sejournal.io

В результате атаки на кроссчейн-мост между сетями Verus и Ethereum протокол DeFi Verus потерял около $11,5 млн. Об этом сообщили эксперты по кибербезопасности из Blockaid, PeckShield и GoPlus.

По данным PeckShield, злоумышленник вывел 103,6 tBTC, 1625 ETH и 147 000 USDC, после чего обменял похищенные активы на 5402 ETH. На момент публикации все средства находятся на кошельке хакера.

Средства для оплаты комиссий он получил через миксер Tornado Cash за 14 часов до взлома.

Специалисты GoPlus пояснили, что атакующий отправил транзакцию с низкой стоимостью и вызвал функцию контракта для массового вывода резервов. Вероятной причиной инцидента называют уязвимость в логике снятия средств или подделку подписи при проверке межсетевых сообщений.

Разработчики Verus ситуацию не прокомментировали. Мост между сетями Verus и Ethereum запустили в октябре 2023 года. Сам протокол работает с 2018 года и ориентирован на конфиденциальность пользователей.

Индустрия децентрализованных финансов регулярно сталкивается с подобными угрозами. Общая сумма заблокированных в DeFi средств, потерянных в результате взломов, составляет более $7,7 млрд.

При этом на уязвимости кроссчейн-мостов приходится более $3,2 млрд убытков.

Напомним, в апреле взлому подвергся протокол Kelp, за которым предположительно стоит группировка Lazarus Group. Этот инцидент стал крупнейшим в DeFi-секторе с начала года.

В мае злоумышленники вывели $10 млн из кроссчейн-протокола THORChain. Разработчики проекта подтвердили взлом и опровергли запуск программы возмещения ущерба.

Вот перефразированная новость на русском языке:

Разработчики кроссчейн-протокола THORChain подтвердили факт взлома на сумму 10 миллионов долларов и опровергли информацию о запуске программы по возмещению убытков.

Согласно данным компании PeckShield, злоумышленник похитил 36,75 биткоина, а также около 7 миллионов долларов в EVM-токенах, находящихся в сетях Ethereum, BNB Chain и Base.

После инцидента команда THORChain остановила работу протокола. Пользователям стали недоступны торговля, операции с пулами ликвидности и другие важные функции.

Основная версия атаки заключается в том, что хакер воспользовался уязвимостью в схеме пороговой подписи GG20 TSS. Это привело к утечке данных о ключах участников мультисиг-хранилища. Со временем злоумышленник смог восстановить закрытый ключ и провести несанкционированные транзакции.

В заявлении команды говорится: «Мы продолжаем разрабатывать план по восстановлению и перезапуску сети. Возврат к полноценной работе может занять от нескольких дней до более длительного срока — всё зависит от сложности выбранного решения».

Разработчики заверили, что средства пользователей не пострадали. Они также предупредили, что в сети появилось множество фальшивых ресурсов, предлагающих компенсацию.

Команда подчеркнула: «THORChain в настоящее время не проводит никаких программ возврата средств, аирдропов или компенсаций. Любой аккаунт, который утверждает обратное, либо выдает себя за нас, либо распространяет ложную информацию».

Один из таких сайтов, якобы созданный от имени THORChain Foundation, предлагает подключить пострадавший кошелек для получения возмещения. Утверждается, что «окно для возврата средств» закроется через 21 день. Комментаторы предупреждают, что это мошенничество, и призывают к осторожности.

Напомним, что в апреле был зафиксирован рекордный уровень взломов в криптоиндустрии: за месяц произошло более 20 инцидентов, а общий ущерб составил 651 миллион долларов.

Кроссчейн-протокол THORChain был взломан. Хакеры похитили криптовалюты на сумму более 10 миллионов долларов в сетях Bitcoin, Ethereum, BNB Chain и Base.

Первым об атаке сообщил аналитик ZachXBT, первоначально оценив ущерб в 7,4 миллиона долларов.

По данным PeckShield, среди украденного — 36,75 BTC (около 3 миллионов долларов) и примерно 7 миллионов долларов в активах сетей BNB Chain, Ethereum и Base. Большая часть средств находится на двух адресах.

На фоне атаки токен RUNE упал на 12%, до 0,508 доллара.

