Криптоатаки сентября 2025: хакеры похитили $127 млн — отчёт PeckShield

«Когда миллионы долларов могут быть украдены одним кликом, безопасность перестаёт быть технической проблемой. Это вопрос выживания всей экосистемы.»
— Хакан Унал, руководитель отдела безопасности Cyvers

В сентябре 2025 года индустрия криптовалют столкнулась с новой волной масштабных атак и мошенничеств. По данным аналитической компании PeckShield, за месяц было зафиксировано $127 миллионов убытков в результате взломов, эксплойтов и фишинговых схем. Этот показатель стал следующим этапом роста после $163 млн в августе, что указывает на устойчивую тенденцию увеличения как суммы, так и сложности киберпреступлений.

Наиболее крупными инцидентами месяца стали взлом протокола Hyperdrive на Hyperliquid (почти $700 тыс.) и предполагаемая атака на дочернюю компанию японского гиганта SBI Group, где пропали активы на сумму около $21 млн. Эти случаи подчеркивают, что ни централизованные биржи, ни децентрализованные финансы (DeFi), ни даже регулируемые финансовые структуры не застрахованы от киберугроз.

Как отметил Чарльз Гильем из Ledger: «Сегодня главный риск исходит не от кода, а от доверия. А доверие — самое хрупкое звено.»

🔍 Обзор убытков: что произошло в сентябре 2025

Согласно сводке PeckShield, общие потери в сентябре составили **$127 миллионов**, что, хотя и ниже пикового августа, всё равно остаётся высоким уровнем. За месяц было зафиксировано несколько десятков инцидентов, затронувших все сегменты Web3-индустрии.

Основные категории атак:

• Эксплуатация уязвимостей смарт-контрактов: ~45% всех убытков.
• Фишинг и wallet drainers: ~30% — включая атаки через поддельные расширения и приложения.
• Атаки на межсетевые мосты (cross-chain bridges): ~15% — наиболее разрушительные по последствиям.
• Социальная инженерия и внутренние угрозы: ~10% — включая причастность сотрудников и "наёмных" ИТ-специалистов из Северной Кореи.

Особую тревогу вызывает то, что злоумышленники всё чаще используют комбинированные стратегии: сначала получают доступ через фишинг или социальную инженерию, а затем эксплуатируют найденные уязвимости для вывода средств.

🚨 Крупнейшие инциденты месяца

Несмотря на снижение общей суммы убытков, сентябрь запомнился рядом знаковых атак.

🔧 Взлом HyperDrive на Hyperliquid (~$700 тыс.)

Протокол DeFi HyperDrive был скомпрометирован 27 сентября из-за уязвимости в маршрутизирующем контракте. Злоумышленник получил операторские права и смог манипулировать обеспечением, похитив более 670 000 USDT0 и 110 000 thBILL. Команда быстро отреагировала: сервис был восстановлен, а все пострадавшие пользователи полностью возмещены за счёт казначейства проекта.

🕵️‍♂️ Подозреваемый взлом SBI Crypto (~$21 млн)

Блокчейн-исследователь ZachXBT сообщил о масштабном выводе средств из кошельков, связанных с SBI Crypto, дочерней компанией японского финансового конгломерата SBI Group. Более чем $21 млн в BTC, ETH, LTC, DOGE и BCH были отправлены через мгновенные обменники и в конечном итоге попали в миксер Tornado Cash. Тактика характерна для северокорейской группы Lazarus, что породило серьёзные подозрения в государственной причастности.

💣 Падение SFUND на 99% из-за уязвимости моста

Проект Seedify’s SFUND потерял почти всю стоимость после того, как злоумышленник эксплуатировал уязвимость в кросс-чейн мосте, что позволило ему напечатать огромное количество токенов и сбросить их на рынок. TVL фонда рухнул, а цена $SFF упала с $0,43 до долей цента.

📉 Взлом UXLINK ($11,3 млн)

Web3-социальная платформа UXLINK была атакована через функцию delegateCall, что дало хакеру контроль над админ-кошельком. Было похищено около $11,3 млн в различных активах. Команда немедленно обратилась в полицию и начала работу с биржами по заморозке средств.

Как сказал представитель PeckShield: «Самые опасные атаки сегодня — это те, которые начинаются не с кода, а с доверия.»

⚠️ Главные причины и векторы атак

Анализ PeckShield и других исследовательских групп (Cyvers, Scam Sniffer) выявил основные причины, по которым происходят кражи.

🔐 Уязвимости в управлении (access control)

Более 78% убытков в первой половине 2025 года связаны с потерей доступа: кража приватных ключей, неправильная настройка multisig, использование .env файлов с секретами. Часто используется тактика «delegateCall», которая позволяет переопределять роли в контрактах.

🧪 Отсутствие аудита

Многие проекты (например, Kinto, Nemo Protocol) становятся жертвами из-за запуска неаудированных контрактов. Как показал инцидент с Nemo Protocol, уязвимость в функции `get_sy_amount_in_for_exact_py_out` могла быть легко обнаружена при стандартной проверке.

💉 Wallet Drainer-as-a-Service

Злоумышленники арендуют готовые фишинговые решения, такие как Vanilla Drainer или Pink Drainer, за $100–200 USDt в месяц. Эти сервисы предоставляют шаблоны сайтов, скрипты и даже поддержку, что делает атаки массовыми и доступными.

