$27M Кража криптовалютного кошелька выявляет критические уязвимости в мультиподписной безопасности

Недавний инцидент с нарушением безопасности разрушил криптовалютный кошелек Ethereum-кошелька крупного холостяка, в результате чего было утрачено более $27 миллионов в цифровых активах. Инцидент, впервые выявленный в ноябре 2025 года, служит ярким предупреждением о рисках неправильной настройки мультиподписных кошельков и неправильного управления приватными ключами в экосистеме криптовалют. Компания по безопасности блокчейна PeckShield обнаружила, что злоумышленник получил контроль над кошельком жертвы всего через шесть минут после его создания, выявляя фундаментальные пробелы в том, как даже опытные пользователи управляют своими криптоактивами.

Как одноподписная настройка обошла защиту мультиподписей

Ключ к этой катастрофе — критическая ошибка конфигурации: кошелек был настроен как “1 из 1” вместо настоящей мультиподписной схемы. В то время как мультиподписные кошельки предполагают необходимость нескольких одобрений для выполнения транзакций, эта конкретная настройка требовала только одну подпись — фактически сводя на нет всю безопасность. Когда приватный ключ был скомпрометирован, будь то через фишинг, вредоносное ПО или другие методы, злоумышленник не столкнулся с препятствиями для перемещения средств.

Что делает эту уязвимость еще более тревожной, так это то, что это была не ошибка в технологии кошелька сама по себе, а фундаментальная операционная ошибка при развертывании. Неправильное понимание жертвой требований мультиподписей превратило то, что должно было быть безопасной архитектурой, в единственную точку отказа. Эксперты по безопасности подчеркивают, что настоящая защита мультиподписей требует как минимум 2 из 3 или 3 из 5 схем, при которых приватные ключи распределены по нескольким изолированным устройствам, контролируемым разными сторонами.

Отслеживание $12.6 миллиона ETH через микс-сервисы

Как только злоумышленник получил доступ, он сразу начал перемещать украденные активы через Tornado Cash — сервис для микширования криптовалют, предназначенный для сокрытия транзакционных следов. Форензический анализ PeckShield показал, что примерно 4100 ETH (оцениваемых примерно в $12.6 миллиона по ноябрьским курсам) были переведены через миксер в серии транзакций.

Помимо Ethereum, хакер унес с собой несколько токенов, хранящихся в кошельке: WETH (Wrapped Ethereum), OKB (в настоящее время торгуется по $86.12), LEO (торгуется около $8.69) и FET (Artificial Superintelligence Alliance, около $0.18). Злоумышленник также сохранил примерно $2 миллиона в стейбкоинах и других ликвидных активах. В совокупности с другими активами, которые могли быть перемещены отдельно, эксперты по форензике оценивают общий объем кражи в более чем $40 миллионов, что делает этот случай одним из крупнейших взломов кошельков в истории DeFi.

Использование Tornado Cash — это сознательная попытка нарушить прозрачность блокчейна. Хотя это не делает транзакции полностью анонимными — аналитики блокчейна все еще могут выявлять подозрительные схемы — миксер значительно усложняет отслеживание средств и усилия правоохранительных органов по их возврату.

Позиция займа Aave создает риск каскадных ликвидаций

На момент взлома жертва разместила свои криптоактивы на платформе Aave, ведущей децентрализованной финансовой платформе. Скомпрометированный кошелек заложил примерно $25 миллионов в Ethereum в качестве залога, взяв взаймы около $12.3 миллиона в стейбкоинах DAI (поддерживающих курс $1.00).

Эта заемная позиция создает опасный вторичный риск. Текущий показатель здоровья кошелька — метрика, которая показывает, насколько близко позиция к принудительной ликвидации, — составляет 1.68. Это тревожно близко к порогу ликвидации в 1.0. Если цена Ethereum значительно снизится, позиция автоматически сработает, вынуждая продажу залога по потенциально невыгодным ценам. Это создает не только проблему для жертвы, но и системный риск для рынка в целом, поскольку принудительные ликвидации создают давление на продажу, которое может вызвать каскад других криптовалютных позиций.

Уроки по безопасности криптовалютных кошельков

Инцидент подчеркивает несколько критических ошибок безопасности, которых должны избегать пользователи криптовалют:

Векторы компрометации приватных ключей: Первоначальный взлом, скорее всего, произошел из-за вредоносного ПО на устройстве жертвы, фишинговой атаки на их учетные данные или плохих операционных практик. Злоумышленники все чаще используют сложные социальные инженерии для атаки состоятельных лиц в криптопространстве.

Офлайн-подписание и аппаратные кошельки: Специалисты по безопасности настоятельно рекомендуют использовать аппаратные кошельки или выделенные офлайн-устройства для подписания транзакций при управлении крупными криптоактивами. Это полностью изолирует приватные ключи от систем, подключенных к интернету, где могут работать вредоносные программы и фишинг.

Настоящая реализация мультиподписей: Правильно настроенный мультиподписной кошелек требует:

• минимум 2 из 3 или 3 из 5 подписей
• хранение приватных ключей на физических отдельных устройствах
• управление ключами разными сторонами (или одним человеком в разных географических локациях)
• регулярные аудиты безопасности настройки и конфигурации кошелька

Проверка вне пользовательского интерфейса: Пользователи должны проверять детали транзакций на аппаратном уровне, а не только через интерфейс, который теоретически может быть скомпрометирован или подделан.

Этот кража на сумму $27 миллионов — дорогостоящий урок для всей криптовалютной сообщества: даже проверенные практики безопасности, такие как мультиподписные кошельки, обеспечивают только ту безопасность, на которую они рассчитаны. Неправильно настроенный кошелек не дает больше защиты, чем стандартный одноподписной, и последствия могут быть разрушительными. Для тех, кто управляет значительными криптоактивами, этот инцидент подчеркивает, почему профессиональная инфраструктура безопасности — не опция, а необходимость.