Аналитики Lookonchain подтвердили оценку ZachXBT, уточнив, что итоговый ущерб превысил 10 миллионов долларов.

Разработчики THORChain официально не подтвердили взлом, но временно отключили некоторые функции сети для проверки.

Это не первый подобный инцидент в истории проекта. В январе 2025 года протокол заморозил кредитную платформу ThorFi из-за слухов о неплатежеспособности. Позже проблема долга в 200 миллионов долларов была решена через выпуск новых токенов и реструктуризацию.

В сентябре хакеры взломали личный кошелек основателя THORChain. По данным ZachXBT, к атаке на 1,2 миллиона долларов были причастны северокорейские группировки.

THORChain регулярно используется для отмывания похищенных средств, так как кроссчейн-обмен затрудняет отслеживание транзакций. Недавно через протокол вывели активы, украденные у Kelp. На фоне этих операций суточный объем торгов достигал 394 миллионов долларов.

Напомним, в апреле Kelp подвергся атаке, за которой, предположительно, стоит группировка Lazarus Group. Этот взлом стал крупнейшим в DeFi-секторе с начала года.

Вот перефразированный текст новости на русском языке:

Протоколы Kelp и Aave приступили к возврату средств после взлома в апреле, в результате которого было похищено $292 млн. Разработчики планируют в течение двух недель вернуть 117 132 токена rsETH.

Первая часть средств вскоре будет переведена в основную сеть (мейннет). Сразу после этого Kelp возобновит вывод активов — ориентировочно в течение суток. Пользователям снова станут доступны депозиты, создание токенов и кроссчейн-переводы.

Команда Kelp усилила безопасность моста LayerZero. Теперь для подтверждения операций требуется четыре независимых узла вместо одного, а количество необходимых блоков увеличено с 42 до 64. Кроме того, протокол начал переход на технологию CCIP от Chainlink.

Представители Aave подтвердили начало выплат и уничтожили токены rsETH, которые злоумышленник удерживал в сети Arbitrum.

Ранее команда кредитного протокола Aave оспорила в суде блокировку части средств, наложенную по искам жертв терроризма против Северной Кореи. Суд разрешил передать активы протоколу, но запретил их продавать до вынесения окончательного решения.

Разработчики LayerZero признали свою ответственность за инцидент. В компании отметили, что стандартные настройки безопасности оказались недостаточно надежными для протоколов с большим объемом заблокированных средств.

Напомним, в апреле Kelp подвергся атаке, за которой, предположительно, стоит группировка Lazarus Group. Этот взлом стал крупнейшим в секторе DeFi с начала года.

В мае Aave ликвидировал оставшиеся позиции хакера по rsETH в рамках утвержденного плана восстановления.

Позже сообщество Arbitrum поддержало перевод 30 765 ETH (на сумму $70 млн) в фонд DeFi United.

Вот перефразированный текст новости на русском языке:

Хакерские группировки, связанные с Северной Кореей, превратили кражу криптовалют в крупную государственную операцию. У них есть собственная система для отмывания денег и сеть IT-агентов. К такому выводу пришли эксперты компании CertiK.

По данным исследователей, с 2017 по начало 2026 года северокорейские хакеры украли цифровые активы на сумму более 6,7 миллиарда долларов в ходе 263 атак. Реальный ущерб, вероятно, еще больше, так как в статистику не вошли сотни мелких краж у частных лиц и проектов в первые годы существования криптоиндустрии.

Только в 2025 году ущерб от действий хакеров из КНДР составил 2,06 миллиарда долларов — это около 60% от всех потерь криптоотрасли за год. При этом на их долю пришлось лишь 12% от общего числа инцидентов.

Как изменилась тактика хакеров

В CertiK отметили, что северокорейские группы перешли от хаотичных атак к профессиональным операциям с четким распределением обязанностей. Одни подразделения занимаются социальной инженерией, другие — взломом инфраструктуры, а отмыванием денег занимаются отдельные специалисты.

