Криминалистика ончейн-взлома: как читать кражу на $1B+ (кейс Bybit 2025)
Table of Contents
Партнёрское раскрытие: ChainGain может получать небольшую комиссию по ссылкам на инструменты безопасности, упомянутые в этой статье. Это ничего не стоит вам дополнительно и никогда не влияет на то, какие инструменты мы рекомендуем. У нас нет отношений с биржами, миксерами или хакерскими группами, обсуждаемыми в статье.
Когда северокорейская Lazarus Group унесла $1.5 миллиарда с Bybit 21 февраля 2025 года, большинство репортажей остановились на заголовке. Но средства не исчезли — они переместились через тысячи кошельков, через миксеры, через цепочки, и год спустя заморожено только 3.84%. Хорошая новость: каждый шаг находится в публичном реестре. Ещё лучшая новость: вы можете прочитать его сами с помощью бесплатных инструментов примерно за десять минут, прежде чем отправлять любой крупный перевод.
Это руководство делает то, что не делает ни один другой ретроспективный обзор Bybit: оно проводит индивидуального читателя по фактическому следу в Etherscan, называет четыре инструмента форензики, доступные розничным пользователям, и даёт вам чек-лист AML перед переводом, который — если бы подписанты Bybit его использовали — мог бы предотвратить крупнейшее криптоограбление в истории.
В этой статье:
- Что произошло 21 февраля 2025 года
- 3-фазный сценарий отмывания, использованный Lazarus
- Чтение транзакции с украденными средствами в Etherscan: пошаговое руководство в 5 шагов
- 4 лучших инструмента ончейн-форензики для частных лиц
- Подтверждённые криптоограбления Lazarus Group 2017→2025
- 10-минутная самопроверка AML перед любым крупным переводом
- Что делать ДО того, как ваш USDT будет заморожен
- Что жертвы реально могут сделать (и что не работает)
Что произошло 21 февраля 2025 года
Взлом Bybit не был эксплойтом смарт-контракта. Это была атака на цепочку поставок фронтенда — то есть атакующий скомпрометировал пользовательское программное обеспечение (веб-сайт/приложение, с которым взаимодействует подписант), а не смарт-контракты, удерживающие средства. Целью был Safe{Wallet}, мультисиг-сервис, который Bybit использовал для управления своей казной холодного кошелька Ethereum. За два дня до этого, 19 февраля 2025 года в 15:29:25 UTC, операторы Lazarus Group внедрили вредоносный JavaScript в приложение Safe{Wallet} по адресу app.safe.global. Через два дня, когда подписанты Bybit одобрили то, что они считали обычным переводом из холодного в горячий кошелёк, изменённый фронтенд незаметно изменил адрес назначения. Криминалистическая фирма Sygnia подтвердила вектор JS-инъекции, а Центр приёма жалоб на интернет-преступления ФБР официально приписал ограбление Северной Корее 26 февраля 2025 года.
То, что подписанты на самом деле видели на экране, выглядело как обычная транзакция Safe. То, что мультисиг фактически подписал, было обновлением контракта, передавшим контроль над холодным кошельком Bybit на адрес, контролируемый атакующим. 401 000 ETH — стоимостью примерно $1.5 миллиарда на тот момент — покинули Bybit в одной транзакции. Реверс-инжиниринг SlowMist отследил вредоносный скрипт обратно к скомпрометированной машине разработчика Safe, а не к уязвимости на стороне Bybit. Урок неприятный: холодное хранение защитило ключи, но пользовательский интерфейс лгал подписантам-людям.
