Самое слабое звено в вашей криптобезопасности находится в зеркале

• Вторая по величине хакерская атака в истории Solana произошла из-за социальной инженерии.

• Технологии, облегчающие социальную инженерию, постоянно развиваются.

1 апреля 2026 года, как плохая шутка в День наивности, крупнейшая децентрализованная биржа фьючерсов на Solana была обманута в результате хакерской атаки, в результате которой было похищено около 285 миллионов долларов всего за 12 минут. Это была не ошибка в коде. Это не был эксплойт смарт-контракта. Это была чистая социальная инженерия, тщательно спланированный обман, который длился около полугода.

Drift Protocol, жертва хакерской атаки, подтвердила это в своем собственном заявлении: злоумышленники посещали конференции, проводили личные встречи, завоевывали доверие и убедили подписантов Совета безопасности (многофакторной аутентификации) предварительно подписать транзакции, которые казались рутинными. Эти подписи, благодаря постоянным nonce в Solana (функция, позволяющая создавать специальный счет авторизации, с которым можно предварительно подписать транзакцию и выполнить ее через долгое время), были выполнены через недели и позволили осуществить полный административный захват.

Средства пользователей, кредитные фонды и Фонд страхования были скомпрометированы. Затем более 230 миллионов USDC были переведены в Ethereum через Межсетевой протокол передачи Circle более чем в 100 атомарных транзакциях. Circle потребовалось более шести часов, чтобы отреагировать и заморозить что-либо. К тому времени ущерб был нанесен: вторая по величине хакерская атака в истории Solana, после атаки на Wormhole в 2022 году.

Но настоящая проблема заключается не только в сумме. Это то, что это раскрывает о текущем состоянии безопасности в индустрии криптовалют: человек, как никогда, является самым слабым звеном.

Неважно, сколько аудитов проводится смарт-контрактов; неважно, сколько подписантов включено в многофакторные контракты; неважно, сколько временных блокировок добавляется к транзакциям, на практике последним шагом всегда является человек. И, похоже, северокорейцы, которые часто подозреваются в этих атаках, знают это лучше всех.

Группа Lazarus (также известная как UNC4736, AppleJeus, Golden Chollima) уже много лет совершенствует эту тактику. Не только в отношении Drift. Согласно недавним отчетам, разработчики, связанные с Пхеньяном, в течение многих лет проникали в проекты с открытым исходным кодом, такие как SushiSwap, Harmony и даже Shiba Inu. Они использовали поддельные личности в GitHub, безупречные профили и медленные, последовательные вклады, чтобы получить доступ к исходному коду. Им не нужны были "волшебные" эксплойты. Только терпение и доверие людей.

В случае Drift это было еще более изощренно: шесть месяцев подготовки, личные встречи на конференциях, собственные депозиты для создания доверия и создание постоянных учетных записей nonce с 23 марта. Все это привело к атаке, которая длилась всего несколько минут 1 апреля. Elliptic и TRM Labs приписывают это с высокой уверенностью акторам, спонсируемым Северной Кореей, потому что они повторяют шаблоны, выявленные в предыдущих атаках.

Хотя такие атаки были возможны и в прошлом, искусственный интеллект и дипфейки повышают их до системного риска. Сегодня любой может купить в даркнете инструменты, такие как ProKYC, или комплекты для создания дипфейков в реальном времени, которые сочетают в себе замену лица с клонированием голоса. Достаточно 30-90 секунд публичного аудиозаписи человека, чтобы создать голос, который невозможно отличить от оригинала. Одна фотография и видеоролик продолжительностью 10 секунд достаточно для создания синтетической личности, которая проходит проверки KYC при видеоверификации в биржах и банках. Ткань реальности скомпрометирована, и, оказавшись в этой паутине, мы все в опасности.

На форумах даркнета нанимают специалистов для создания дипфейков. Источник: GK8.

Это уже не грубый фишинг с плохо написанными электронными письмами. Теперь это ваш "начальник", который звонит вам по Zoom с идеальным голосом и лицом, просит вас одобрить срочную, но рутинную транзакцию. Или ваш "друг" из команды трейдинга, который отправляет вам ссылку на встречу, где вас просят предварительно подписать что-то для ускорения управления. Кто это обнаружит? Обычный пользователь, управляющий своим кошельком на телефоне? Или подписант мультиподписи компании или DeFi-платформы в протоколе стоимостью сотни миллионов? Любой может попасться.

Что произойдет, когда этот же вектор будет направлен на крупных традиционных игроков, которые выходят на рынок через токенизацию реальных активов? Представьте себе сценарий: JP Morgan токенизирует фонды денежного рынка в Ethereum. Credit Suisse выпускает институциональные стейблкоины или токенизированные депозиты. Суверенный фонд или центральный банк экспериментируют с CBDC в DeFi. Будут ли они пользоваться уважением со стороны Lazarus?

