1100 миллионов токенов шифрования подверглись ограблению, физические атаки становятся основной угрозой

Автор: Лиам Акиба Урайт

Перевод: Сайрша, Foresight News

Согласно сообщению газеты «Сан-Франциско Кроникл», около 6:45 утра 22 ноября подозреваемый, disguised as a delivery person, entered a residence in the Dolores Mission area near 18th Street and Dolores Street, контролируя жильцов, похитил мобильный телефон, ноутбук и около 11 миллионов долларов США в криптовалюте.

По состоянию на воскресенье полиция Сан-Франциско не сообщила о задержаниях и не предоставила конкретных деталей о похищенных активах, а также до сих пор не раскрыла, к какому блокчейн-сети или типу токенов принадлежат вовлеченные криптовалюты.

Физические атаки на владельцев криптовалют — это не единичный случай, тревожная тенденция постепенно начинает проявляться.

К таким случаям, о которых мы ранее сообщали, относятся: ограбление в Великобритании на сумму 4,3 миллиона долларов; похищение и пытки в районе Сохо в Нью-Йорке с целью заставить жертву передать доступ к биткойн-кошельку; резкий рост числа похищений, связанных с криптовалютой во Франции, и меры, принимаемые правительством; крайние меры предосторожности известных держателей криптовалюты (таких как «семья биткойнов»), которые распределяют свои мнемонические фразы для кошельков по нескольким континентам для повышения безопасности операций; общая тенденция среди высокобюджетных криптовалютных инвесторов нанимать охранников; а также анализ тенденций «атаки с применением рычага» (метода получения криптовалюты через насильственное принуждение) и плюсов и минусов самоуправляемой криптовалюты.

После ограбления сразу началось отслеживание на блокчейне.

Даже если ограбление начинается с двери дома, похищенные деньги часто продолжают двигаться по открытому блокчейн-реестру, что делает отслеживание возможным — таким образом возникает «соревнование»: с одной стороны, перемещение каналов отмывания денег, с другой стороны, инструменты заморозки и отслеживания, которые к 2025 году уже становятся все более совершенными. В то время как USDT на TRON остается ключевым фактором в этом «соревновании».

В этом году, благодаря сотрудничеству между эмитентами токенов, блокчейн-сетями и компаниями по анализу данных, способность всей отрасли замораживать незаконные активы значительно возросла. Согласно отчету «T3 Отдела финансовых преступлений», с конца 2024 года было заморожено несколько сотен миллионов долларов незаконных торговых токенов.

Если захваченные средства включают стейблкоины, вероятность временной блокировки их обращения значительно возрастет — потому что крупные эмитенты стейблкоинов будут сотрудничать с правоохранительными органами и партнерами по анализу данных, и после получения уведомления внесут подозреваемые адреса кошельков в черный список.

Более широкие данные также подтверждают мнение о том, что «стабильные монеты являются предпочтительным инструментом для незаконных денежных потоков». В отчете Chainalysis о преступности за 2025 год указано, что в 2024 году стабильные монеты составили около 63% от общего объема незаконных сделок, что является значительным изменением по сравнению с предыдущими годами, когда BTC и ETH доминировали в каналах отмывания денег.

Это преобразование имеет решающее значение для возврата средств: поскольку централизованные эмитенты стабильных монет могут блокировать транзакции на уровне токенов, а когда средства посредника проходят этап KYC, централизованные платформы (такие как биржи) становятся дополнительными «узлами перехвата».

В то же время Европейский уголовный полицейский офис предупреждает, что организованные преступные группы используют искусственный интеллект для усовершенствования своих методов преступной деятельности — это не только сокращает сроки отмывания денег, но и позволяет автоматизировать разделение средств между различными блокчейнами и сервисами. Если удастся определить целевой адрес краденых средств, ключевым моментом действий является своевременное уведомление эмитентов токенов и бирж.

С макроэкономической точки зрения, ситуация с убытками жертв продолжает ухудшаться.

Согласно записям «Центра жалоб на интернет-преступления», который находится под эгидой ФБР, в 2024 году потери от киберпреступлений и мошенничества составили 16,6 миллиарда долларов, при этом случаи мошенничества с инвестициями в криптовалюту увеличились на 66% по сравнению с прошлым годом. В период с 2024 по 2025 год физические угрозы, нацеленные на держателей криптовалюты (иногда называемые «атаками с использованием гаечного ключа»), привлекли большее внимание — такие случаи часто сочетаются с квартирными кражами, захватом SIM-карт (получением контроля над SIM-картой другого человека с помощью мошеннических методов) и методами социальной инженерии. TRM Labs (компания по безопасности в блокчейне) зафиксировала соответствующие тенденции к таким преступлениям с физическим принуждением.

Несмотря на то, что это дело в Сан-Франциско касается только одного жилого дома, modus operandi представляет собой типичный случай: вторжение в устройство → принуждение жертвы к переводу средств или экспорту приватного ключа → быстрое распределение средств на блокчейне → тестирование каналов вывода на предмет их работоспособности.