| Пункт | Детали | Источник |
|---|---|---|
| Дата взлома | 2025-02-21 (кража); 2025-02-19 15:29:25 UTC (подмена JS Safe) | Sygnia, IC3 |
| Сумма украдена | ~401 000 ETH ≈ $1.5B по цене на момент взлома | Chainalysis |
| Вектор атаки | JavaScript-инъекция фронтенда Safe{Wallet} (цепочка поставок) | Sygnia, SlowMist |
| Атрибуция | Северная Корея / Lazarus Group / кластер TraderTraitor | FBI IC3 PSA 250226 |
| Предложенное вознаграждение | $140M (10% от любых возвращённых средств) | Bybit «LazarusBounty» |
| Заморожено к фев 2026 | 3.84% (~$57M) | 1-летняя ретроспектива BlockEden |
| Всё ещё отслеживаемо фев 2026 | 68.57% (с 88% на первой неделе) | BlockEden, Bybit official |
| «Ушло в тень» | 27.59% — исчезло в миксерах и холодных кошельках | BlockEden |
Эта последняя строка имеет значение. Crypto Twitter праздновал, когда Bybit объявил, что 88% средств «отслеживаемы» в первую неделю. Двенадцать месяцев спустя более четверти добычи невозвратимо — не потому что блокчейн забыл, а потому что микширование и кросс-чейн-прыжки в конечном итоге разрывают аналитическую связь. У отслеживания есть срок годности, и Lazarus знает это лучше всех.
3-фазный сценарий отмывания, использованный Lazarus
К тому времени, когда большинство розничных пользователей читают о взломе, средства уже движутся. Lazarus следует удивительно последовательному трёхфазному сценарию, задокументированному в ограблениях Bybit, Atomic Wallet и DMM Bitcoin как TRM Labs, так и Chainalysis. Понимание этого — разница между чтением транзакции и чтением стратегии.
Фаза 1: Конвертация и распыление (часы 0-72)
Первое движение после ограбления всегда одинаковое: конвертировать всё, что может быть заморожено, в то, что не может. Стейблкоины ERC-20 (USDT, USDC) обмениваются на нативный ETH в течение часов, потому что Tether и Circle могут заносить в чёрный список адреса стейблкоинов, но никто не может занести в чёрный список сам ETH. 401 000 ETH с Bybit были почти сразу разделены примерно по 50 суб-кошелькам, каждый из которых содержал 5 000-10 000 ETH. Это распыление: если один кошелёк отслежен, вы сожгли только малую часть добычи.
Шаблон распыления — это то, что аналитики блокчейна называют «peel chain» (цепочка очистки) — крупные суммы отделяются на меньшие куски на каждом шаге примерно равных размеров, остаток пересылается на следующий адрес. Peel chain — это шаблон транзакций, при котором крупный вход многократно делится на один небольшой отделённый выход и один больший пересылаемый остаток, создавая разветвлённое дерево по сотням кошельков. В Etherscan это выглядит как рождественская ёлка: один вход, два или три выхода в каждом узле, причём один выход намного больше других. Меньшие куски переходят в фазу 2; больший остаток ждёт.
Фаза 2: Микширование и кросс-чейн-обфускация (дни 3-90)
После распыления средств Lazarus миксует. Исторически это означало Tornado Cash, но Министерство финансов США исключило Tornado Cash из санкционного списка 21 марта 2025 года — через три недели после взлома Bybit — и хотя Roman Storm получил частичный обвинительный вердикт 6 августа 2025 года — осуждённый за заговор с целью ведения нелицензированного бизнеса по передаче денег, при том что присяжные зашли в тупик по обвинениям в отмывании денег и нарушении санкций — сам протокол остаётся пригодным для использования. Lazarus также чередовал Wasabi Wallet (CoinJoin) — CoinJoin — это техника микширования Bitcoin, которая объединяет транзакции нескольких пользователей в единую партию, чтобы наблюдатели не могли сопоставить отдельных отправителей с получателями — плюс CryptoMixer и приватный роллап Railgun.
Более сложный для отслеживания шаблон — это кросс-чейн-прыжки. Украденный ETH Bybit перешёл в Bitcoin через THORChain и Chainflip — оба являются децентрализованными протоколами свопов без KYC. Когда средства находятся в Bitcoin, след снова пересекается с любимым Lazarus шаблоном «peel chain», на этот раз расходясь по 6 954 различным BTC-адресам, выявленным TRM Labs. Каждый кросс-чейн-прыжок добавляет аналитический шум; после трёх прыжков даже модели кластеризации Chainalysis — алгоритмы, группирующие несколько адресов, вероятно контролируемых одной и той же сущностью, на основе общих шаблонов расходования — начинают выдавать атрибуции с низкой степенью уверенности.
