Coinbase хакер троллит ZachXBT, перемещая миллионы через THORChain

В мае 2025 года произошёл необычный инцидент в крипто-сообществе: один из хакеров Coinbase, ответственный за утечку на сумму более $75 млн, начал активно “подкалывать” известного расследователя ZachXBT, рассылая ему сообщения и транслируя движения средств через сеть THORChain (RUNE).

“Они не просто украли деньги. Они превратили это в игру.” – аналитик по блокчейн-безопасности, CryptoWatch.

Как всё началось: утечка $75 млн с Coinbase 🚨

Инцидент был обнаружен 4 мая 2025 года. Виновником стал злоумышленник, который получил доступ к системам Coinbase через фишинговый домен, маскирующийся под официальную службу поддержки.

• Общая сумма украденного — около $75 млн;
• Большая часть переведена в Bitcoin (BTC) и Ethereum (ETH);
• Часть средств была отправлена в THORChain, чтобы затруднить отслеживание и вывод.

Сразу после атаки стало ясно, что это не случайный взлом. Это кто-то с опытом и знанием внутренней логики биржи.

THORChain как способ "запутать" следствие 🔄

THORChain — децентрализованная система обмена активами между разными блокчейнами. Она позволяет:

• Перемещать BTC, ETH, BNB и другие токены без CEX;
• Не оставлять много следов;
• Использовать мосты с минимальной проверкой.

Хакер использовал её для серии быстрых свопов между сетями, пытаясь замаскировать происхождение средств. Но вместо того, чтобы действовать скрытно, он начал отправлять сигналы ZachXBT, вызывая его внимание.

Кто такой ZachXBT? 👁️‍🗨️

ZachXBT — псевдоним аналитика и расследователя, ставшего легендой криптосообщества. Он известен своими расследованиями:

• Расследование аферы Rug Pull в Solana на $80 млн;
• Отслеживание средств после взлома Ronin Network;
• Анализ движений крупных кошельков в пулах DeFi и NFT.

Его работа помогает не только правоохранителям, но и инвесторам понять, где могут быть риски. Именно поэтому хакер решил начать с ним “игру”.

Почему именно THORChain? 💡

THORChain часто становится выбором мошенников, потому что:

• Поддерживает cross-chain переводы без доверия;
• Требует минимальной верификации;
• Данные о транзакциях сложнее отследить в реальном времени;
• Можно совмещать с другими сервисами для отмычки.

По данным Chainalysis, около 34% всех отмытых средств проходило через THORChain в 2024 году.

Как хакер troll'ил ZachXBT? 🤪

После первых же переводов хакер начал оставлять “следы”:

• Отправил транзакцию с текстом “Hey Zach, ты меня видишь?”;
• Закончил одну из операций надписью “Приятной охоты”;
• Некоторые транзакции содержали эмодзи 🧠⚡🔥 — своего рода signature преступника.

Эти действия были замечены ZachXBT, который выложил скриншоты в Twitter, привлекая внимание сообщества. Так началась своего рода “игра” между злоумышленником и детективом.

Цепочка транзакций: как шёл процесс отмычки? 📊

Примерная схема передвижения средств:

1. Украденные средства из Coinbase ($75 млн) переведены в BTC и ETH;
2. BTC конвертирован в RUNE через THORChain;
3. Средства перемещены в сеть Bitcoin Cash (BCH);
4. Затем — обратно в ETH, затем в Matic (Polygon);
5. Часть средств направлена в DeFi протоколы с низким уровнем прозрачности;
6. Последние следы указывают на использование Telegram-кошельков и OTC-дек.

Работа с несколькими цепочками позволила частично скрыть источник, но также сделала трейсы более заметными — особенно для тех, кто умеет их читать.

Реакция THORChain и Coinbase ⚖️

После серии подозрительных транзакций команда THORChain начала собственное внутреннее расследование и заявила, что:

• Они уже сотрудничают с командами Chainalysis и Elliptic;
• Ввели новые ограничения на высокоугрожаемые адреса;
• Планируют внедрить систему on-chain оповещений для пользователей.

Coinbase, в свою очередь, подчеркнула, что основные потери пришлись на необеспеченные токены и что клиенты, держащие средства на счетах, остались в безопасности.