Аналитики выделили несколько этапов эволюции атак:

1. Горячие кошельки бирж (2017–2019) — из-за слабой защиты хакерам не требовалось много ресурсов (примеры: Bithumb, Coincheck).
2. DeFi-протоколы и кроссчейн-мосты (2020–2023) — стали более уязвимыми после того, как централизованные платформы усилили защиту (примеры: Ronin Bridge, Harmony Horizon).
3. Цепочки поставок (2024–2026) — вместо прямых атак на биржи хакеры начали взламывать сторонних поставщиков услуг. Самый громкий случай — кража 1,5 миллиарда долларов у Bybit через взлом продукта Safe.
4. Физическое проникновение (с 2025 года) — атаки сочетают социальную инженерию, внедрение IT-агентов в криптокомпании, контакты под видом венчурных инвесторов и технические методы (пример: Drift Protocol с ущербом 280 миллионов долларов).

Как отмывают украденные активы

После крупнейшего взлома Bybit на 1,5 миллиарда долларов, который связывают с группой Lazarus, хакеры конвертировали около 86% украденного Ethereum в биткоин меньше чем за месяц.

Для заметания следов они использовали:
— быстрые переводы между разными блокчейнами (chain hopping);
— кроссчейн-мосты;
— криптомиксеры;
— внебиржевых брокеров;
— подпольные банковские сети в Азии.

Эксперты подчеркнули, что инфраструктура для отмывания денег стала для хакеров не менее важной, чем сами атаки.

«Армия IT-работников»

Отдельную угрозу представляют северокорейские IT-специалисты, которые под видом удаленных сотрудников устраиваются в западные компании. Такие агенты могут:
— получать доступ к внутренним системам;
— участвовать в разработке кода;
— внедрять вредоносные компоненты;
— собирать данные для будущих атак.

В некоторых случаях для прохождения собеседований они используют ИИ-инструменты и дипфейки.

Напомним, что МИД КНДР отверг обвинения в причастности к кражам криптовалют, назвав их «абсурдной клеветой» и «политическим инструментом» США.

Вот перефразированный текст новости на русском языке:

Согласно отчету группы Google Threat Intelligence (GTIG), киберпреступники начали активно применять искусственный интеллект для поиска и использования уязвимостей, а также для автоматизации своих атак и получения доступа к сетям.

Специалисты GTIG впервые зафиксировали хакера, который создал с помощью ИИ эксплойт для уязвимости нулевого дня. Злоумышленник планировал масштабную атаку, но сотрудникам Google удалось ее предотвратить.

Кибергруппировки, связанные с КНДР, также проявили большой интерес к использованию нейросетей для обнаружения брешей в системах безопасности.

Применение ИИ в программировании ускорило создание инструментов для атак и полиморфных вирусов, которые меняют свой код. Это помогает хакерам обходить защиту и внедрять обманные алгоритмы. В Google связывают такие разработки с Россией.

Искусственный интеллект теперь используется для автономных операций. Аналитики отмечают, что вредоносное ПО вроде PROMPTSPY знаменует переход к полностью независимому управлению атаками. Модели ИИ сами анализируют систему жертвы и генерируют команды для манипуляции средой.

В отчете подчеркивается, что такой подход позволяет злоумышленникам переложить операционные задачи на ИИ, делая их деятельность более масштабной и гибкой.

Хакеры продолжают использовать нейросети как высокоскоростных помощников на всех этапах атаки и постепенно переходят к полностью автоматизированным процессам.

Кроме того, злоумышленники пытаются получить анонимный доступ к премиум-моделям ИИ, чтобы обходить лимиты и массово злоупотреблять сервисами.

В GTIG также заметили, что такие группы, как TeamPCP (известная как UNC6780), начали использовать среды разработки ИИ и программные зависимости для первоначального проникновения в инфраструктуру жертв.

Эксперты киберподразделения Google заявили, что принимают активные меры, чтобы идти на шаг впереди постоянно меняющихся угроз.

Напомним, что в сентябре 2025 года команда Anthropic уже пресекла первую в истории кампанию по кибершпионажу, полностью организованную искусственным интеллектом.

Команда LayerZero принесла публичные извинения за свою реакцию на взлом протокола Kelp и признала, что использование конфигурации с единственным верификатором для защиты крупных транзакций было ошибочным.

«Мы ужасно справились с коммуникацией за последние три недели — хотели отдать приоритет полноте в виде всестороннего анализа, а следовало начать с откровенности», — говорится в заявлении.