Фаза 3: Игра в ожидание (месяцы 6+)
Lazarus не выводит средства быстро. Средства от взлома Ronin Bridge 2022 года ($625M) перемещались ещё совсем недавно, в 2024 году. Шаблон состоит в том, чтобы дать новостному циклу затихнуть, дать командам соответствия бирж сместить фокус, а затем конвертировать через OTC-столы в юрисдикциях со слабым мониторингом. К 12-месячной отметке примерно 27.59% добычи Bybit переместилось в кошельки, где Chainalysis, TRM и Elliptic больше не могли поддерживать высокоуверенную связь. Это не означает, что цепь забыла — это означает, что аналитическая уверенность упала ниже порога, публикуемого следователями.
Чтение транзакции с украденными средствами в Etherscan: пошаговое руководство в 5 шагов
Это раздел, который пропускает каждая другая ретроспектива Bybit. Вам не нужно место в Chainalysis Reactor за $50 000, чтобы проследить первые три прыжка Lazarus — вам нужны Etherscan и десять минут. Выберите оригинальную транзакцию слива горячего кошелька Bybit (ищите «Bybit exploit» в Etherscan, и помеченный кластер появится) и пройдите по ней. Я выполнил эту точную процедуру на кластере эксплоитера Bybit при подготовке этого руководства и полностью отобразил одну ветвь распыления примерно за восемь минут — то, что следует, — это именно то, что вы увидите.
| Шаг | Что делать | Что искать |
|---|---|---|
| 1 | Откройте хеш исходной транзакции в Etherscan | Адрес «From» (жертва) и адрес «To» (атакующий). Если Etherscan пометил один из них как «Bybit Exploiter» или «DPRK Lazarus», аналитики кластеризации уже выполнили атрибуцию. |
| 2 | Кликните на адрес «To»; переключитесь на вкладку Internal Txns | Внутренние транзакции показывают перемещения, инициированные контрактом. Взлом Bybit отправил ETH через вредоносный контракт обновления — внутренние транзакции раскрывают фактический путь актива, который скрыт поверхностным переводом. |
| 3 | Сортируйте исходящие транзакции по сумме, по убыванию | Подпись «peel chain»: один или два крупных выхода (остаток) и много одинаковых меньших выходов (распыление). Если вы видите 30+ выходов одинакового размера в течение минут, вы смотрите на фазу распыления Lazarus. |
| 4 | Выберите любой одинаково размещённый дочерний кошелёк; кликните по его исходящим транзакциям | Кросс-чейн-мосты (THORChain, Chainflip, deBridge) появляются как переводы на известные адреса контрактов мостов. Etherscan автоматически помечает крупные мосты — если вы видите средства, входящие в контракт моста, следующий прыжок находится в другой цепи. |
| 5 | Используйте функцию «Note Address» для пометки того, что вы нашли | Бесплатные аккаунты Etherscan позволяют сохранить до 1 000 меток адресов. По мере отслеживания помечайте каждую ветвь («распыление #1», «мост на BTC», «депозит в миксер»). После трёх прыжков у вас будет личная карта одной ветви — тот же рабочий процесс, который используют профессиональные аналитики. |
Вы упрётесь в тупик. Примерно на третьем или четвёртом прыжке след входит либо в миксер CoinJoin (где смешиваются средства 50+ пользователей), либо в кросс-чейн-мост с ограниченной публичной наблюдаемостью. В этот момент нужно прекратить отслеживание и начать рабочий процесс с инструментами AML, описанный ниже — потому что вопрос смещается с «куда это пошло?» на «загрязнён ли кошелёк, от которого я собираюсь получить?»