Как ZachXBT раскрыл след? 🔍

В течение нескольких дней ZachXBT и его команда смогли восстановить маршрут большей части украденных средств. Как они это сделали?

• Проанализировали on-chain данные;
• Нашли повторяющиеся подписи в транзакциях;
• Выявили связь между ранними транзакциями и выходом в DeFi;
• Сопоставили данные с предыдущими случаями кражи;
• Отследили переходы через мосты и децентрализованные DEX.

Хакер продолжал “флудить” каналы, оставляя метаданные и даже транзакции с философскими цитатами внутри контрактов.

Как используются мосты и cross-chain решения? 🌉

Хакер активно использовал cross-chain технологии, чтобы усложнить отслеживание:

• THORChain — основной канал перевода;
• Wormhole Bridge — для переноса между Solana, Ethereum и Avalanche;
• LayerZero — для создания временных путей к другим сетям;
• Connext — для мгновенной передачи между пользователями.

Эта стратегия стала тревожным сигналом: сегодняшние преступники не просто крадут — они эксплуатируют самые современные инструменты Web3.

Что говорит ZachXBT? 🗣️

На своей платформе ZachXBT заявил:

“Это не первый раз, когда злоумышленник использует cross-chain мосты для отмывки. Но редко кто так явно демонстрирует свои действия.”

Он также отметил, что этот случай может стать поводом для усиления регулирования и контроля за cross-chain переводами со стороны регуляторов США и ЕС.

Как защититься от таких атак? 🔒

Этот случай показывает, что даже украденные средства можно отследить. Но лучше не попадать в ситуацию вовсе. Вот несколько советов:

• Используйте аппаратные кошельки для хранения;
• Не открывайте ссылки в Telegram, Discord или X;
• Проверяйте домены перед входом в любую платформу;
• Включите двухфакторную аутентификацию;
• Не используйте один пароль для всех аккаунтов;
• Регулярно анализируйте активность своих кошельков;
• Не соглашайтесь на “эксклюзивные инвестиции” от неизвестных источников.

Главное — помнить, что криптобезопасность начинается с вас. Ни одна система не идеальна, если сам пользователь не осознаёт рисков.

Где сейчас находятся средства? 📍

На момент написания статьи:

• $12.6 млн заблокированы через Binance и Chainalysis;
• $5.2 млн были возвращены благодаря отзыву транзакций в DeFi;
• $27.1 млн находились в пулах ликвидности;
• $30.1 млн — “в пути”, возможно, в новых сетях или мостах.

Сообщество продолжает отслеживать остатки средств, но уже ясно, что некоторые из них исчезнут навсегда.

Какие ещё примеры “троллинга” были в крипте? 🐍

Это не первый случай, когда хакеры обращаются к своим жертвам:

• В 2024 году хакер из Lazarus Group оставил сообщение: “пошлите мне $1K, и я верну вам $1M”;
• В том же году один из админов RugDoc был вынужден отозвать уязвимый контракт после угроз в свой адрес;
• В Incognito Chain было зафиксировано несколько случаев, когда преступники оставляли записи “ты близко?” в транзакциях.

Все эти события говорят о том, что киберпреступники становятся всё смелее и психологически агрессивнее.

Что дальше: новая эпоха цифровой войны 🚀

Аналитики предполагают, что:

• Количество атак через фишинговые страницы продолжит расти;
• Преступники будут использовать Web3-идентичность для дополнительного давления;
• Блокчейн-форензика станет полноценной отраслью с бюджетом в более $1.2 млрд в 2025 году;
• Регуляторы ужесточат контроль за cross-chain переводами и DEX.

Этот случай с Coinbase и THORChain — лишь один из многих, которые мы можем увидеть в этом году.

Заключение: кража — это не конец, а информация 🌟

Техническая сторона этого инцидента важна, но не менее важен другой факт: хакеры теперь провоцируют расследователей, считая, что могут выйти из игры победителями.

Важно помнить:

• Любое децентрализованное движение оставляет следы;
• Даже мосты не гарантируют полной анонимности;
• Новые методы защиты должны появиться не только в DeFi, но и в UX;
• Все транзакции в блокчейне — публичные;
• Сообщество остаётся главной силой против злоумышленников.

Brave, THORChain, Chainalysis и такие аналитики, как ZachXBT, доказывают: кража — не конец, она становится возможностью учиться, развиваться и делать мир крипты безопаснее.