📱 Расширения и IDE как вектор атаки

Хакеры всё чаще атакуют разработчиков через поддельные расширения для VS Code, Cursor AI и браузеров. Как рассказал основатель Ethereum-проекта Зак Кол, он лично стал жертвой такой атаки, когда вредоносный плагин перехватил его тестовый кошелёк.

🌐 Мосты и мультичейн-инфраструктура

Кросс-чейн мосты остаются одной из самых уязвимых точек. Атаки на них позволяют быстро перемещать средства между сетями и затрудняют их отслеживание.

Как отметил Скотт Дьюк Коминерс из a16z: «Безопасность начинается не с кода. Она начинается с первого интервью.»

🛡️ Кто стоит за атаками: от одиночек до государственных групп

Индустрия столкнулась с эволюцией киберпреступности.

🕵️‍♂️ Группа Lazarus (Северная Корея)

По данным ООН и Chainalysis, эта группа похитила более $3 млрд с 2017 года. Её атаки нацелены на:

• Регулируемые платформы (Lykke, BtcTurk).
• Децентрализованные протоколы (Ronin Bridge).
• Поддельные вакансии для внедрения в команды.

💼 Фриланс-мошенники и drainer-сервисы

Группы вроде Vanilla Drainer действуют как SaaS-компании, предлагая услуги по краже средств. Один из их клиентов похитил у одного пользователя $3 млн за один раз.

🧑‍💻 Внутренние угрозы

Сотрудники, действующие как инсайдеры, или программисты из Северной Кореи, работающие удалённо, могут годами оставаться незамеченными, прежде чем совершить кражу.

Как сказал Паоло Ардоино из Tether: «Каждый доллар, украденный из Web3, финансирует не просто преступление. Он финансирует режим.»

✅ Реакция индустрии: как защититься?

Защита требует комплексного подхода.

🔧 Для проектов

• Обязательный аудит у таких компаний, как CertiK, Hacken, OpenZeppelin.
• Многоуровневая мультиподпись (multisig) для управления казначейством.
• Программа bug bounty с наградами до $500 000 за критические ошибки.
• Обучение команды основам кибербезопасности.
• Изолированные среды разработки и отказ от хранения секретов в .env файлах.

👤 Для пользователей

• Никогда не подтверждайте подпись без понимания её содержания.
• Используйте аппаратные кошельки для хранения основных средств.
• Отменяйте неиспользуемые разрешения (revoke approvals) через Revoke.cash.
• Устанавливайте только проверенные расширения из официальных магазинов.
• Не переходите по ссылкам из подозрительных сообщений.

🏛️ Для регуляторов и бирж

• Создание единой базы данных по инцидентам.
• Сотрудничество с Interpol, Europol, FBI.
• Заморозка депозитов, связанных с украденными средствами.

Как сказал Виталик Бутерин: «Когда вредоносное ПО выглядит как легальное, граница между пользователем и жертвой исчезает.»

📈 Тренды 2025 года: что меняется в мире кибербезопасности

Индустрия адаптируется к новым реалиям.

🤖 Использование ИИ

AI-системы анализируют поведение пользователей и контрактов в реальном времени, выявляя аномалии задолго до кражи.

🔗 Blockchain Abstraction

Технологии, позволяющие пользователям взаимодействовать с блокчейном без знания деталей, также помогают скрывать уязвимости. Но они же могут использоваться для создания более изощрённых фишинговых схем.

🏦 Рост числа страхований казначейства

Компании вроде Nexus Mutual предлагают страхование средств против хаков и rug pull, что даёт дополнительный уровень защиты.

⚖️ Ужесточение регулирования

FSA Японии, SEC США и MAS Сингапура усиливают требования к хранению активов и отчётности, особенно для платформ, работающих с RWA.

🤝 Международное сотрудничество

Разделение информации между компаниями и правоохранительными органами становится ключевым фактором успеха в борьбе с мошенниками.

Как сказал Эллисон Пирсон из Europol: «Когда мошенничество достигает размеров государственного бюджета, оно перестаёт быть преступлением. Это война.»

✅ Выводы: война за будущее финансов

Сентябрь 2025 года показал, что киберугрозы в криптоиндустрии не только не ослабевают, но и становятся всё более изощрёнными. Убытки в $127 млн — это не просто цифра. Это сотни проектов, тысячи пользователей и миллионы утраченных сбережений.

Ключевые выводы:

• В сентябре 2025 года убытки от криптоатак составили $127 млн (по данным PeckShield).
• Крупнейшие инциденты: взлом HyperDrive ($700 тыс.), SBI Crypto (~$21 млн), падение SFUND (99%).
• Основные причины — уязвимости в управлении, отсутствие аудита, фишинг и drainer-сервисы.
• Северокорейская группа Lazarus остаётся главной угрозой для индустрии.
• Защита требует многоуровневого подхода: аудит, multisig, обучение, revocation.
• Будущее — за ИИ, страховании казначейства и международном сотрудничестве.

Как сказал Андреас Антонопулос: «Будущее Web3 зависит не от скорости транзакций, а от способности противостоять самым изощрённым врагам.»

Конфликт за контроль над цифровыми активами продолжается. Он переместился из кода в офисы, из форумов в профили LinkedIn. И пока мы будем верить, что безопасность — это задача IT-отдела, наши двери будут открыты для тех, кто приходит с резюме, а не с брутфорсом. Настоящая защита начинается с осознания: каждый клик может стоить миллиона. И только тот, кто это помнит, сможет выжить в этом цифровом мире.