17 апреля злоумышленники вывели из протокола ликвидного рестейкинга Kelp около $292 млн в rsETH через кроссчейн-мост на платформе LayerZero. Согласно расследованиям, атака была связана не со смарт-контрактом, а с компрометацией инфраструктуры и использованием схемы с одним верификатором (1/1 DVN).

После инцидента в LayerZero изначально возложили ответственность на Kelp, заявив, что проблема была локальной. Однако критики указали, что конфигурация 1/1 DVN фактически была стандартной рекомендацией при интеграции протокола. По данным Dune, около 47% приложений LayerZero использовали аналогичную схему на момент атаки.

«Мы допустили ошибку, позволив нашему DVN действовать как 1/1 для транзакций с высокой стоимостью. Мы не контролировали безопасность решения, что создавало риск, который мы просто не увидели», — признали в LayerZero.

Платформа анонсировала ряд изменений, включая:
— отказ от конфигурации единственного верификатора — по умолчанию применяется схема 5/5 и не менее 3/3;
— разработку второго DVN-клиента;
— запуск Console — единой платформы для мониторинга безопасности и аномалий для эмитентов активов;
— повышение порога мультиподписи с 5/3 до 7/10 для всех блокчейнов.

В начале мая команда Kelp на фоне разногласий с LayerZero по поводу причин взлома приняла решение мигрировать на протокол интероперабельности CCIP от Chainlink.

Напомним, биткоин-проект Solv Protocol также отказался от кроссчейн-инфраструктуры LayerZero в пользу CCIP.

Ведущий протокол кредитования Aave завершил ликвидацию оставшихся позиций хакера Kelp по токенам rsETH. Это было сделано в рамках утверждённого плана восстановления.

Изъятые средства переведены на мультиподписной кошелёк, управляемый фондом DeFi United. Эти активы будут использованы для восстановления обеспечения rsETH и выплаты компенсаций пострадавшим пользователям.

Как проходила ликвидация

Позиции злоумышленника находились в версиях Aave на Ethereum и Arbitrum. Для их ликвидации потребовалось одобрение сообщества — более 90% пользователей поддержали это решение.

Децентрализованная автономная организация (ДАО) временно изменила цену оракула rsETH, чтобы создать дефицит в позиции хакера. После завершения процедуры параметры были возвращены к исходным значениям.

Борьба за 30 000 ETH

На момент публикации инициатива DeFi United привлекла более $320 млн от участников индустрии и пользователей. Самый крупный вклад внесла сеть второго уровня Arbitrum, которая после атаки заморозила 30 766 ETH.

В начале мая ДАО проекта запустила голосование о передаче этих средств в фонд. Этот шаг поддерживает 90,5% сообщества.

Окончательное решение ожидалось 7 мая, однако суд Нью-Йорка запретил Arbitrum распоряжаться заблокированными монетами. На них претендуют жертвы террористов из КНДР, пострадавшие в ходе похищений 2015 года.

В Aave назвали логику суда юридически несостоятельной и потребовали снять ограничения. Адвокаты истцов поставили под сомнение право проекта оспаривать заморозку.

Напомним, 7 мая хакеры атаковали маркетмейкера TrustedVolumes и похитили $6 млн. Это стало пятым взломом с начала месяца.

Вот перефразированная новость на русском языке:

Адвокаты пострадавших от действий Северной Кореи изменили свою правовую позицию в споре о 30 766 ETH, которые команда Arbitrum заблокировала после взлома протокола Kelp.

Юристы теперь утверждают, что атакующий не просто украл активы, а взял ETH в долг на платформе Aave, предоставив в залог необеспеченные токены rsETH, и не вернул средства.

«Фактически КНДР заняла активы у пользователей Aave и не вернула их. Когда Aave попытался ликвидировать залог, оказалось, что он ничего не стоит», — говорится в новом документе.

Истцы ссылаются на норму американского права: даже имущество, полученное обманом, временно переходит в законную собственность мошенника, пока это не оспорено в суде. Дополнительно они опираются на Закон о страховании рисков терроризма, принятый после терактов 11 сентября, который позволяет жертвам терроризма взыскивать средства из имущества государств-спонсоров.

Если похищенные при атаке на Kelp средства хотя бы временно принадлежали КНДР, их можно изъять в рамках исполнения судебных решений по делам о терроризме, считают адвокаты.