Только в 2025 году Северная Корея украла более 2 миллиардов долларов в криптовалюте по данным Chainalysis, что на 50% больше, чем в 2024 году. Это деньги, которые финансируют ракеты, оружие и ядерную программу режима.

Когда взлом произойдет не на DEX на Solana, а в инфраструктуре, связанной с Wall Street, реакция не будет заключаться в безнаказанности и возмущенных твитах. Это будет инцидент национальной безопасности. И дискурс изменится от "сбоя DeFi" к "акту агрессии".

Основная проблема во всех случаях одна и та же: цифровой и автоматизированный мир по-прежнему зависит от человеческих решений. ИИ ускоряет все: от написания электронного письма или создания бизнес-плана до социальной инженерии; все это становится дешевле, более масштабируемым и почти не поддается обнаружению в режиме реального времени. И сложность этих технологий постоянно растет.

Мы уже видели ужасающие случаи подмены личности в прямых эфирах во время звонков Zoom, как это произошло с соучредителем сети Polygon, Sandeep Naiwal, ссылка, или с соучредителем Manta Network, Kenny Li ссылка. В обоих случаях целью было убедить жертву установить файл, который оказался вредоносным ПО, крадущим криптовалюту. В других случаях северокорейские агенты и организованные преступные группировки использовали дипфейки для подмены личности соискателей на удаленную работу, успешно получив доступ к внутренним системам в различных секторах.

Согласно данным Chainabuse, инструменту отчетности о мошенничестве от TRM Labs, мошенничество, облегченное генеративным искусственным интеллектом, увеличилось на 456% в период с мая 2024 года по апрель 2025 года по сравнению с аналогичным периодом с 2023 по 2024 год.

[Изображение SVG] Мошенничество с использованием генеративного ИИ переживает бум. Источник: TRM Labs.

Не существует "волшебной пули" в виде технологического решения. Проверка за пределами интернета, такая как реальные телефонные звонки по проверенным каналам или личные встречи для подписания важных документов, дорога и медленна, и, тем не менее, она не всегда может предотвратить мошенничество. Хотя образование может помочь снизить риск, исследования показывают, что оно не является надежной защитой от мошенничества и хакерских атак, поскольку жертвами часто становятся люди с высшим образованием, даже успешные профессионалы, независимо от пола, возраста и социального класса.

Ведущие компании по проверке личности перешли к многоуровневым системам, сочетающим передовую биометрию, анализ в режиме реального времени и аналитику на основе блокчейна.

Компания Sumsub, специализирующаяся на KYC (Know Your Customer) для криптовалют, предлагает инструменты для обнаружения дипфейков в видео в режиме реального времени (а не только на статичных изображениях) с точностью 99,98%. Она выпустила открытую и бесплатную модель машинного обучения под названием "For Fake's Sake", которая обнаруживает дипфейки и синтетическое мошенничество. В 2025 году компания интегрировала свое решение Crypto Monitoring с TRM Labs, чтобы объединить проверку личности с анализом рисков на основе блокчейна в единой панели управления. Это позволяет блокировать транзакции на кошельки с высоким уровнем риска до их выполнения.

Reality Defender, признанная Gartner лидером в области обнаружения дипфейков, предлагает многомодальный API, который анализирует голос, изображение и текст в режиме реального времени и уже интегрирован в платформы видеосвязи и KYC криптовалютных бирж.

Однако для обычного пользователя первая и самая мощная линия защиты – это недоверие и проверка. Никогда не доверяйте видеозвонку, голосу или видео без независимой проверки: если кто-то просит вас отправить криптовалюту, позвоните по номеру, который вы уже знаете, а не по тому, который вам предоставляют в этот момент. Установите "слова безопасности" с членами семьи, друзьями или коллегами, чтобы подтверждать личности в чрезвычайных ситуациях. Во время подозрительного звонка попросите сделать что-то непредсказуемое – повернуть голову в сторону, подержать случайный предмет или ответить на личный вопрос, который не был отрепетирован, поскольку дипфейки в режиме реального времени все еще часто не справляются с синхронизацией и неожиданными ракурсами.

Drift был предупреждением, напоминанием о том, что в криптовалютах самая большая уязвимость не в коде. Она в нас самих. И пока мы будем доверять тому, что человек, находящийся на другой стороне транзакции, является тем, кем он себя называет, Lazarus – и любой, у кого есть доступ к даркнету и подписка на Midjourney – будут продолжать иметь возможность получить доступ к вашим криптовалютам.

Метки: Bitcoin (BTC) Криптовалюты Рекомендовано Искусственный интеллект (ИИ) Мошенничество и кража

У вас есть важная информация для наших журналистов? Свяжитесь с нами