Kontigo потеряла $340K в USDC, но главная проблема — это не взлом, а вопросы к модели хранения

5 января латиноамериканский необанк Kontigo признал компрометацию своих систем и сообщил о краже 340 905 USDC. Деньги вывели с кошельков 1005 пользователей, то есть в среднем получилось около 339 долларов на человека. Компания пообещала полный возврат, заявила, что изолировала затронутые компоненты, включила внутренние протоколы безопасности и привлекла внешних киберэкспертов для расследования. На бумаге выглядит как привычная история про взлом и компенсацию, но здесь слишком много тумана, чтобы просто пожать плечами и жить дальше.

Во-первых, Kontigo не объяснила, как именно произошел доступ. Это был фишинг, дырка в API, ошибка в настройках, инсайдер, утечка токенов или компрометация панели администратора? Неизвестно. Неясно и то, что именно было задето: горячие кошельки, кастодиальные аккаунты, внутренняя оркестрация переводов или что-то еще. При этом пользователи писали, что за неделю до объявления видели массовые попытки входа в аккаунты, но публичного предупреждения не было. Post-mortem на момент этой истории тоже не появился, и это выглядит странно для проекта, который продает себя как USDC Smart Neobank и при этом привлек около $20 млн от Y Combinator, DST Global и Coinbase Ventures при оценке порядка $100 млн.

Главная причина, почему кейс цепляет, не сумма. 340 тысяч для рынка криптокраж - не рекорд. Проблема в модели. Kontigo - это custodial необанк. То есть ваши USDC лежат не у вас на устройстве, не в «железке», не под вашей сид-фразой, а у компании. По сути, это банк с криптофасадом: вы храните не ключи, а доверие. И в такой архитектуре один удачный вход в чужую инфраструктуру превращается в событие сразу для тысячи людей.

Когда вы храните криптовалюту на собственном кошельке, а не доверяете платформе, история другая. В недавних фишинговых атаках на пользователей MetaMask, например, ломали не сам кошелек, а «голову» владельца, выманивая сид-фразу. Не отдал фразу, не подписал лишнего - остался жив. В декабре 2025 года с Trust Wallet история была сложнее (там говорили про атаку на цепочку поставок и вредонос в расширении, ущерб оценивали примерно в $7 млн), но и там базовая идея все равно упиралась в то, что ключи у пользователя, а не у платформы. В случае Kontigo достаточно взломать серверную часть, и деньги начинают утекать у всех, кто положил их туда на хранение.

У этой истории есть еще один неприятный слой, связанный не с хакерами, а с комплаенсом. В ноябре 2025 года JPMorgan и другие американские банки замораживали счета Kontigo из-за работы с Венесуэлой. Формально компания говорит, что не обслуживает пользователей из санкционных юрисдикций, но на практике значительная часть аудитории именно оттуда.

В сети параллельно гуляли обвинения (официально не подтвержденные, но важные как фон) про лицензию #001 от венесуэльского регулятора Sunacrip, который фактически заморожен с 2023 года после коррупционного скандала. Писали и про то, что якобы можно было открывать американские банковские аккаунты без реального KYC, вводя случайные паспортные номера, и про «зеркальную» структуру: Kontigo Inc в Делавэре и Oha Technology C.A. в Венесуэле, которая якобы помогает обходить ограничения. Даже если часть этого — преувеличение, контекст один: когда бизнес живет в серой зоне правил, вопросы к качеству безопасности возникают автоматически, потому что культура процессов обычно везде одинаковая.

• Технический уровень взлома: Неизвестен (post-mortem не опубликован).
• Критичность для Kontigo: Высокая (репутационный удар + санкционные риски).
• Критичность для индустрии: Средняя (еще одно напоминание про custodial risks).

Это не история про то, что хакеры украли $340K. Это история про то, что кастодиальные необанки - это банки, а не кошельки. Если ты доверяешь третьей стороне хранить твою крипту, ты рискуешь не только взломом, но и заморозкой счетов, регуляторными проблемами и непрозрачностью. Kontigo обещает вернуть деньги - посмотрим, сдержат ли слово. Но главный урок старый и неприятный: not your keys, not your crypto. Это не мем, это архитектурная истина.