Вход

Хакеры похитили $21 млн у SBI Crypto: следы ведут в Северную Корею

«Когда государство превращает своих программистов в цифровых солдат, граница между работой и шпионажем исчезает.»
— Хакан Унал, руководитель отдела безопасности Cyvers

В сентябре 2025 года стало известно о масштабной кибератаке на SBI Crypto, дочернюю компанию японского финансового гиганта SBI Group. По данным блокчейн-исследователя ZachXBT, злоумышленники похитили активы на сумму около $21 миллиона. Инцидент произошёл 24 сентября, когда кошельки, связанные с компанией, зафиксировали несанкционированный вывод средств, включавший Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Dogecoin (DOGE) и Bitcoin Cash (BCH).

После атаки средства были быстро перенаправлены через пять мгновенных обменников (instant exchanges) и в конечном итоге отправлены в Tornado Cash — миксер, запрещённый Минфином США за помощь в отмывании денег. Такая тактика характерна для хакерских групп, действующих под прикрытием государства, что породило серьёзные подозрения в причастности северокорейской группы Lazarus.

Как отметил Чарльз Гильем из Ledger: «Сегодня самый опасный сотрудник — это тот, чьё резюме выглядит слишком идеально.»

🔍 Что такое SBI Crypto: объект для крупных хакеров

SBI Crypto — это ключевой игрок в японском криптовалютном секторе, входящий в состав SBI Holdings, одного из крупнейших финансовых конгломератов Азии. Компания предоставляет услуги по торговле, хранению и управлению цифровыми активами для институциональных и частных клиентов.

Особенности компании:

  • Поддержка основных криптоактивов: BTC, ETH, XRP, DOGE и другие.
  • Регулируемый статус: лицензированная биржа в Японии, соответствует строгим требованиям FSA (Финансовое агентство Японии).
  • Глобальные амбиции: планирует расширение в Юго-Восточную Азию и Ближний Восток.
  • Тесная связь с традиционными финансами: интеграция с банковскими сервисами и фондами.

Именно этот статус делает SBI Crypto привлекательной мишенью: она хранит значительные объёмы активов и является частью доверенной финансовой системы, что увеличивает потенциальный ущерб при взломе.

⚡ Как проходила атака: пошаговый разбор

Анализ ZachXBT позволил восстановить цепочку событий, указывающую на высокую степень подготовки злоумышленников.

🔐 Этап 1: Получение доступа

Точные детали пока неизвестны, но возможные векторы:

  • Внутренняя утечка: один из сотрудников мог быть скомпрометирован или действовать как инсайдер.
  • Фишинговая атака: получение учётных данных через поддельные электронные письма или сайты.
  • Уязвимость в системе: эксплуатация ошибки в коде или API-интерфейсе.

💸 Этап 2: Несанкционированный вывод

Злоумышленники инициировали серию транзакций, переместив более чем $21 млн в различных криптоактивах с кошельков SBI Crypto.

🔄 Этап 3: Маскировка и отмывание

Для сокрытия следов была использована сложная схема:

  1. Первоначальные переводы на мгновенные обменники (например, ChangeNOW, SimpleSwap).
  2. Быстрая конвертация активов в ETH и BTC.
  3. Отправка в Tornado Cash для смешивания.

Этот путь затрудняет отслеживание и идентификацию конечного адресата.

🚨 Этап 4: Обнаружение и реакция

Инцидент был обнаружен ZachXBT, который опубликовал данные в Telegram. На момент отчёта компания не выпустила официального заявления, что вызвало волну беспокойства среди пользователей и инвесторов.

Как сказал представитель PeckShield: «Скорость и методичность атаки говорят о профессиональной команде. Это не любители.»

🌐 Почему подозревают Северную Корею: характерные черты DPRK

Хотя окончательное подтверждение требует расследования правоохранительных органов, несколько факторов указывают на причастность хакеров из КНДР.

🕵️‍♂️ Тактика "exchange-hopping"

Использование нескольких мгновенных обменников перед попаданием в миксер — классическая стратегия групп, связанных с Пхеньяном. Она позволяет обходить KYC-проверки и быстро перемещать средства.

🧃 Использование Tornado Cash

Северокорейские хакеры регулярно используют этот миксер. По данным Chainalysis, свыше 60% всех средств, похищенных DPRK, проходят через Tornado Cash.

💰 Финансирование режима

По оценкам ООН, киберпреступления обеспечивают до 30% доходов Северной Кореи. Эти средства используются для финансирования ядерных программ и обхода международных санкций.

🔗 История аналогичных атак

Группа Lazarus уже совершала нападения на японские и южнокорейские финансовые организации:

  • Взлом Ronin Bridge (2022): $625 млн у Axie Infinity.
  • Атака на KLAYswap (2024): $200 млн.
  • Компрометация Atomic Wallet (2023): $100+ млн.

Как отметил Паоло Ардоино из Tether: «Каждый доллар, украденный из Web3, финансирует не просто преступление. Он финансирует государство.»

⚠️ Последствия атаки: удар по доверию и рынку

Инцидент имеет серьёзные последствия, выходящие за рамки потерянных средств.

