Криптобиржи продают пользователю красивую картинку: активы под контролем, кошельки защищены, резервы есть, выводы работают. Но у любой медали — две стороны. История крупнейших взломов показывает обратную. Деньги уводили и через горячие, и через холодные кошельки, украденные приватные ключи, API-доступы, слабую мультиподпись, ошибки в мостах и подменённые процессы подписания транзакций.
В этой подборке — два типа инцидентов. Первый — взломы криптобирж: Mt. Gox, Coincheck, Bitfinex, Binance, KuCoin, BitMart, FTX, WazirX, DMM Bitcoin, Poloniex, HTX и Bybit. Второй — атаки на инфраструктуру: Ronin, Poly Network, BNB Chain Bridge и Nomad. Формально это не биржи, но по масштабу ущерба и влиянию на пользователей они давно стоят рядом с крупнейшими биржевыми взломами.
Mt. Gox: биржа, которая стала предупреждением для всей индустрии
Что случилось: японская Mt. Gox остановила выводы, закрыла сайт и подала на банкротство.
Сколько украли: около 850 000 BTC — 750 000 клиентских биткоинов и 100 000 BTC самой компании. По тогдашним ценам это оценивали примерно в $450–473 млн.
Как: точная картина атаки годами оставалась предметом разбирательств, но в публичной версии фигурировали проблемы с учётом, кошельками и пластичностью транзакций — transaction malleability.
Чем закончилось: банкротство, ликвидация, многолетняя процедура выплат. Часть монет позже нашли, но пользователи ждали возврата активов больше десяти лет.
На пике японская площадка Mt. Gox обрабатывала до 70% мировых операций с биткоином. К моменту краха её доля уже снижалась, но биржа всё ещё оставалась системно важной для рынка. В 2014 году Mt. Gox остановила выводы, закрыла сайт и ушла в банкротство. Компания заявила о пропаже около 850 тысяч BTC: примерно 750 тысяч клиентских биткоинов и около 100 тысяч собственных монет биржи. Тогда это оценили примерно в $450–480 млн.
Инцидент тянулся годами. Часть монет (около 200 тысяч) позже нашли, но пользователи ждали выплат почти десятилетие. Старый взлом ещё долго двигал рынок: когда начались выплаты кредиторам, инвесторы снова начали считать, сколько биткоинов может выйти на рынок.
Оказалось, что когда пользователь держит криптовалюту на бирже, а не в своём кошельке — это опасно. Если биржу взламывают, то как бы исправно не работал блокчейн, пользователь всё равно теряет деньги.
Coincheck: $530–534 млн в NEM из горячего кошелька
Что случилось: с японской Coincheck вывели токены NEM.
Сколько украли: 523 млн NEM, около 58 млрд иен, или примерно $530–534 млн.
Как: средства лежали в горячем кошельке. Это кошелёк, подключённый к сети, поэтому при компрометации ключей или инфраструктуры атакующий получает быстрый путь к выводу средств.
Чем закончилось: Coincheck пообещала компенсации клиентам, получила предписания японского регулятора и позже перешла под контроль Monex Group. В отчёте Monex сделка описывалась как часть усиления управления и внутреннего контроля после инцидента с NEM.
В январе 2018 года японская Coincheck потеряла 523 млн токенов NEM. Ущерб оценивали примерно в 58 млрд иен, или $530–534 млн. Деньги хранились в горячем кошельке — то есть в инфраструктуре, подключённой к сети, чтобы биржа могла быстро проводить операции. В итоге именно это стало точкой входа для атаки. Для атакующих это почти идеальная цель: доступ к ключам или системе вывода сразу дает возможность вывести активы.
Украденные NEM быстро разошлись по серому рынку. Часть следов всплывала на криптоплощадках, после чего активы дробили, меняли и выводили дальше.
После новости рынок резко просел, инвесторы снова вспомнили Mt. Gox, а японское Агентство финансовых услуг пришло к Coincheck с проверкой и потребовало привести безопасность и внутренний контроль в порядок. Более 260 тысяч клиентов оказались в подвешенном состоянии: выводы остановлены, операции заморожены, активы формально есть, но вывести их нельзя.
Но Coincheck не исчезла, а выжила. Coincheck выбрала редкий для крипторынка путь — пообещала компенсировать потери из собственных средств. Это спасло биржу от немедленного краха, но превратило взлом в тяжёлую нагрузку для бизнеса. Позже компанию купила Monex Group, и уже под новым владельцем Coincheck занялась восстановлением работы, усилением контроля и расчётами с пользователями. Monex указывала, что покупает Coincheck в период усиления управления и внутреннего контроля после кражи NEM из-за несанкционированного доступа.
Репутационный ущерб оказался не меньше финансового. В медиа Coincheck быстро стала символом халатного хранения: крупная лицензируемая площадка держала огромный объём клиентских активов там, где их можно было быстро вывести. Для пользователей это выглядело как повторение старого кошмара Mt. Gox: биржа работала, принимала деньги, обещала инфраструктуру, а затем в один день заморозила доступ к средствам.
