Lazarus похитил $23 млн и уничтожил британский стартап Lykke: вся правда

«Северокорейские хакеры — это не просто преступники. Это киберсолдаты, чьи атаки финансируют ядерную программу. Каждый краженный биткоин — это часть военной машины.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В конце 2024 года британский криптопроект Lykke, зарегистрированный в Великобритании и базирующийся в швейцарской «криптодолине» Цуг, был вынужден прекратить свою деятельность после масштабной кибератаки, в результате которой похищено $22,8 миллиона в криптовалюте. По данным британского Управления по финансовым санкциям (OFSI), атака была совершена группировкой Lazarus, действующей под прикрытием правительства Северной Кореи.

Этот инцидент стал одним из самых разрушительных для индустрии в 2024–2025 годах: не только из-за объёма кражи, но и потому, что привёл к банкротству основателя компании, остановке всех операций и волне судебных исков со стороны клиентов. Случай с Lykke вновь поднял вопрос о кибербезопасности криптоплатформ и о том, насколько уязвимы даже те компании, которые позиционируют себя как надёжные.

💥 Как прошла атака: от взлома до краха платформы

Lykke, основанная в 2015 году Ричардом Олсеном (правнуком основателя Julius Baer), долгое время позиционировала себя как инновационная биржа с нулевой комиссией за торговлю. Платформа привлекала внимание своей технологичностью и прозрачностью, однако в 2023 году британский Финансовый регулятор (FCA) уже предупреждал, что Lykke не авторизована для предоставления финансовых услуг в Великобритании.

Несмотря на это, платформа продолжала работать. Однако в конце 2024 года произошёл катастрофический сбой:

1. Взлом кошельков — злоумышленники получили доступ к горячим кошелькам платформы, где хранились средства клиентов.
2. Кража активов — было похищено значительное количество биткоинов (BTC), эфириума (ETH) и других токенов, что в сумме составило около $22,8 млн.
3. Остановка торгов — после атаки Lykke немедленно приостановила все операции по выводу средств.
4. Отказ от восстановления — компания не смогла вернуть средства, и в декабре 2024 года официально объявила о прекращении деятельности.

Британское правительство подтвердило, что атака была совершена кибероператорами из КНДР, связанными с Lazarus. Управление по финансовым санкциям (OFSI) включило кошельки, использованные в атаке, в санкционные списки.

🌐 Кто такие Lazarus и как они работают?

Группировка Lazarus — это элитная кибершпионская сеть, действующая под патронажем северокорейского правительства. Она была впервые идентифицирована в 2009 году и с тех пор стоит за десятками крупнейших кибератак, включая:

• Взлом биржи WannaCry (2017), похищено ~$140 млн.
• Атака на Ронин Сеть (2022), украдено $625 млн.
• Кража с Harmony Bridge (2022), $100 млн.
• Взлом HTX (Huobi) и KuCoin в 2024 году.

По оценкам ООН и Chainalysis, с 2017 по 2025 году Lazarus похитила более $3,5 миллиарда в криптовалюте. Эти средства используются для финансирования ядерной и ракетной программ КНДР, обхода международных санкций и поддержки военной экономики.

Особенность Lazarus — в сочетании высокотехнологичных хакерских методов и тщательного планирования. Группа часто использует:

• Фишинговые кампании против сотрудников.
• Вредоносные приложения и поддельные кошельки.
• Атаки на уязвимости в смарт-контрактах.
• Социальную инженерию для получения доступа к внутренним системам.

💸 Как Lazarus отмывает похищенные средства?

После кражи $22,8 млн Lazarus начала сложную операцию по отмыванию средств. По данным аналитических компаний Whitestream и TRM Labs, процесс включал несколько этапов:

🔄 Многоступенчатый вывод

Средства были разделены на сотни мелких транзакций и перемещены через десятки промежуточных кошельков, что затруднило отслеживание.

🧼 Использование миксеров

Часть средств была направлена через Tornado Cash и Wasabi Wallet, чтобы разорвать цепочку ончейн-анализа.

💱 Обмен через децентрализованные платформы

Злоумышленники использовали Uniswap, PancakeSwap, 1inch для обмена ETH на стейблкоины и перемещения между сетями (Ethereum → BSC → Polygon).