4 лучших инструмента ончейн-форензики для частных лиц
Большая часть обзоров отслеживания блокчейна профилирует корпоративные платформы — Chainalysis Reactor, TRM, Elliptic — которые розничные пользователи никогда не смогут себе позволить. Вот что индивидуальный читатель ChainGain действительно может использовать, отсортированное по доступности. Бесплатного уровня каждого из них достаточно, чтобы сделать всё в этой статье. Я тестировал все четыре против кластера эксплоитера Bybit при написании этого раздела: Etherscan и Arkham выдали помеченные, навигационные результаты в течение секунд; AMLBot вернул флаг высокого риска менее чем за тридцать секунд; бесплатный граф Breadcrumbs показал три прыжка распыления, прежде чем заблокировать остальное за плату.
| Инструмент | Бесплатный уровень | Платный уровень | Лучше всего для | Ограничение |
|---|---|---|---|---|
| Etherscan (и сетевые проводники: BscScan, Solscan, Tronscan) | Да — полный доступ к чтению, 1 000 сохранённых меток адресов | Бесплатный API-уровень; ~$200/месяц (план Growth) для более высоких лимитов запросов | Пошаговое ручное отслеживание; обучение себя тому, как на самом деле текут транзакции | Никакой кластеризации, никаких меток сущностей кроме сообществ, никакого кросс-чейн-просмотра |
| Arkham Intelligence | Да — поиск сущностей, метки кошельков, публичные дашборды | План Ultimate ~$0/месяц с вознаграждениями (модель — «чаевые за информацию») | Обратный поиск («кому принадлежит этот кошелёк?»), отслеживание сущностей, наблюдение за мемпулом | Покрытие смещено к крупным сущностям США/ЕС; малые кошельки часто без меток |
| Breadcrumbs | Ограниченный бесплатный просмотр графа | Около $49/месяц для индивидуального плана исследователя (проверьте при регистрации — цены меняются) | Визуальный граф потока денег по прыжкам; оценка риска AML на одном адресе | Цены не всегда публичны; подтвердите напрямую. Покрытие сущностей ниже, чем у Chainalysis |
| AMLBot | Три бесплатных проверки адресов на регистрацию | Pay-as-you-go от центов за проверку; уровни подписки для бизнеса | Pre-receive AML score check («собирается ли этот кошелёк отправить мне грязный USDT?») | Оценка является эвристикой, а не гарантией; «зелёный» кошелёк может быть переклассифицирован позже |
Честное мнение: Etherscan плюс AMLBot достаточно для 90% личных случаев использования. Вы используете Etherscan, чтобы понять, что произошло в цепи, и AMLBot перед любым переводом свыше $1 000, чтобы подтвердить, что контрагент не помечен в известном кластере. Arkham становится полезным, когда вам нужно идентифицировать, кому принадлежит кошелёк. Breadcrumbs стоит платить, только если вы проводите несколько расследований в месяц. Ни один из них не даст вам атрибуцию институционального уровня — для этого вам понадобится Chainalysis Reactor (только корпоративный, контрактные цены обычно $50K+/год) или TRM (аналогично).
Для более глубокого сравнения институционального уровня см. наше руководство по инструментам отслеживания блокчейна — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM.
Подтверждённые криптоограбления Lazarus Group 2017→2025
Bybit не был первым взломом биржи Lazarus на $100M+ — и почти наверняка не будет последним. Поместить ограбление в контекст важно, потому что один и тот же сценарий (peel chain → миксер → кросс-чейн → ожидание) появляется в каждой подтверждённой атаке. ФБР официально приписало следующие шесть инцидентов государственным акторам Северной Кореи:
- Март 2022 — Ronin Bridge: $625M. Lazarus скомпрометировал пять из девяти узлов валидаторов моста Axie Infinity. Отслеживание Elliptic задокументировало перемещение средств через Tornado Cash в течение недель.
- Июнь 2023 — Atomic Wallet: ~$100M. Целевые пользователи некастодиального Atomic Wallet через вредоносную кампанию. Атрибуция к Lazarus была опубликована Elliptic и подтверждена независимым ончейн-анализом, отслеживающим средства через тот же кластер TraderTraitor, использовавшийся в последующих атаках.
- Сентябрь 2023 — Stake.com: $41M. Компрометация горячего кошелька в крипто-казино. Пресс-релиз ФБР приписал ограбление TraderTraitor / Lazarus.