📉 Потеря доверия

Инвесторы и клиенты могут начать массово выводить средства из SBI Crypto, опасаясь повторения инцидента.

⚖️ Регуляторное давление

FSA Японии может потребовать проведения независимого аудита, временной приостановки операций или введения жёстких ограничений.

💼 Заморозка активов

Центральные биржи (CEX) могут заморозить депозиты, связанные с украденными средствами, что усложнит их ликвидацию, но также затронет невиновных пользователей.

🌍 Подрыв доверия к японскому рынку

Япония позиционирует себя как безопасная и регулируемая юрисдикция. Этот инцидент может повредить её репутации на глобальном уровне.

Как сказал Скотт Дьюк Коминерс из a16z: «Один взлом может стоить стране десятилетия работы над доверием.»

🛡️ Защита от подобных атак: уроки для индустрии

Чтобы предотвратить подобные катастрофы, необходим системный подход.

🔐 Для компаний

  • Многоуровневая аутентификация (multisig) для любых операций с деньгами.
  • Принцип минимальных привилегий: новым сотрудникам даются только необходимые права.
  • Регулярные пентесты и аудиты — как внутренние, так и внешние.
  • Обучение персонала основам кибербезопасности и социальной инженерии.
  • Система внутреннего доноса (whistleblower system).

👤 Для пользователей

  • Не храните все активы на CEX: используйте аппаратные кошельки для долгосрочных инвестиций.
  • Следите за новостями: подписывайтесь на алерты от Cyvers, Rekt.news, Chainabuse.
  • Проверяйте политику безопасности биржи: есть ли insurance fund, как часто проводятся аудиты.

🏛️ Для регуляторов

  • Ужесточение требований к хранению активов.
  • Создание единой базы данных по инцидентам для быстрого реагирования.
  • Международное сотрудничество между Interpol, Europol и FBI.

Как сказал Виталик Бутерин: «Когда вредоносное ПО выглядит как легальное, граница между пользователем и жертвой исчезает.»

🚨 Контекст: волна атак в 2025 году

Инцидент с SBI Crypto — часть тревожной тенденции.

Проект Сумма убытков Причина Результат
SBI Crypto $21 млн Взлом, вывод в Tornado Cash Расследование, подозрение на КНДР
Kinto $1,9 млн Неаудированный код Закрытие проекта
Nemo Protocol $2,6 млн Проигнорированная уязвимость Патч, план компенсации
Lykke $22,8 млн Атака Lazarus Group Закрытие, судебные иски
BtcTurk $48 млн Взлом Частичное возмещение

Как видно, даже крупные и регулируемые платформы остаются уязвимыми перед хорошо организованными атаками.

✅ Реакция сообщества и власти

На фоне инцидента усилилась координация между различными участниками экосистемы.

🔍 ZachXBT и Seal Team

Блокчейн-охотник продолжает анализировать следы, а его команда уже обнаружила 60 подозрительных IT-специалистов, связанных с КНДР, и предупредила десятки компаний.

👨‍💼 Чанпэн Чжао (CZ)

Бывший CEO Binance предупредил сообщество о тактике поддельных вакансий, используемых хакерами для проникновения в криптокомпании.

🏦 Crypto.com

CEO Kris Marszalek подтвердил, что компания усиливает проверку кандидатов и опровергает любые слухи о компрометации, подчёркивая важность прозрачности.

🏛️ Интерпол и Europol

Международные организации усиливают контроль за финансовыми потоками, связанными с КНДР, и добавляют новые адреса в санкционные списки.

Как сказал Эллисон Пирсон из Europol: «Когда мошенничество достигает размеров государственного бюджета, оно перестаёт быть преступлением. Это война.»

✅ Выводы: война за будущее финансов

Атака на SBI Crypto — это не просто потеря денег. Это тревожный сигнал для всей индустрии. Мы больше не живём в мире, где безопасность ограничивается паролями и двухфакторной аутентификацией. Теперь она включает проверку каждого резюме, каждого собеседования и каждого нового сотрудника.

Ключевые выводы:

  • Хакеры похитили $21 млн у SBI Crypto, дочерней компании SBI Group.
  • Средства были выведены через мгновенные обменники и Tornado Cash.
  • Тактика указывает на причастность северокорейской группы Lazarus.
  • Основные риски — внутренние угрозы, фишинг и уязвимости в системах.
  • Будущее безопасности — в проактивной проверке и автономных системах.
  • Индустрия должна объединиться для борьбы с государственными хакерами.

Как сказал Андреас Антонопулос: «Будущее Web3 зависит не от скорости транзакций, а от способности противостоять самым изощрённым врагам.»

Конфликт за контроль над цифровыми активами вышел за пределы кода и блокчейнов. Он переместился в офисы, на Zoom-собеседования и в профили LinkedIn. И пока мы будем верить, что безопасность — это только задача IT-отдела, наши двери будут открыты для тех, кто приходит с резюме, а не с брутфорсом. Защита Web3 начинается не с аудита смарт-контрактов, а с вопроса: «Кто вы на самом деле?»

02.10.2025, 01:23
Новости