Известный on-chain детектив ZachXBT опубликовал расследование, раскрывающее личность злоумышленника, похитившего около 40 миллионов долларов из официального кошелька правительства США. По его данным, атакующий — сын бывшего сотрудника компании-подрядчика, чьи криптоактивы ранее были конфискованы Министерством юстиции США (DOJ) в рамках операции по борьбе с незаконным оборотом цифровых активов.
💡 Ключевой факт: Украденные средства были переведены на биржи Kraken и Binance менее чем через 24 часа после взлома, что указывает на высокий уровень подготовки и заранее спланированную стратегию вывода.
В декабре 2025 года неизвестный злоумышленник получил доступ к приватному ключу от кошелька, использовавшегося правительственным агентством для хранения конфискованных криптоактивов. Кошелёк содержал преимущественно Ether и стейблкоины, накопленные в результате судебных решений против мошеннических DeFi-проектов и даркнет-маркетплейсов.
Атака не была результатом уязвимости в смарт-контракте или мосте. Вместо этого, по версии ZachXBT, злоумышленник воспользовался человеческим фактором — либо социальной инженерией, либо внутренней компрометацией, связанной с прошлыми сотрудниками системы управления активами.
«Самые дорогие уязвимости не в коде — они в людях, которые им управляют», — Брюс Шнайер, эксперт по кибербезопасности.
ZachXBT установил, что отец предполагаемого хакера работал в компании, которая ранее предоставляла услуги по управлению конфискованными криптоактивами для DOJ. В 2023 году эта компания потеряла контракт после скандала, связанного с ненадлежащим хранением ключей. Часть её активов была передана новому подрядчику, а часть — продана на аукционе.
Сын, по данным расследования, имел доступ к внутренней документации и, возможно, к резервным копиям ключей или процедурам восстановления. Это дало ему уникальное знание о структуре кошельков, используемых правительством.
Анализ транзакций показал следующую цепочку:
ZachXBT также отметил совпадение временных меток: первые попытки входа на биржевые аккаунты совпали с датой увольнения отца из компании-подрядчика.
После публикации расследования:
Однако значительная часть средств уже была конвертирована в фиат и выведена, что затрудняет полное восстановление ущерба.
По данным Chainalysis, в 2025 году хакеры начали всё чаще нацеливаться на конфискованные активы, осознавая, что такие кошельки часто управляются через устаревшие процессы и слабо защищены от внутренних угроз.
Примеры:
Эти инциденты подчеркивают необходимость пересмотра подходов к хранению государственных криптоактивов — включая обязательное использование аппаратных кошельков, многофакторную авторизацию и регулярный аудит подрядчиков.
Этот случай демонстрирует, что даже «самые надёжные» активы — те, что находятся под контролем государства — уязвимы, если процессы управления ими зависят от людей без должной проверки и ротации.
Для DeFi-сообщества это напоминание: децентрализация — не панацея. Без строгих стандартов custody и прозрачности даже миллионы долларов могут исчезнуть за минуты.
