В современном мире криптовалют и блокчейна киберугрозы становятся все изощреннее. Недавний случай кражи более миллиона долларов на NFT-протоколах, выявленный известным ончейн-исследователем и аналитиком кибербезопасности ZackXBT, показывает, насколько уязвимой остается экосистема Web3 перед лицом внутренних угроз. Атака, совершенная группой злоумышленников, представлявшихся легитимными IT-специалистами, раскрыла значительные пробелы в системах безопасности нескольких проектов и позволила похитить значительные суммы криптовалюты с помощью хитроумного эксплоита в механизме минтинга NFT. Инцидент ставит под сомнение не только уровень защиты цифровых активов, но и общую зрелость рынка, в которой даже доверенные сотрудники могут стать источником серьезных потерь. В статье рассматриваются детали произошедших атак, используемые методы, участники рынка, а также важные уроки и рекомендации по предотвращению подобных инцидентов в будущем.
Суть инцидента и пострадавшие проекты Злоумышленники сумели внедриться в ряд Web3-проектов, включая Favrr — маркетплейс фан-токенов, а также два заметных NFT-проекта Replicandy и ChainSaw. По данным ZackXBT, эти группы атаковали механизмы минтинга NFT — процесса создания токенов, выпуская огромные объемы новых NFT-файлов незаконным способом. Это искусственно создавало рыночный избыток предложения, что приводило к резкому падению ценового дна NFT вплоть до нуля. На фоне коллапса цен они перепродавали поддельные токены, извлекая прибыль и скрывая финансовые потоки через многочисленные кошельки и криптовалютные биржи. Процесс перемещения краденых средств был хорошо спланирован и включал использование микшеров и nested-сервисов, что усложняло их отслеживание.
Так, кошельки ChainSaw практически не совершали активных операций после атаки, в то время как вклады от Favrr быстро переместились на различные платформы для конвертации и обналичивания. Этот тип активности демонстрирует как широкое понимание злоумышленниками криптографических инструментов, так и их способность к эксплуатации слабостей целых протоколов. Роль фальшивых IT-специалистов и уязвимости удаленной работы Ключевым фактором успеха этой операции стало то, что хакеры выдавали себя за настоящих IT-работников, благодаря чему смогли проникнуть в внутренние структуры проектов. Гибридный формат работы с удалённым доступом, распространенный среди блокчейн-компаний и Web3-команд, открыл множество лазеек. Социальная инженерия, фальшивые наймы, поддельные аккаунты — всё это использовали злоумышленники для получения прав доступа.
Удаленная работа, хотя и удобна, по-прежнему требует более строгих протоколов безопасности и верификации, особенно в таком инновационном секторе, как блокчейн, где утечка кода или контроль доступа может привести к мгновенным денежным потерям. Опытные киберпреступники особенно целятся на такие компании, где процедуры проверки новых сотрудников поверхностны или отсутствуют вовсе. Последствия для криптоэкосистемы и рынок NFT Ущерб, нанесенный NFT-протоколам и связанным с ними проектам, стал серьезным ударом для доверия как инвесторов, так и конечных пользователей. NFT-сфера и без того находится под присмотром регуляторов и скептиков из-за высокой волатильности и частых случаев мошенничества. Подобные инциденты угрожают дальнейшему развитию рынка цифровых коллекционных активов и могут замедлить принятие NFT-технологий в целом.
Помимо финансовых потерь, атаки такого рода создают риск для репутации отдельных проектов и всей отрасли. Пользователи становятся осторожнее, что снижает ликвидность и затрудняет привлечение инвестиций. По словам экспертов, сектору необходимо внедрять более надежные стандарты безопасности и прозрачности, а пользователям — изучать основы кибергигиены и выбирать проекты с проверенной командой. Сравнительный анализ с другими крупными инцидентами в криптоиндустрии Заражение внутренних систем и инсайдерские угрозы далеко не уникальны для NFT или Web3. В ноябре 2024 года группа Ruby Sleet, связанная с Северной Кореей, уже проявляла активность во взломах подрядчиков аэрокосмической и оборонной промышленности США, а также IT-компаний через социнжиниринг и поддельные кампании найма.
Это выявляет общую тенденцию, что государственные и хакерские группировки предпочитают атаковать внутренние «ключи доступа» вместо прямого взлома защищенных внешних систем. Иными словами, криптовалютные платформы, как и другие технологии с чувствительными данными, продолжают сталкиваться с угрозами изнутри, что требует ужесточения контроля, обучения и цифрового мониторинга персонала. Такой комплексный подход жизненно необходим, чтобы минимизировать шансы успешных атак и убытков. Текущая практика защиты и рекомендации по предотвращению потерь Для снижения риска подобных инцидентов проекты должны интегрировать многофакторную аутентификацию, постоянный аудит кодовой базы, мониторинг подозрительной активности и строгие процедуры верификации сотрудников. Кроме того, важно организовать регулярные тренинги по информационной безопасности, включающие аспекты социального инженерства, а также разработать планы быстрого реагирования на инциденты.