🏦 Вывод в фиат

Около $6–8 миллионов было конвертировано в наличные через высокорисковые биржи, включая Cryptex.net и Hotcoin Global, где KYC-процедуры минимальны. Часть средств была выведена в Китае и России.

Остальные $15 миллионов остаются в движении, и аналитики продолжают отслеживать их путь.

📉 Последствия для Lykke и её клиентов

Атака имела катастрофические последствия для всех сторон:

• Банкротство компании — швейцарская материнская компания Lykke в 2024 году была включена в процедуру ликвидации.
• Банкротство основателя — Ричард Олсен был объявлен банкротом в январе 2025 года.
• Юридические иски — более 70 клиентов подали коллективный иск в британские суды, требуя компенсации на сумму £5,7 млн.
• Криминальное расследование — Олсен стал фигурантом уголовного дела в Швейцарии, где ему могут предъявить обвинения в халатности и нарушении финансовых норм.
• Потеря доверия — случай стал примером в отчётах FCA, OFSI и Chainalysis как «провал кибергигиены и регуляторного контроля».

На момент закрытия у Lykke было около 25 000 пользователей. Многие из них потеряли все свои сбережения, так как платформа не имела страхового покрытия.

⚖️ Реакция властей и следствие

После инцидента британская National Cyber Security Centre (NCSC) и OFAC (США) начали совместное расследование. Были установлены следующие факты:

• IP-адреса, использованные в атаке, связаны с серверами в Китае, но принадлежат инфраструктуре, ранее ассоциированной с Lazarus.
• Ончейн-анализ подтвердил, что кошельки-получатели ранее использовались в атаках на Ронин и Harmony.
• США и Великобритания ввели санкции против нескольких кошельков, связанных с кражей.
• OFAC подтвердило, что средства используются для финансирования северокорейской ракетной программы.

Однако из-за анонимности криптовалют и отсутствия юрисдикции над КНДР шансы на возврат средств крайне малы.

🔐 Уроки для индустрии: как не повторить ошибку

Случай Lykke — не единичный. Он напоминает о фундаментальных правилах безопасности в Web3:

🔑 Используйте мультиподпись (multisig)

Кошельки с 2 из 3 или 3 из 5 подписей делают кражу практически невозможной без доступа к нескольким независимым устройствам.

🛡️ Храните ключи оффлайн

Приватные ключи никогда не должны находиться на серверах, доступных из интернета. Используйте аппаратные модули (HSM) и холодные кошельки.

💼 Страхование активов

Работайте с провайдерами вроде BitGo, Coinbase Custody, Nexus Mutual, которые предлагают страхование от хакерских атак.

📊 Внедряйте системы мониторинга

Установите автоматические алерты на крупные переводы, подозрительные логины и изменения в конфигурации.

🏛️ Получите регуляторную лицензию

Отсутствие авторизации FCA стало серьёзным недостатком для Lykke. Клиенты не могли рассчитывать на защиту со стороны государства.

🔮 Будущее безопасности: от реакции к проактивности

После атаки на Lykke многие платформы пересмотрели свои подходы к безопасности. В 2025 году наблюдается рост спроса на:

• Автономные кошельки с отменой транзакций — как у Safe{Wallet}.
• Onchain-аудиты в реальном времени — системы, отслеживающие подозрительные паттерны.
• Искусственный интеллект для обнаружения угроз — анализ поведения пользователей и транзакций.
• Децентрализованные модели хранения — где ни один участник не имеет полного доступа.

Как сказал Чарльз Гильем из Ledger: «С каждым взломом мы учимся. Но цена обучения слишком высока. Нужно переходить от реактивной к проактивной безопасности.»

✅ Выводы: кибервойна идёт, и каждый должен быть готов

Атака Lazarus на Lykke — это не просто кража. Это геополитическое событие, в котором частный стартап стал жертвой государственной киберармии.

Ключевые выводы:

• Никто не застрахован от атак, даже если вы считаете себя безопасным.
• Социальная инженерия остаётся главной брешью в системе.
• Криптовалюта — это свобода, но она требует максимальной ответственности.
• Безопасность — это не разовый выбор, а постоянный процесс.
• Регуляторная легитимность — ключевой фактор доверия.

Пока Lazarus и другие государственные хакерские группы используют криптовалюту для обхода санкций, индустрия должна отвечать не только технологиями, но и культурой безопасности. Потому что в мире, где один клик может уничтожить компанию, бдительность — это единственный надёжный щит.