В феврале 2025 года криптовалютный мир потрясла новость о крупнейшем взломе на момент истории — централизованная биржа Bybit стала жертвой атаки, в результате которой было похищено свыше 1.4 миллиарда долларов в различных криптоактивах. Самым крупным активом в этой атаке стал эфир (ETH), сумма украденных монет которого превысила 605 миллионов долларов — более половины от общего объема украденных средств. Это происшествие не только поставило под сомнение безопасность одной из ведущих платформ на рынке, но и выявило уязвимости в экосистеме децентрализованных финансов и протоколов кроссчейн-свопов. Ключевым моментом стала быстрая и эффективная операция по отмыванию украденных криптовалютных средств, проведенная злоумышленниками.
Несмотря на активное расследование и попытки деанонимизации личности хакера со стороны аналитиков блокчейн-данных, он умудрился за считанные дни перевести в чистую форму более 54% похищенного ETH. Среди инструментов, которые злоумышленники использовали для маскировки происхождения и перемещения средств, особое место занял протокол THORChain — децентрализованная платформа, позволяющая осуществлять кроссчейн-свопы криптовалют без участия посредников. THORChain, благодаря своей архитектуре и механизму приватности, позволил исполнителям администрировать быстрые и относительно анонимные транзакции, что вызвало значительную критику со стороны экспертов и регуляторов. Объем операций в этом протоколе вскоре после атаки значительно превысил рекордные значения, что напрямую связали с потоками отмываемых средств с Bybit. Ситуация приобрела настолько серьезный характер, что один из ключевых разработчиков THORChain, известный под псевдонимом Pluto, объявил о своем уходе из проекта, выразив обеспокоенность и разочарование существующим курсом на обработку вредоносных транзакций.
По информации аналитических компаний, среди которых Arkham Intelligence и Lookonchain, за кулисами этой атаки стоит хакерская группа Lazarus, связанная с Северной Кореей. Они давно находятся под прицелом международных органов как одна из наиболее активных и крупных группировок, вовлеченных в киберпреступления с использованием криптовалют. Участники этой организации демонстрируют высокий уровень технической подготовки и умения обходить даже самые современные меры безопасности, что подтверждается недавним взломом Bybit. Однако не все попытки остановить поток злоумышленников оказались успешными. Несмотря на усилия некоторых валидаторов THORChain, предпринимавших попытки заблокировать транзакции и переводы, связанные с подозрительными кошельками, эти меры были отменены после голосования в сообществе, что вызвало дополнительные внутриигровые конфликты и отток ключевых разработчиков и валидаторов.
Любопытно, что официальные представители THORChain подчеркивают техническую невозможность цензуры транзакций внутри открытых блокчейнов, аргументируя это скоростью и масштабом операций, превосходящим возможности современных систем мониторинга. Обострившаяся ситуация привлекла внимание ФБР и других правоохранительных органов, которые подтвердили участие северокорейских хакеров группы Lazarus в этой атаки и призвали криптовалютные биржи и валидаторов ужесточить меры контроля для предотвращения дальнейшего распространения украденных активов. На фоне этих событий в криптосообществе вновь зазвучали дискуссии о необходимости реформирования механизмов безопасности, повышения прозрачности и объединения усилий технологических и правоприменительных структур с целью борьбы с организованной киберпреступностью. Множество экспертов в области криптовалютных технологий и безопасности полагают, что случай с Bybit станет еще одним тревожным сигналом для рынка децентрализованных финансов. С одной стороны, DeFi предлагает революционные возможности для децентрализации и отказа от посредников, с другой — остаются «дырки» в защите от злоупотреблений.
Протоколы, обеспечивающие приватность и кроссчейн-свопы, хотя и востребованы пользователями, могут быть использованы преступными структурами для отмывания средств без должного контроля. Ситуация с Bybit требует от индустрии глубокого анализа и пересмотра подходов к управлению рисками. Это включает в себя совершенствование технологий транзакционного мониторинга, внедрение более эффективных систем правоприменения и информирование пользователей о потенциальных угрозах. При этом важную роль играет международное сотрудничество, поскольку киберпреступность, особенно связанная с криптовалютами, носит трансграничный характер и требует согласованных мер. В долгосрочной перспективе из инцидента с Bybit можно извлечь уроки, помогающие усилить устойчивость и безопасность рынка.
