«Атаки стали сложнее, атаки стали более продуманными»

С какими новыми вызовами в сфере безопасности столкнулись криптопроекты за первое полугодие 2025 года и как реагировать на эти вызовы не только профессионалам, но и рядовым пользователям? Об этом читайте в интервью с директором по расследованиям «Шард» Григорием Осиповым, впервые вышедшем в июльском выпуске FLMonthly.

ForkLog: Как у специалиста в сфере кибербезопасности у вас прибавилось работы в 2025 году?

Григорий: Активность хакеров существенно возросла в сравнении с прошлым годом. Число обращений растет, все больше людей становятся жертвами атак и мошеннических действий. 

Если предварительно говорить о цифрах за полгода, с учетом Bybit причиненный в первые шесть месяцев 2025 года ущерб криптоиндустрии сравнялся с показателем полного 2024 — приблизительно $2,1 млрд. При этом на данный момент зафиксировано около 200 более-менее крупных взломов.

Без учета Bybit (~$1,4 млрд) показатели за прошлый и этот год были бы примерно равны. Но, естественно, он все предопределил и существенно повысил ставки. 

Также сопоставимо выросло и число пострадавших. Но тут необходимо отметить и другой фактор: в большинстве случаев сегодняшние взломы еще и латентны.

Многие платформы и проекты, которые стали объектами атаки, не спешат сообщать об инциденте. Сообщество узнает о них от блокчейн-детективов. Это несет репутационные и экономические риски. То есть клиенты, поняв, что сервис ненадежный, скорее всего, туда уже не придут. 

ForkLog: Как бы вы охарактеризовали текущий ландшафт угроз в сфере криптобезопасности: какие типы атак стали наиболее распространенными и опасными?

Григорий: Атаки стали сложнее, атаки стали более продуманными, атакующие инструменты тоже усложнились, в том числе с помощью искусственного интеллекта. 

Наиболее распространенный вид на сегодня — социальная инженерия плюс фишинг. То есть, манипулирование сотрудниками криптосервисов или работниками компаний для проникновения в уязвимые системы. Таким образом происходит своеобразное соединение социальных и традиционных методов взлома. 

На втором месте уязвимости смарт-контрактов. К ним относятся все атаки, которые касаются децентрализованных сервисов. 

Третье — это, наверное, использование ликвидности в проектах для манипулирования рынком. И последней из самых основных видов атак — уязвимости в мультисиг-кошельках. С ней как раз частично связан взлом Bybit

Если обобщать, то 2025 год характеризует усиление вектора, связанного с социальной инженерией. Получается, не просто совершается атака на какой-то сервис, а предварительно сбор информации об этом сервисе, отработка сотрудников, изучение информационного поля и даже создание дипфейков. 

ForkLog: Как «эволюционируют» злоумышленники и насколько хакеры стали скоординированней?

Григорий: Относительно предыдущих периодов наблюдается тенденция, связанная с преобладанием группировок над отдельными «личностями-энтузиастами». Во-первых, это связано с масштабностью. 

Взломы Bybit, Femex и иранской криптобиржи Nobitex — все они крупные и запланированные. Подобное требует высоких навыков и координации усилий на разных направлениях, в том числе необходим доступ к техническим инструментам и финансированию. То есть на это должен быть какой-то бюджет.

Время одиночек, конечно, еще не прошло, но тенденция идет к групповым организованным взломам.

Касательно «эволюции» я уже говорил про социальную инженерию. Теперь хакеры сначала изучают профили жертв, используют взломанные аккаунты для фишинговых рассылок, розыгрышей, фейковых токенов и так далее. 

Также используют компрометации аккаунтов различных публичных персон, запуская скам-токены или аирдропы. Недавно осуществили фишинговую атаку в отношении CoinMarketCap — подменили фронтенд. Это говорит о том, что даже крупные сервисы могут подвергаться взломам.

Участились и «инсайдерские угрозы», то есть внедрение своих людей в компании для получения доступа к внутренним системам или ключам шифрования. В DeFi, кстати, такое тоже присутствует.

Есть также атаки на сотрудников. Их суть заключается в отправке поддельного файла, например, «тестового задания» с вредоносным кодом, который уже создает брешь в системе безопасности.

