Взлом произошел еще в 2014 году, а процесс возврата средств кредиторам продолжается до сих пор. Для многих участников рынка именно такие истории стали причиной появления правила, которое не теряет актуальности уже много лет: хранить на бирже стоит только те средства, которые необходимы для торговли.
После каждого крупного взлома тысячи пользователей в очередной раз вспоминают известную фразу из мира крипты: «Не ваши ключи — не ваши монеты».
Каждый год кошельки становятся безопаснее, биржи инвестируют миллионы долларов в защиту инфраструктуры, а аудит смарт-контрактов давно стал стандартом индустрии. Тем не менее объем украденных средств продолжает исчисляться миллиардами долларов.
Причина заключается в том, что крипторынок одновременно становится и безопаснее, и привлекательнее для злоумышленников. Чем больше денег приходит в отрасль, тем больше ресурсов готовы тратить хакерские группы на поиск уязвимостей. Если десять лет назад успешная атака могла принести несколько миллионов долларов, то сегодня речь может идти о сотнях миллионов или даже миллиардах.
Кроме того, усложняется сама инфраструктура. Появляются новые блокчейны, мосты между сетями, протоколы кредитования, стейкинг, токенизированные активы и другие механизмы, каждый из которых потенциально может содержать ошибки.В результате защита превращается в постоянную гонку между разработчиками и злоумышленниками, где ни одна из сторон не может получить окончательное преимущество.
Еще несколько лет назад крупный взлом воспринимался как чрезвычайное событие. В 2026 году рынок относится к этому иначе. Инвесторы, биржи и фонды уже понимают, что атаки будут происходить регулярно. Поэтому появляются страховые фонды, резервные механизмы, программы поиска уязвимостей и специальные команды реагирования на инциденты.
Фактически вокруг проблемы взломов сформировалась отдельная отрасль. Существуют компании, которые специализируются исключительно на расследовании атак. Есть фонды, готовые финансировать поиск украденных средств. Появились специалисты по переговорам с хакерами и эксперты по возврату активов. Парадоксально, но чем больше становится крипторынок, тем более профессиональной становится не только его защита, но и вся экосистема вокруг последствий взломов.