К осени 2018 года большая часть пострадавших получила компенсации в иенах. Но осадок остался. NEM после взлома сильно потерял в цене, а доверие к централизованным биржам снова просело.
Bitfinex: около 120 000 BTC и след, на который вышли спустя годы
Что случилось: с Bitfinex вывели крупный объём биткоинов.
Сколько украли: около 120 000 BTC.
Как: Минюст США пишет, что Илья Лихтенштейн взломал Bitfinex и украл примерно 120 000 BTC.
Чем закончилось: в 2022 году власти США арестовали Лихтенштейна и Хизер Морган по делу об отмывании средств и изъяли значительную часть украденной криптовалюты.
В августе 2016 года с Bitfinex вывели около 120 000 BTC. В отраслевых разборах часто фигурирует число 119 756 BTC, а Минюст США формулирует сумму как «примерно 120 000 биткоинов». На момент атаки это были десятки миллионов долларов, позже стоимость украденного выросла до миллиардов.
Американские власти отследили и изъяли значительную часть средств. Илья Лихтенштейн признал, что взломал Bitfinex, а он и Хизер Морган стали фигурантами дела об отмывании украденной криптовалюты.
Этот кейс хорошо показывает, как на самом деле работает криптопреступность. Блокчейн не делает украденные деньги невидимыми: транзакции остаются в открытом реестре и могут всплыть спустя годы. Зато он позволяет быстро вывести активы, раздробить их по десяткам адресов и отправить дальше — через миксеры, мосты, обменники и цепочки промежуточных кошельков. Так след не исчезает, но зашумляется и путается.
Технически схема взлома Bitfinex до конца не раскрыта публично: нет полноценного официального post-mortem с пошаговой эксплуатацией уязвимости. Но из судебных материалов США, сообщений Bitfinex и расследований по отчёту Ledger Labs складывается такая картина.
Bitfinex в 2016 году использовала модель мультиподписных кошельков BitGo. У клиентов были отдельные кошельки, а вывод средств требовал нескольких подписей. На бумаге это должно было снижать риск: один украденный ключ не должен был давать полный контроль над средствами. После атаки выяснилось, что злоумышленник смог инициировать и одобрить около 2 000 несанкционированных транзакций, уведя примерно 119 754–119 756 BTC на подконтрольный кошелёк. Минюст США позднее указал, что это сделал Илья Лихтенштейн. Он получил несанкционированный доступ к инфраструктуре Bitfinex и смог обойти логику вывода средств в мультиподписной схеме.
Binance: два инцидента
Что случилось: взломали именно биржу Binance, а не мост BNB Chain.
Сколько украли: 7 000 BTC, около $40 млн на тот момент.
Как: атакующие получили большое количество API-ключей, кодов двухфакторной аутентификации и других данных пользователей. Binance писала, что применялись фишинг, вирусы и другие методы. Деньги вывели одной транзакцией из горячего кошелька.
Чем закончилось: биржа остановила вводы и выводы, провела проверку безопасности и покрыла ущерб из фонда SAFU — Secure Asset Fund for Users.
В 2019 году взломали именно биржу Binance. Атакующие получили API-ключи, коды двухфакторной аутентификации и другие данные пользователей. Из горячего кошелька вывели 7 000 BTC — около $40 млн на тот момент. Биржа закрыла вводы и выводы, провела проверку и покрыла ущерб из фонда SAFU — Secure Asset Fund for Users.
В октябре 2022 года произошёл другой инцидент. Технически это был взлом моста BSC Token Hub в сети BNB Chain. Атакующий смог выпустить 2 млн BNB, оценка номинального ущерба доходила примерно до $570 млн. Сеть остановили, значительную часть средств заблокировали.
KuCoin: $275 млн и быстрый след через DeFi
Что случилось: с KuCoin вывели активы из горячих кошельков.
Сколько украли: более $275 млн.
Как: атакующие получили доступ к горячим кошелькам и начали перегонять активы через DeFi-сервисы, включая Uniswap.
Чем закончилось: часть средств удалось вернуть, заморозить или обесценить через действия эмитентов токенов и партнёров.
В сентябре 2020 года KuCoin потеряла более $275 млн из горячих кошельков. KuCoin взломали через горячие кошельки: атакующие получили ключи и вывели активы на сотни миллионов долларов. Дальше они не стали держать набор случайных токенов, а начали обменивать их через DeFi-сервисы, включая Uniswap. Chainalysis разбирала этот след как пример того, как взломщики используют DeFi-инфраструктуру для быстрой смены активов.
KuCoin часто вспоминают как пример относительно удачной реакции. Часть средств удалось заморозить, вернуть или обесценить через действия эмитентов токенов и партнёров. Но базовая проблема никуда не делась: горячий кошелёк нужен бирже для нормальной работы, и именно он первым становится целью.