Новая регуляторная политика штата Калифорния в США добавила еще одну переменную в это дело. Закон о цифровых финансовых активах данного штата вступит в силу в июле 2025 года и наделит «Департамент финансовой защиты и инноваций» полномочиями по выдаче лицензий и осуществлению правоприменения в отношении определенных криптовалютных бирж и депозитарных учреждений.

Если какие-либо “каналы выхода” (имеется в виду каналы для обмена криптовалюты на фиатные деньги), брокеры по внебиржевым сделкам (OTC) или провайдеры хранения, имеющие бизнес-связь с Калифорнией, получат доступ к этой партии украденных средств, регулирующая структура Закона о цифровых финансовых активах может поддержать их сотрудничество с правоохранительными органами. Хотя это не является прямым методом возврата средств, украденных из самообслуживаемых активов, это окажет влияние на контрагентов, на которых обычно полагаются грабители для обмена криптовалюты на фиатные деньги.

Изменения в политике в других регионах также повлияют на дальнейшее развитие дела.

Согласно юридическому анализу юридической фирмы Weinberg Wheeler Hudgins Gunn & Dial, Министерство финансов США 21 марта 2025 года исключило микшер Tornado Cash из списка «Специально обозначенных граждан» (то есть списка лиц или сущностей, подпадающих под санкции США), что изменило требования к соблюдению при взаимодействии с кодовой базой этого микшера.

Однако это изменение не легализовало отмывание денег и не снизило анализируемость цепочных транзакций.

Тем не менее, это действительно ослабило ранее заставлявшую некоторых участников переходить к другим миксерам или мостам для кросс-цепей «сдерживающую силу». Если украденные средства будут использованы с традиционными миксерами до вывода, или переведены через мост к стабильным монетам, то работа по отслеживанию средств и первый этап активации процесса KYC останутся ключевыми точками дела.

Поскольку адрес кошелька, вовлеченный в дело, еще не был раскрыт, торговая платформа может спланировать свои действия на ближайшие 14-90 дней по трем основным направлениям. В таблице ниже на основе рыночной структуры и регуляторной ситуации 2025 года перечислены «модели первичного денежного перевода», показатели, на которые следует обратить внимание, а также диапазоны вероятности замораживания и возврата средств:

Хронологические улики дела можно вывести на основе вышеупомянутой модели.

В первые 24-72 часа необходимо уделить особое внимание интеграции средств и их раннему переводу. Если адреса, участвующие в деле, становятся известными и средства содержат стейблкоины, следует немедленно уведомить эмитента для начала проверки черного списка; если средства существуют в форме биткойнов или эфириумов, необходимо следить за движениями миксеров и кросс-цепочечными мостами, а также за тем, переводятся ли средства в фиат до конвертации в USDT.

Согласно процессу сотрудничества “Центра жалоб на интернет-преступления”, если место, куда поступают средства, требует выполнения KYC, обычно в течение 7-14 дней будет выдано “Письмо о сохранении активов” и заморожены соответствующие счета биржи.

В течение 30-90 дней, если появится торговый путь для приватных монет, расследование сосредоточится на внецепочечных подсказках, включая судебно-медицинское извлечение данных, записи коммуникаций и следы связанных с «поддельной доставкой» схем. Работа по отслеживанию средств TRM Labs и аналогичных учреждений также будет постепенно продвигаться на этом этапе.

Дизайн кошелька продолжает обновляться, чтобы справиться с рисками физического принуждения.

В 2025 году область применения «мультипартидного вычислительного кошелька» и «абстрактного кошелька» будет дополнительно расширена, добавив функции управления стратегией, восстановления без семени, лимиты на ежедневные переводы и многофакторные процессы одобрения — эти разработки могут снизить риск «единой точки утечки» ключа, связанный с физическими угрозами (то есть ключи не будут утекать через одно устройство или этап).

Функция «временной блокировки» на уровне контракта (означающая механизм, устанавливающий задержку выполнения сделки) и функция «лимита расходов» могут замедлить скорость перемещения средств высокого значения, а в случае кражи аккаунта создать временное окно для предупреждения эмитента или биржи.

Эти меры безопасности не могут заменить основные нормы безопасности в использовании устройств и домашней безопасности, но могут уменьшить вероятность успешного кражи средств, когда грабитель имеет доступ к телефону или ноутбуку.

Сообщение газеты «Сан-Франциско Хроника» предоставило основные факты дела, однако официальный сайт полицейского управления Сан-Франциско еще не опубликовал специальное заявление по этому делу.

Дальнейшее развитие дела будет зависеть от двух основных факторов: во-первых, будет ли раскрыт целевой адрес, во-вторых, получил ли эмитент стейблкоинов или биржа запрос на проверку и вмешательство.