1100 мільйонів шифрування монет зазнали нападу, фізичні атаки стають основною загрозою

Автор: Ліам Акіба Райт

Переклад: Саорша, Foresight News

За повідомленням газети “Сан-Франциско Хронікл”, приблизно о 6:45 ранку 22 листопада, підозрюваний, який видавав себе за кур'єра, увійшов до житлового будинку в районі “Місія Долорес”, розташованого поблизу вулиць 18 і Долорес, контролюючи мешканців, вкрал мобільний телефон, ноутбук та близько 11 мільйонів доларів США у криптовалюті.

Станом на неділю, поліція Сан-Франциско досі не оголосила про арешт жодної особи і не надала конкретних деталей про вкрадені активи, наразі також не розкрито, до якої блокчейн-мережі чи токена належить залучена криптовалюта.

Фізичні напади на власників криптовалют не є поодинокими випадками, і тривожна тенденція поступово проявляється.

Раніше ми повідомляли про подібні випадки, зокрема: в Великобританії стався випадок з пограбуванням із сумою 4,3 мільйона доларів; в районі Сохо в Нью-Йорку стався випадок викрадення та катувань, спрямованих на примушення жертви видати доступ до біткойн-гаманця; зростання кількості випадків викрадення, пов'язаних з криптовалютою, у Франції та заходи, вжиті урядом; відомі власники криптовалюти (такі як «сім'я біткойнів») вживають екстремальних заходів безпеки, розподіляючи мнемонічні фрази гаманців на кількох континентах; тенденція до найму охоронців серед інвесторів з високим статком у криптовалюту; а також аналіз тенденцій «атаки з гайковим ключем» (методу насильницького отримання криптовалюти) і переваг та недоліків самостійного зберігання криптовалюти.

Після пограбування розпочато трасування в мережі.

Навіть якщо грабіж починається з дверей дому, крадені гроші часто все ще будуть циркулювати у відкритому реєстрі блокчейнів, що робить можливим їх відстеження — цим виникає «змагання»: з одного боку, це зміна каналів відмивання грошей, а з іншого — інструменти замороження та відстеження, які до 2025 року вже стали дедалі досконалішими. А USDT на TRON залишається ключовим фактором у цій «змаганні».

Цього року, завдяки співпраці між емітентами токенів, блокчейн-мережами та компаніями з аналізу даних, здатність всієї галузі заморожувати незаконні активи значно покращилася. Згідно з доповіддю «T3 відділу фінансових злочинів», з кінця 2024 року вже заморожено криптовалюти на кілька сотень мільйонів доларів.

Якщо в викрадених коштах є стейблкоїни, ймовірність тимчасового зупинення обігу коштів значно зросте — оскільки великі емітенти стейблкоїнів співпрацюватимуть з правоохоронними органами та партнерами з аналізу даних, щоб після отримання повідомлення занести відповідні адреси гаманців у чорний список.

Більш широкі дані також підтверджують точку зору, що “стейблкоїни є вибором інструментів для незаконних фінансових потоків”. Звіт про злочинність Chainalysis за 2025 рік показує, що у 2024 році стейблкоїни становили близько 63% від загального обсягу незаконних угод, що є значною зміною в порівнянні з попередніми роками, коли BTC та ETH домінували у каналах відмивання грошей.

Ця зміна є критично важливою для повернення коштів: оскільки централізовані емітенти стабільних монет можуть блокувати транзакції на рівні токенів, а коли кошти посередника входять на етап, де потрібно виконати процедуру KYC, централізовані платформи (наприклад, біржі) стають додатковими “вузлами перехоплення”.

Водночас Європейське агентство з правоохоронних органів попереджає, що організовані злочинні групи використовують штучний інтелект для вдосконалення своїх методів злочинної діяльності — це не лише скорочує час відмивання грошей, але й автоматизує розподіл коштів через мережі блокчейн та різні платформи послуг. Якщо вдасться визначити цільову адресу крадених коштів, ключовим моментом дії є якомога швидше сповіщення емітента токенів та бірж.

З макроекономічної точки зору, ситуація зі збитками жертв продовжує погіршуватися.

Записи «Центру скарг на Інтернет-злочини», що підпорядковується Федеральному бюро розслідувань США (FBI), показують, що у 2024 році збитки від кіберзлочинів та шахрайства досягли 16,6 мільярда доларів, при цьому випадки шахрайства з інвестиціями в криптовалюту зросли на 66% у порівнянні з попереднім роком. У період з 2024 по 2025 рік випадки фізичного примусу до власників криптовалюти (іноді називаються «нападом з використанням ключа») привернули більше уваги — ці випадки часто поєднують домашні грабежі, викрадення SIM-карт (отримання контролю над чужою SIM-картою шляхом шахрайства) та соціальну інженерію. Компанія TRM Labs (компанія з безпеки блокчейну) зафіксувала відповідні тенденції таких кримінальних викрадень.

