$27M Крадіжка криптовалютного гаманця викриває критичні недоліки у багатофідній безпеці

Недавній інцидент із безпекою зруйнував криптовалютний гаманець Ethereum-крадія, що призвело до втрати понад $27 мільйонів у цифрових активів. Інцидент, вперше виявлений у листопаді 2025 року, слугує різким попередженням про небезпеки неправильно налаштованих мультиsig-гаманців та неправильного управління приватними ключами у криптовалютній екосистемі. Компанія з безпеки блокчейну PeckShield виявила, що зловмисник отримав контроль над гаманцем жертви всього через шість хвилин після його створення, що виявляє фундаментальні прогалини у тому, як навіть досвідчені користувачі керують своїми криптовалютними активами.

Як однопідписний налаштування перемогло захист мультиsig

Основою цієї катастрофи стала критична помилка у конфігурації: гаманець був налаштований як “1 з 1” підписний гаманець, а не справжній мультиsig. Хоча мультиsig-гаманці створені з урахуванням, що для виконання транзакцій потрібні кілька підтверджень, цей конкретний випадок вимагав лише один підпис — фактично знівелюючи всю перевагу безпеки. Коли приватний ключ був скомпрометований, будь то через фішинг, шкідливе програмне забезпечення або інші вектори, зловмисник не стикнувся з перешкодами для переказу коштів.

Що робить цю вразливість ще більш тривожною, так це те, що це була не помилка у технології гаманця сама по собі, а фундаментальна операційна помилка у розгортанні. Непорозуміння жертви щодо вимог мультиsig перетворило те, що мало бути безпечним архітектурним рішенням, у єдину точку відмови. Експерти з безпеки наголошують, що справжній захист мультиsig вимагає щонайменше 2 з 3 або 3 з 5 підписів, а приватні ключі мають бути розподілені між кількома ізольованими пристроями, контрольованими різними сторонами.

Відстеження $12.6 мільйонів ETH через міксінгові сервіси

Після отримання доступу зловмисник одразу почав переміщати викрадені активи через Tornado Cash — сервіс для змішування криптовалют, створений для приховування слідів транзакцій. Форензічний аналіз PeckShield показав, що приблизно 4100 ETH (оцінюваний у близько $12.6 мільйонів за листопадовими курсами) було пропущено через сервіс змішування у кілька етапів транзакцій.

Крім Ethereum, хакер забрав кілька токенів, збережених у гаманці: WETH (Обгорілий Ethereum), OKB (зараз торгується близько $86.12), LEO (торгується близько $8.69) та FET (Міжнародний альянс штучного інтелекту, коливається навколо $0.18). Зловмисник також зберіг приблизно $2 мільйони у стабільних монетах та інших ліквідних активах. У поєднанні з іншими активами, які могли бути переміщені окремо, експерти з форензіки оцінюють загальну крадіжку понад $40 мільйонів, що робить цю подію однією з найбільших зломів гаманців у історії DeFi.

Використання Tornado Cash є свідомою спробою порушити прозорість блокчейну. Хоча це не є абсолютною гарантією — аналітики блокчейну все ще можуть ідентифікувати підозрілі шаблони — сервіс змішування значно ускладнює відстеження коштів і ускладнює зусилля правоохоронних органів щодо їхнього відновлення.

Позиція позики Aave створює ризик каскадного ліквідаційного ланцюга

На момент злома жертва розмістила свої криптовалютні активи на платформі Aave, провідній децентралізованій фінансовій платформі. Скомпрометований гаманець надав приблизно $25 мільйонів у Ethereum як заставу, проти якої позичальник взяв приблизно $12.3 мільйонів у стабільних монетах DAI (зараз підтримує свій паритет у $1.00).

Ця позика з високим рівнем кредитного плеча створює небезпечний вторинний ризик. Поточний коефіцієнт здоров’я гаманця — метрика, що показує, наскільки близький стан до примусової ліквідації — становить 1.68. Це тривожно близько до порогу ліквідації у 1.0. Якщо ціна Ethereum суттєво знизиться, позиція автоматично спровокує ліквідацію, що призведе до продажу застави за потенційно несприятливими цінами. Це створює не лише проблему для жертви, а й системний ризик для ширшого ринку, оскільки примусова ліквідація створює тиск на продажі, що може спричинити каскадне падіння інших криптовалютних позицій.

Уроки безпеки криптовалютних гаманців

Ця атака підкреслює кілька критичних збоїв у безпеці, яких мають уникати користувачі криптовалют:

Вектори компрометації приватних ключів: Початковий злом, ймовірно, стався через шкідливе програмне забезпечення на пристрої жертви, фішингову атаку на їхні облікові дані або погані операційні практики безпеки. Зловмисники все частіше використовують складний соціальний інжиніринг для цілеспрямованих атак на високоприбуткових осіб у криптосфері.

Офлайн-підписання та апаратні гаманці: Експерти з безпеки настійно рекомендують користувачам, що керують великими криптовалютними активами, використовувати апаратні гаманці або спеціальні офлайн-підписувальні пристрої. Це забезпечує повну ізоляцію приватних ключів від систем, підключених до інтернету, де можуть діяти шкідливі програми та фішингові атаки.

Справжня реалізація мультиsig: Правильно налаштований мультиsig-гаманець вимагає:

• Мінімум 2 з 3 або 3 з 5 підписів
• Збереження приватних ключів на фізично окремих пристроях
• Управління ключами різними сторонами (або однією особою у різних географічних локаціях)
• Регулярних аудитів безпеки налаштувань і конфігурацій гаманця

Перевірка поза UI: Користувачі мають перевіряти деталі транзакцій на апаратному рівні, а не лише через інтерфейс користувача, який теоретично може бути скомпрометований або підроблений.

Ця крадіжка на суму $27 мільйонів є дорогим уроком для всього криптовалютного співтовариства: навіть усталені практики безпеки, такі як мультиsig-гаманці, забезпечують лише ту безпекову основу, на яку вони розраховані. Неправильна конфігурація гаманця не дає більшого захисту, ніж стандартний однопідписний, і наслідки можуть бути руйнівними. Для тих, хто керує значними криптовалютними активами, цей інцидент підкреслює, чому професійна безпекова інфраструктура є не опцією, а необхідністю.