Мир криптовалют продолжает оставаться высокорискованной средой, где даже самые опытные и влиятельные участники могут оказаться жертвами тщательно спланированных хакерских атак. Недавний инцидент с кражей $1.35 млн у сооснователя THORChain, известного под ником JP, демонстрирует, насколько изощрёнными и опасными становятся современные методы мошенничества. Эта атака, вызванная взломом аккаунта в Telegram и применением технологии дипфейк на платформе Zoom, связана с хакерской деятельностью, предположительно исходящей из Северной Кореи (Демократическая Народная Республика Корея, DPRK). Инцидент произошёл 9 сентября 2025 года, когда JP стал жертвой многоэтапной фишинг-кампании.
Впрочем, по своему масштабу и технике атака значительно превышала привычные методы краж в криптовалютной сфере. Мошенники сначала взломали Telegram-аккаунт друга сооснователя THORChain, воспользовавшись этим для приглашения JP на фейковое Zoom-собрание. Во время звонка мошенники применили дипфейк - технологию глубокого подделывания видео, чтобы убедительнее выдавать себя за знакомых или доверенных лиц. В ходе встречи JP получил ссылку, по которой перешёл, однако не заметил никаких подозрительных запросов или требований ввести пароли и другую конфиденциальную информацию. Несмотря на отсутствие классических признаков взлома, злоумышленникам удалось получить доступ к зашифрованным данным iCloud Keychain - облачного хранилища паролей и приватных ключей.
В результате был взломан забытый личный кошелёк MetaMask, где хранились активы на сумму $1.35 млн. Важной особенностью случая является то, что украденные средства принадлежали старому кошельку MetaMask, о котором JP вовсе забыл. Эти активы не отображались на публичных сканерах вроде Etherscan, поскольку были задействованы в стекинге, что позволило мошенникам отслеживать и контролировать процесс кражи без немедленного обнаружения. Да и сложность атаки с применением новейших эксплойтов и обходом многоуровневой защиты iCloud заставляет задуматься о серьёзных уязвимостях существующих протоколов безопасности.
Разбирательство в этом инциденте подчёркивает зловещую роль Северной Кореи в мировой крипто-мошеннической экосистеме. Эксперты и блокчейн-исследователи связывают подобные атаки с группой Lazarus - киберпреступной структурой, финансируемой и управляемой северокорейским режимом, активно причастной к масштабным кражам криптовалют в последние годы. Именно на неё указывают многочисленные факты вливания украденных активов в нелегальные схемы отмывания денег, торговлю сомнительными токенами и подпольные обмены. Аналитики отмечают, что технологии дипфейк и сложные социальные инженерные схемы значительно усложнили задачу выявления мошеннических действий. Telegram, как одна из ключевых платформ для общения крипто-сообщества и распространения информации о трейдах, внезапно превратился в уязвимый канал для распространения зловредного ПО и фишинга.
С начала 2025 года количество крипто-атак, связанных с Telegram, выросло на 2000%, а общие убытки инвесторов превысили $2.2 млрд. Особое беспокойство вызывает использование Telegram для создания зашифрованных групп и каналов, где распространяются украденные данные, фальшивые документы и средства для отмывания денег. Несмотря на усилия администрации Telegram по борьбе с такими каналами, закрытию криминальных платформ и блокировке мошеннических ботов, злоумышленники быстро находят новые пути обхода ограничений, мигрируя между похожими проектами и применяя более изощрённые методы сокрытия. Сооснователь THORChain JP в своей публичной реакции рассказал о боли и уроках, которые он вынес из этой атаки.
Он призвал к большей ответственности и осторожности с хранением приватных ключей, отметив, что обычные методы бэкапа в облаке - будь то iCloud, Google Drive или подобные сервисы - создают критические уязвимости. JP рекомендует использовать двухфакторную аутентификацию на отдельных устройствах, например, на "бернерных" телефонах, а также советует переходить на более защищённые типы кошельков, например с пороговой сигнатурой, такие как Vultisig, где приватные ключи разделены и хранятся на нескольких физических устройствах одновременно. Мошенническая атака на JP - не единичный кейс. В последние месяцы несколько известных фигур криптоиндустрии пострадали от схожих сложных атак. Весной этого года миллиардерша Тейлор Томсон потеряла более $80 млн после мошенничества, построенного на доверии к сомнительным "психическим" консультантам.
Ранее в сентябре другой криптоинвестор потерял $3.05 млн, подписавшись под вредоносной транзакцией. Совокупность этих событий указывает на растущую опасность сохранения значительных сумм в личных кошельках, где защита не обновлялась и не адаптировалась к новым угрозам. Важно отметить, что сама экосистема THORChain, популярная децентрализованная платформа для обмена криптовалютами, уже сталкивалась с проблемами безопасности, вызываемыми попытками вмешательства Северной Кореи. Некоторые из этих случаев касались воровства через централизованные биржи, такие как Bybit, через которые проходили средства, связаны с DPRK.
В ответ на это только комплексный подход, включающий адаптацию продвинутых методов многофакторной защиты, регулярное обновление программного обеспечения, осведомлённость и обучение пользователей, а также совершенствование самой инфраструктуры кошельков может помочь снизить риск краж. Мир криптовалют слишком быстро развивается. Мошенники не отстают, а часто опережают закон и технологии. В целом, случай с JP и краже $1.35 млн - это пример того, как современные технологии, включая дипфейк и использование zero-day уязвимостей, применяются в финансовых преступлениях.
Это также сигнал всем участникам крипто-сообщества о необходимости пересмотреть свои стратегии безопасности. В то время как регуляторы и разработчики работают над улучшением стандартов, каждый пользователь обязан предпринимать максимальные меры для защиты своих цифровых активов. Таким образом, атака на сооснователя THORChain - это не просто громкий случай утраты крупной суммы. Это отражение более широкой проблемы, связанной с ростом киберпреступности и вызовами, которые стоят перед блокчейн-индустрией. Инцидент стал похож на предупреждающий сигнал, заставляющий пересмотреть многие устаревшие подходы и шагать в ногу с быстро меняющейся технологической реальностью.
В конечном итоге только объединённое усилие разработчиков, инвесторов и специалистов по безопасности сможет обеспечить устойчивость и доверие в мире децентрализованных финансов и защитить пользователей от подобных трагедий в будущем. .