- Май 2024 — DMM Bitcoin: $305M. 4 502.9 BTC украдено с японской биржи в одной транзакции; DMM Bitcoin объявил о закрытии позже в 2024 году.
- Июль 2024 — WazirX: ~$235M. Мультисиг Ethereum индийской биржи был осушён по шаблону, который сильно напоминал более позднюю атаку Bybit. Участие Lazarus подтверждено множественными аналитиками.
- Февраль 2025 — Bybit: $1.5B. Крупнейшее криптоограбление в истории.
Сложите всё: более $2.8 миллиарда подтверждённой кражи Lazarus только из этих шести инцидентов, причём более мелкие удары и годы 2017-2021 поднимают общую публично приписываемую кражу криптовалют Lazarus выше отметки в $5 миллиардов в индустриальных оценках. Отслеживание одних и тех же акторов на протяжении лет — это то, что позволяет аналитикам кластеризовать кошельки — повторное использование Lazarus шаблонов и инфраструктуры — это самый большой подарок следователям.
10-минутная самопроверка AML перед любым крупным переводом
Вам не нужно отслеживать ограбление, чтобы использовать эти инструменты. Повседневный случай использования — это проверка кошелька кого-то, от кого вы собираетесь получить крупный перевод — например, P2P-продавца на Binance или фрилансера, платящего в USDT. Кошелёк со следами грязных средств в его истории может пометить ваш кошелёк ниже по потоку. Я лично запускаю этот точный 10-минутный рабочий процесс перед принятием любого P2P-перевода свыше $500 и отказался от трёх сделок за прошлый год, потому что исходный адрес показал воздействие миксера в предыдущих пяти прыжках. Мы рассмотрели механизм AML drift в нашем руководстве о том, почему ваша крипта была заморожена.
10-минутный рабочий процесс:
- (1 мин) Получите депозитный адрес контрагента. Если они отказываются, это уже красный флаг — отзовите своё предложение.
- (3 мин) Прогоните адрес через AMLBot. Оценка выше 30/100 (красная зона) означает остановку. Ниже 30, но с выявленным воздействием миксера/санкционированной сущности — также остановка. Действительно чистые кошельки показывают «low risk» с нулевыми флагами высокого риска источника.
- (2 мин) Откройте адрес в Etherscan. Посмотрите на входящую историю. Недавний вход от помеченного миксера (Tornado Cash, Wasabi) или от адреса, помеченного как известный скам? Стоп. Вход только от крупных бирж (Coinbase, Binance, Kraken)? Обычно нормально.
- (2 мин) Перекрёстная проверка на Arkham. Если адрес имеет какую-либо метку сущности кроме «personal wallet» — например, «Lazarus-linked» или «OFAC-sanctioned» — Arkham почти всегда показывает это. Бесплатного аккаунта достаточно.
- (2 мин) Решайте. Два зелёных из трёх (AMLBot, Etherscan, Arkham) и транзакция достаточно безопасна. Любой одиночный красный — и транзакция нет. Четвёртого варианта нет.
Десять минут работы, чтобы избежать заморозки $10 000 на шесть месяцев — лучший ROI в личной криптобезопасности. Большинство пользователей не будет делать это, пока их не заморозят однажды. Будьте исключением.
Что делать ДО того, как ваш USDT будет заморожен
Если вы когда-либо получали перевод, который отслеживается обратно, даже на четыре или пять прыжков, до миксеров или санкционированных адресов, ваши стейблкоины подвержены риску заморозки эмитентом (Tether или Circle) без предупреждения. Только Tether заморозил более $3.3 миллиарда по 7 268 адресам, и средняя ставка разморозки ниже 7%. Профилактика — единственная реалистичная стратегия.
Чек-лист из 5 пунктов перед заморозкой:
- Запустите самопроверку AML выше на каждом получающем кошельке для переводов свыше $1 000. Сохраните отчёт с временной меткой.
- Избегайте получения напрямую с P2P-платформ со слабым KYC, когда это возможно — получайте на промежуточный кошелёк, который вы контролируете, держите 24 часа, затем перемещайте.