Что касается ИИ, то его хайп, наверно, намного выше, чем реальное применение. Во многих аналитических отчетах искусственный интеллект действительно превозносится как тот инструмент, который злоумышленники-хакеры постоянно используют и с помощью него совершают атаки. Но, к счастью, реальность немного другая.

Понятно, что нейросети используются для составления фишинговых писем или создания фейковых сайтов. Но это лишь инструмент для подготовки. Пока количество взломов, полностью совершенных с помощью ИИ, равно нулю. 

ForkLog: А куда пропал криптоджекинг? 

Григорий: Мне кажется, это тоже больше хайп-история. В духе: ваше оборудование может быть использовано для майнинга, ваши мощности генерируют другим криптовалюту, вы об этом даже ничего не знаете, а компьютер сильно тормозит. 

Это было действительно актуально в 2017–2018 годах, когда можно было майнить на CPU или домашней видеокарте. Сейчас такой метод не слишком актуален и заработать на нем практически невозможно. 

Теперь для хакера куда интересней собрать информацию с компьютера жертвы о криптоадресах и ключах доступа, чем заниматься так называемым криптоджекингом. 

ForkLog: Все чаще в крупных атаках замешаны государственные хакерские группировки вроде Lazarus. Насколько это опасная угроза в долгосрочной перспективе? Что будет, когда у каждого государства появится собственная  «армия хакеров»?

Григорий: Появление государственных хакерских группировок тоже своеобразный новый тренд. Lazarus Group достаточно давно существует и является ярким представителем направления.

Чем больше криптовалюта будет интегрироваться в мировую экономическую систему, тем, естественно, будет больше таких группировок возникать. Для правительственных структур выгоднее их контролировать и использовать в своих интересах, чем прекращать их деятельность. 

По сути, это элемент информационной войны, и тот же взлом Nobitex произраильской командой подсвечивает историю. В данном случае явно имел место манипулятивный взлом, цель которого заключалась не в обогащении, а в нанесении ущерба иранской инфраструктуре.

Что будет, если каждое государство соберет «армию хакеров», такие кибергруппировки? Скорее всего, продолжение информационной кибервойны. Откроется новое поле деятельности, поэтому страны будут прибегать к новым ухищрениям и создавать кибероружие.

Соответственно, чем государство мощнее в экономическом плане, тем больше оно будет инвестировать в подготовку и создание кибергрупп. 

Кто будет туда входить и на какой основе, сказать трудно. Но это тот мир, который нас ждет, если сфера цифровых платежей продолжит развиваться. Поскольку интернет и цифровые технологии активно внедряются в нашу жизнь, то борьба перейдет туда, и такие группировки станут просто единицами, представляющими интересы отдельной стороны.

Понятно, что появятся некие элементы хаоса. Будут группировки и государственные, и межгосударственные, и идеологические, и, возможно, даже религиозные. 

ForkLog: Где сейчас сосредоточены основные риски — в CeFi или DeFi?

Григорий: Это риски разного порядка. Если говорить с точки зрения пользователя, то децентрализованные финансы кажутся более уязвимыми. Там нет регулирования, а DeFi-протоколы всегда были на первых местах по взломам относительно других платформ.

В основном атаки происходят из-за уязвимостей в смарт-контрактах или манипуляций с оракулами. Кроме того, ошибки могут совершать и сами представители децентрализованных платформ. 

А с централизованными биржами следующая история. Помимо риска кибератаки, следует учитывать и регулирование. Второе, скорее, связано с желанием пользователя оставаться независимым и конфиденциальным, а процедуры вроде KYC мешают этому.

Было много случаев, когда клиентам централизованных бирж замораживали актвы, которые возможно «вытащить» только с юридической помощью. 

Подводя итог, риски есть везде, поэтому следует с осторожностью взаимодействовать и с CeFi, и с DeFi. 

ForkLog: А что делать, когда приходит «письмо от Ledger»? Складывается впечатление, что для криптопользователей офлайн-скам в новинку. 

Григорий: Да, сейчас, к сожалению, большое количество взломов и мошенничеств совершается от лица официальных представителей сервисов. Хакеры и злоумышленники активно используют этот механизм, чтобы убеждать пользователей предоставить свои ключи или пройти по какой-то ссылке.

Число таких случаев только возрастает. У нас как раз недавно была подобная история. Человек хотел получить работу в Германии, и ему для подтверждения доходов предложили сделать справку на Bybit через электронное письмо, а затем украли доступ к его аккаунту и деньги.