Аргументы против Aave

В начале мая суд Нью-Йорка запретил Arbitrum размораживать украденные ETH. Децентрализованная автономная организация (ДАО) L2-сети планировала передать их фонду DeFi United, созданному для восстановления экосистемы.

Через несколько дней команда Aave подала срочное ходатайство с требованием снять арест с активов. Представители проекта назвали логику суда юридически необоснованной.

«Вор не владеет тем, что украл. Эти средства принадлежат пользователям, у которых их похитили, и никому больше», — заявил основатель протокола Стани Кулечов.

Адвокаты истцов поставили под сомнение право Aave оспаривать заморозку. Они указали на условия использования платформы, согласно которым она «владеет, хранит и контролирует» активы клиентов. По мнению юристов, это делает проект ответственным за произошедшее и может ослабить его позицию в суде.

Адвокаты также отметили, что пострадавшие вряд ли остро нуждаются в этих 30 766 ETH: DeFi United уже привлек $327,95 млн, что в четыре раза больше обсуждаемой суммы.

Слушание по делу назначено на 6 мая и пройдет в федеральном суде Манхэттена.

Конфликт Kelp и LayerZero

Разработчики Kelp заявили, что причиной апрельского взлома стала уязвимость в инфраструктуре LayerZero. Проект планирует перезапустить кроссчейн-систему на базе Chainlink.

Суть спора — в конфигурации 1-of-1 DVN (децентрализованной сети верификаторов), при которой кроссчейн-сообщения подтверждает один верификатор. Kelp утверждает, что LayerZero одобрила такую настройку и не предупредила о рисках, а после взлома переложила вину.

LayerZero настаивает, что проблема была изолирована на уровне rsETH и возникла из-за опасной конфигурации Kelp. Команда пострадавшего проекта возражает: настройка 1-of-1 широко применялась в экосистеме омничейн-протокола, а решение отказаться от таких настроек подтверждает системный характер уязвимости.

Напомним, в конце апреля LayerZero присоединился к инициативе DeFi United и пожертвовал 10 000 ETH (~$23 млн).

Вот перефразированный текст новости на русском языке:

Министерство иностранных дел Северной Кореи опровергло обвинения в том, что страна причастна к хищениям криптовалют. Представитель ведомства назвал публикации в СМИ «нелепой клеветой» и «политическим инструментом» США, о чём сообщает государственное агентство KCNA.

В Пхеньяне заявили, что таким образом Вашингтон продвигает «враждебную политику» в отношении КНДР. Представитель МИДа также отметил нелогичность ситуации, когда Соединённые Штаты, обладая «лучшей в мире кибермощью», представляют себя «главной жертвой».

«Наша принципиальная позиция — защищать киберпространство, общее достояние человечества, от любых злонамеренных действий. Мы решительно против попыток использовать киберпроблемы как политический инструмент для нарушения суверенитета и вмешательства во внутренние дела других стран», — говорится в заявлении.

Масштаб потерь

Ранее эксперты TRM Labs подсчитали, что связанные с КНДР хакеры за первые четыре месяца 2026 года похитили около $577 млн. Это составляет 76% всех потерь криптовалютных проектов за указанный период.

Специалисты подчеркнули, что доля Северной Кореи в объёме украденных цифровых активов выросла с менее чем 10% в 2020–2021 годах до 64% в 2025 году. Общая сумма ущерба превысила $6 млрд.

Основной вклад в показатель за текущий год внесли две апрельские атаки. В TRM Labs связали взлом Kelp на $292 млн с группировкой TraderTraitor, аффилированной с Lazarus. Эксплойт Drift на $285 млн аналитики отнесли к отдельной северокорейской подгруппе, однако её причастность ещё проверяется.

В ООН считают, что все украденные средства Северная Корея направляет на развитие ядерных программ.

Напомним, исследователи неоднократно заявляли, что хакеры из КНДР активно устраиваются в криптопроекты. В середине апреля стипендиат Ethereum Foundation обнаружил 100 северокорейских IT-агентов в Web3-компаниях. Сеть связанных с Пхеньяном разработчиков в криптоиндустрии также раскрыл ончейн-детектив ZachXBT.