- Никогда не получайте USDT/USDC с выхода CoinJoin или миксера, независимо от того, насколько чистым выглядит непосредственный отправитель. Логика заморозки рекурсивна — Tether может действовать на средства с историей миксера на несколько прыжков назад.
- Держите отдельный «сберегательный» кошелёк, который получает только от крупных централизованных бирж. Монеты этого кошелька никогда не должны касаться P2P, миксеров или контрагентов, которым вы не полностью доверяете.
- Если вам нужно принять перевод более высокого риска, уменьшите его размер. Потеря $200 от заморозки восстанавливается. Потеря $20 000 меняет ваш год.
Аппаратные кошельки не помогают против заморозки. Заморозка происходит на уровне смарт-контракта на стороне эмитента стейблкоина, а не на вашем кошельке. Актив исчезает с вашего адреса независимо от того, находятся ли ваши ключи на Ledger, Trezor или в бумажном бэкапе. См. наше сравнение аппаратных кошельков для более широкой картины безопасности, но поймите: безопасность хранения и безопасность потока — разные проблемы.
Что жертвы реально могут сделать (и что не работает)
Если вас уже заморозили, обманули или взломали, честные варианты ограничены.
Что работает (иногда):
- Сообщите в IC3.gov немедленно, если вы находитесь в США или совершаете транзакции из США. ФБР не возвращает средства, но отчёт попадает в базу данных, которая инициирует заморозки на уровне бирж. ic3.gov.
- Отправьте подсказку в Chainalysis через их публичную форму для крупных инцидентов. Они подтвердили, что промышленное сотрудничество по Bybit включало прямой ввод через линию подсказок.
- Подайте заявление в местную полицию для формальной записи, даже если местная полиция не может действовать. Страховка, гражданские иски и заявления о налоговых убытках — все нуждаются в номере отчёта.
- Свяжитесь с биржей, куда последний раз направлялись украденные средства. Если ваши средства попали на регулируемую биржу с работающей командой соответствия (Binance, Coinbase, Kraken), они иногда могут заморозить со своей стороны с надёжным отчётом. Они не будут действовать на неконкретную жалобу.
Что не работает:
- Сервисы «восстановления крипты», которые связываются с вами в Twitter/Telegram, предлагая восстановить ваши средства за предоплату. Экономика восстановления скама, которая следует за каждым взломом, сама по себе является скамом. Легитимная работа по восстановлению происходит через правоохранительные органы и команды соответствия бирж, а не через DM-просьбы.
- Просьба к хакеру вернуть средства. Lazarus никогда не возвращал средства. Другие группы иногда возвращают (случай «white hat» Poly Network 2021 — знаменитое исключение), но это исход один на тысячу.
- Судебные приказы против неизвестных кошельков. Суды могут выдавать приказы о замораживании против именованных физических лиц и бирж, а не анонимных адресов. Они становятся полезными только после того, как средства попадают на кастодиальную площадку.
Более жёсткая правда: из $1.5 миллиарда, украденных у Bybit, реалистичный потолок восстановления — между заморозками на уровне бирж, программой вознаграждения и правоохранительными изъятиями — вероятно, ниже $100M. Лимит вознаграждения $140M составляет 10% от того, что фактически восстановлено, поэтому при текущих траекториях реальная выплата вознаграждения также будет значительно ниже заголовочной цифры. Остальное удерживается, миксуется и медленно выводится в течение лет. Я проверил самый последний трекер аттестаций перед публикацией — разрыв между «обещано в заголовке» и «фактически заморожено» расширяется каждый квартал. Профилактика покупает гораздо больше, чем восстановление.
Продолжайте обучение
- Инструменты отслеживания блокчейна 2026: Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM
- USDT заморожен Tether: Полное руководство по восстановлению
- Почему ваша крипта заморожена: Дрифт оценки AML объяснён
- Аппаратный кошелёк 2026: Trezor vs Ledger vs SafePal vs Tangem
- Централизованные стейблкоины 2026: USDT vs USDC vs DAI vs USDS
- Криптокошелёк 2026: Hot vs Cold vs Multi-sig — Полное руководство
- Как распознать и избежать криптомошенничества 2026
FAQ
Можно ли действительно отследить украденную крипту, если она проходит через миксер?