Незважаючи на те, що ця справа в Сан-Франциско стосується лише одного житлового будинку, схема злочину має репрезентативний характер: вторгнення в пристрій → примушення жертви до переказу коштів або експорту приватного ключа → швидке розподілення коштів на ланцюзі → перевірка можливості виведення коштів.

Нові регуляторні політики штату Каліфорнія в США додали ще один вимір до цієї справи. Закон про цифрові фінансові активи штату набирає чинності в липні 2025 року і надає Департаменту фінансового захисту та інновацій повноваження видавати ліцензії та здійснювати нагляд за діяльністю певних криптовалютних бірж та зберігачів.

Якщо будь-який «канал виходу» (що означає канали обміну криптовалюти на фіатну валюту), пов'язаний з бізнесом у Каліфорнії, контакт з цим набором вкрадених коштів, то регуляторна рамка «Закону про цифрові фінансові активи» може підтримати їх співпрацю з правоохоронними органами. Хоча це не є прямим методом повернення самоврядуваних активів, це вплине на контрагентів, на яких зазвичай покладаються злодії для обміну криптовалюти на фіатну валюту.

Зміни політики в інших регіонах також вплинуть на подальший розвиток справи

Згідно з юридичним аналізом юридичної фірми Вінабл, Міністерство фінансів США 21 березня 2025 року виключило міксер Tornado Cash зі «спеціального списку осіб» (список осіб або організацій, що підлягають санкціям США), це коригування змінило вимоги щодо відповідності при взаємодії з кодовою базою цього міксера.

Але ця зміна не легалізувала відмивання грошей і не знизила аналітичність транзакцій у ланцюгу.

Проте, це дійсно послабило раніше чинний «стримуючий фактор», який змушував деяких учасників переходити на інші міксери або кросчейн-мости. Якщо вкрадені кошти використовуються перед виведенням через традиційний міксер або переносяться через кросчейн-мост до стейблкоїнів, тоді робота з відстеження коштів та перший етап ініціації KYC залишаться ключовими моментами справи.

Оскільки адреса гаманця, що підлягає розгляду, ще не була оприлюднена, торговельна платформа може спланувати майбутні заходи на 14-90 днів навколо трьох основних шляхів. Нижче наведена таблиця, основана на ринковій структурі та регуляторній ситуації 2025 року, яка містить «модель трансферу первинного капіталу», показники, на які слід звернути увагу, а також ймовірнісні діапазони замороження та повернення коштів:

Хронологію справи можна визначити на основі вище наведеної моделі.

Протягом перших 24-72 годин необхідно зосередити увагу на об'єднанні коштів та їх ранньому переміщенні. Якщо адреса, що бере участь у справі, стала відома, і кошти містять стейблкоїни, слід негайно повідомити емітента про початок перевірки в чорному списку; якщо кошти існують у формі біткоїнів або ефірів, потрібно стежити за рухом змішувачів, кросчейн-мостів, а також за тим, чи буде перед виведенням у фіатні гроші здійснено перехід на USDT.

Згідно з процесом співпраці «Центру скарг на інтернет-злочини», якщо на місцях, де потрібно виконати KYC, надходять кошти, зазвичай протягом 7-14 днів буде надіслано «Лист про збереження активів» і заморожено відповідні рахунки біржі.

Протягом 30-90 днів, якщо з'являться шляхи торгівлі приватними монетами, увага розслідування зосередиться на позачергових доказах, включаючи експертизу пристроїв, записи комунікацій та сліди схем «підробленої доставки» — також у цій фазі поступово просуватимуться роботи з відстеження фінансів від TRM Labs та подібних установ.

Дизайн гаманця продовжує вдосконалюватися, щоб протистояти ризику фізичного примусу.

У 2025 році сфера застосування «гаманця для багатосторонніх обчислень» та «гаманця з абстракцією облікового запису» буде ще більше розширена, з новими функціями, такими як контроль стратегій, відновлення без насіння, щоденний ліміт на перекази та багатофакторний процес затвердження — ці рішення можуть зменшити ризик «одиночної точки витоку» приватного ключа під час фізичних загроз (тобто приватний ключ не буде розкритий через один пристрій або етап).

Функції «тимчасового замка» (який означає механізм затримки виконання угоди) та «ліміту витрат» на рівні контракту можуть уповільнити швидкість переміщення коштів великої вартості, а якщо рахунок буде вкрадено, створять вікно часу для попередження емітента або біржі.

Ці заходи захисту не можуть замінити основні норми безпеки в використанні пристроїв та домашній безпеці, але можуть зменшити ймовірність успішного викрадення коштів, коли злодій отримує доступ до мобільного телефону або ноутбука.

Звіт газети «Сан-Франциско Хронікл» вже надав основні факти справи, але офіційний веб-сайт поліції Сан-Франциско ще не опублікував спеціальне оголошення щодо цієї справи.

Подальший розвиток справи залежатиме від двох основних факторів: по-перше, чи буде оприлюднено адресу об'єкта розслідування, по-друге, чи отримав емітент стабільної монети або біржа запит на перевірку та втручання.