Тут можно привести аналогию: криптосервисы — это те же самые банки или другие подобные структуры, которые по своей инициативе напишут вам в очень редких случаях. Практически никогда биржа не напишет вам и не предложит пройти по каким-то ссылкам.

Общий принцип безопасности — если вы получили письмо, в котором платформа требует совершить определенные действия, необходимо через официальные каналы поддержки перепроверить эту информацию.

ForkLog: Какие базовые, но критически важные меры безопасности должен соблюдать каждый держатель криптовалют? 

Григорий: Не хочется быть банальным, рассказывать про надежные пароли и двухфакторную аутентификацию, про создание и хранение ключей и сид-фраз. 

Один из лучших способов обеспечить безопасность криптоактивов — использовать отдельный телефон или устройство для работы с ними. Смартфон сейчас является главным местом, где у большинства из нас хранятся монеты.

Если вы не выбираете холодный кошелек для хранения криптовалюты, то выбирайте отдельный мобильный телефон, который предназначен под эти цели. Не используйте криптоприложения на личном устройстве, поскольку на нем могут находится другие менее безопасные программы. 

Кроме того, помните о регулярном обновлении программного обеспечения, следите за кибергигиеной, включая установку Firewall и антивирусов. Сейчас есть программы-защитники, которые работают против пылевых атак с подменой адреса на похожий. 

Чаще всего пользователи ошибаются именно в цифровой гигиене. Не надо фотографировать и хранить в заметках пароли или сид-фразы.

Но все эти проблемы меркнут, когда человек попадает под психологическую обработку со стороны мошенников. Если он цепляется к ним на крючок, большинство мер безопасности он сам же и нарушит под давлением. 

ForkLog: А насколько надежны аппаратные кошельки? 

Григорий: Их степень защиты действительно высокая. Из всех способов хранения активов этот, вероятно, самый безопасный. 

Однако в погоне за дешевизной люди могут совершить ошибку. Часто на маркетплейсах появляются поддельные или модифицировнные устройства, которые крадут ваши средства. Старайтесь покупать холодные кошельки только через официальных поставщиков. 

ForkLog: Помогают ли регуляторные меры в обеспечении кибербезопасности (AML/KYC/лицензирование)?

Григорий: Мы уже говорили, что есть два лагеря. Централизованная криптобиржа зависима от регулятора и применяет свои комплаенс-политики для проверки идентификации у клиента.

Крупная биржа вам уже не дает полный доступ, как это было три-четыре года назад. И злоумышленники тоже понимают все нюансы. Понятно, что с точки зрения паранойи нас всех чипируют, идентифицируют, все наши данные внесут в реестры и через различные сервисы контролирующие органы узнают, сколько у нас доходов, как мы им пользуемся и так далее.

Но если быть проще, злоумышленники понимают, что вывести средства на централизованную биржу значит быть идентифицированными. Даже если там используются аккаунты на дропа, все равно остаются сведения об IP-адресах и возможность вычислить человека.

Поэтому использование сервисов, которые соблюдают такие процедуры, в глобальном плане снижает риски отмывания средств, а AML-системы получают возможность окраски адресов, которые связаны с криминалом.

Идея достаточно благая. Другой вопрос, как это реализовано с учетом проблем в межнациональных отношениях и отсутствия регулирования.

С другой стороны, злоумышленники, которые понимают, что централизованными биржами для вывода средств пользоваться нельзя, поэтому они пойдут туда в редких случаях. В основном используются миксеры и DEX.

ForkLog: Поделитесь одним самым важным советом по безопасности в 2025 году.

Григорий: Единый совет, наверное, сложно дать. Для пользователя это DYOR — проводите собственное расследование. Никакие площадки и платформы в этом не заинтересованы, кроме вас самих. 

Все хотят заработать, привлечь пользователя. Сервисы, конечно, думают о безопасности и репутации, но человек все равно сам выбирает, куда ему вложить средства.

Для проектов и платформ моя рекомендация заключается в системной защите данных. Кибербезопасность выходит на новый уровень. Это уже не просто установили какую-то защиту, провели аудит, и на этом все закончилось.

Важна активная системная защита, поскольку угрозы постоянно совершенствуются. Поэтому противодействие должно быть на соответствующем уровне.