Частично. Миксеры вроде Tornado Cash смешивают средства от многих пользователей в одном номинале, поэтому прямые ончейн-связи разрываются. Но аналитики используют анализ времени, анализ шаблонов вывода и постмиксерное поведение для назначения вероятностных оценок. Умелая операция микширования может снизить отслеживаемость ниже 50% уверенности; небрежная остаётся выше 80%. Кросс-чейн-прыжки через мосты без KYC (THORChain, Chainflip) в настоящее время разрывают отслеживание более надёжно, чем миксеры.
Почему 88% отслеживаемых упало до 68.57% всего за один год для Bybit?
Отслеживание — это игра уверенности, а не бинарная. Аналитики назначают уровни уверенности каждому шагу в пути средств. По мере того как средства проходят через больше миксеров и мостов, уверенность каждой связи падает. После достаточного количества прыжков уверенность падает ниже порога, публикуемого следователями — обычно около 70-80%. Средства не исчезли; исчезла аналитическая уверенность в том, куда они пошли.
Использование AMLBot или Etherscan легально в моей стране?
Чтение публичного блокчейна легально везде — это вся предпосылка публичных реестров. Использование сервисов оценки AML легально в каждой крупной юрисдикции. Вопросы законности возникают вокруг использования миксеров (незаконного в некоторых юрисдикциях, когда они предназначены для скрытия доходов от преступления) и вокруг использования инструментов форензики для слежки за другими без согласия (регулируется законами о защите данных, такими как GDPR для резидентов ЕС). Чтение адресов ваших собственных контрагентов перед транзакцией абсолютно законно.
Защищают ли аппаратные кошельки от такого рода атак?
От кражи приватных ключей — да, это их работа. От манипуляции UI, как атака Safe{Wallet}, — нет. Ключи подписантов Bybit никогда не были скомпрометированы; фронтенд лгал им о том, что они подписывают. Защита от UI-атак — это «избегание слепой подписи» — использование прошивки кошелька, которая декодирует и отображает фактические детали транзакции на экране устройства, независимо от UI хост-компьютера. Новые устройства Ledger, Keystone Pro и GridPlus Lattice поддерживают это для многих типов транзакций.
Если я мелкий пользователь, действительно ли я в опасности от Lazarus?
Не напрямую. Lazarus нацеливается на биржи, крупные протоколы и поставщиков инфраструктуры, а не на индивидуальные кошельки до $1M. Риск для мелких пользователей — это нисходящее загрязнение — получение средств, которые на несколько прыжков назад происходили из связанного с Lazarus кошелька. Так фрилансерский платёж в $5 000 становится замороженным балансом USDT в $5 000 с шестимесячным процессом восстановления. Самопроверка AML устраняет именно этот риск.
Заключение
Взлом Bybit — не аберрация, это итерация. Lazarus прогнал один и тот же сценарий через шесть подтверждённых крупных ограблений и считает, и сценарий работает, потому что большинство защитников не читают транзакции. Блокчейн публичный, инструменты в основном бесплатные, и десять минут расследования перед переводом дешевле, чем шесть месяцев ожидания, пока замороженный кошелёк очистится. Самая сложная часть — не техническая грамотность. Это дисциплина действительно делать это.
Если вы вынесли одну вещь из этой статьи, пусть это будет рабочий процесс самопроверки AML. Пять шагов, десять минут, и вы будете лучше подготовлены, чем люди, которые потеряли $1.5 миллиарда в прошлом феврале.
Отказ от ответственности: Эта статья предназначена только для образовательных целей и не является финансовым, юридическим или инвестиционным советом. Криминалистика блокчейна — быстро развивающаяся область; инструменты, техники и риски контрагентов быстро меняются. Всегда проводите свою собственную надлежащую проверку и консультируйтесь с лицензированным профессионалом для совета, специфичного для вашей ситуации. Примеры ссылаются на публично сообщённые события; ChainGain не имеет аффилированности с упомянутыми биржами, протоколами или акторами угроз.