BitMart: $196 млн через украденный приватный ключ
Что случилось: с BitMart вывели активы из горячих кошельков Ethereum и BNB Chain.
Сколько украли: около $196 млн.
Как: глава BitMart Шелдон Ся сообщил, что причиной стал украденный приватный ключ, открывавший два горячих кошелька.
Чем закончилось: биржа остановила выводы и заявила о компенсациях.
В декабре 2021 года BitMart потеряла около $196 млн. Глава биржи Шелдон Ся сообщил, что атакующие получили приватный ключ, который открывал два горячих кошелька — в Ethereum и BNB Chain. Часть средств ушла в Tornado Cash, что усложнило отслеживание.
В обычной финансовой системе перевод можно откатить, остановить через банки-корреспонденты или заблокировать по внутренним каналам. В крипте транзакция уходит в сеть, а дальше остаются слежка, переговоры, заморозка централизованных токенов и надежда на ошибку атакующего.
FTX: сотни миллионов за ночь
Что случилось: после заявления FTX о банкротстве из кошельков биржи начали уходить сотни миллионов долларов.
Сколько украли: Elliptic оценивала именно украденную часть примерно в $477 млн.
Как: средства быстро меняли через децентрализованные биржи, мосты и миксеры.
Чем закончилось: точная квалификация части переводов долго обсуждалась, потому что в ту же ночь происходили и защитные перемещения активов.
FTX чаще вспоминают из-за краха бизнеса, мошенничества и суда над ее гендиректором Сэмом Бэнкманом-Фридом. Но в ноябре 2022 года, сразу после заявления о банкротстве, из кошельков биржи вывели сотни миллионов долларов. Elliptic оценила кражу примерно в $477 млн. Более широкие оценки встречались из-за смешения подозрительных переводов и защитного перемещения активов. Вор мог бы украсть еще больше, если бы не оперативная реакция сотрудников FTX и консультантов по банкротству, которым удалось обеспечить сохранность активов на сумму более 300 миллионов долларов до того, как вор смог получить к ним доступ.
Кстати, преступник потерял 94 миллиона долларов, пытаясь отмыть средства через децентрализованные биржи (DEX), кроссчейн-мосты и миксеры. Примечательно, что технический инцидент случился в момент полного управленческого обвала. Когда команда теряет контроль над компанией, реакция на кибератаку замедляется.
Poloniex: горячие кошельки и минус $114–126 млн
Что случилось: горячие кошельки Poloniex были опустошены.
Сколько украли: оценки варьировались примерно от $114 млн до $126 млн
Как: атака шла по горячим кошелькам, то есть по операционной инфраструктуре, подключённой к сети.
Чем закончилось: Джастин Сан, связанный с биржей, публично предлагал вознаграждение за возврат средств.
В ноябре 2023 года Poloniex потеряла более $100 млн после атаки на горячие кошельки. Атакующий получил доступ к кошелькам биржи в нескольких сетях и начал выводить активы из Ethereum, Tron и Bitcoin. Технически это не выглядело как сломанный смарт-контракт: сеть видела корректно подписанные транзакции. Проблема была в контроле над ключами.
Оценки ущерба варьировались: CoinDesk писал примерно о $114 млн, другие отраслевые разборы давали диапазон до $126 млн.
Poloniex выглядит как классический биржевой взлом нового времени. Активы лежали в операционных кошельках, подключённых к сети. Деньги можно быстро вывести, разделить по сетям и отправить дальше. Биржа может обещать компенсации, но вернуть контроль над транзакцией уже нельзя.
HTX и HECO Bridge: ещё один удар по экосистеме Джастина Сана
Что случилось: пострадали HTX, бывшая Huobi, и мост HECO Bridge.
Сколько украли: разные оценки дают примерно $97–115 млн суммарно.
Как: отраслевые разборы указывали на вероятную компрометацию приватных ключей.
Чем закончилось: это был второй крупный удар по связанной с Джастином Саном инфраструктуре за короткий срок после атаки на Poloniex. CoinDesk писал о $97 млн, другие исследователи давали оценку до $115 млн.
Через несколько дней после Poloniex под удар попали HTX, бывшая Huobi, и HECO Bridge. Суммарный ущерб источники оценивали примерно в $97–115 млн. Исследователи и отраслевые медиа писали о вероятной компрометации приватных ключей.
Так за короткий период несколько связанных сервисов получили крупные удары. Для пользователей это каскадный риск: деньги могут лежать в разных продуктах, но инфраструктура, люди, процедуры и владельцы пересекаются.
WazirX: снова жертва мультиподписи
Что случилось: индийская WazirX сообщила об атаке на мультиподписной кошелёк.
Сколько украли: более $230 млн.
Как: кошелёк работал через инфраструктуру Liminal. WazirX писала, что у кошелька было шесть подписантов: пять со стороны биржи и один со стороны Liminal.
Чем закончилось: биржа остановила операции, начались споры о зоне ответственности между WazirX и поставщиком инфраструктуры.
18 июля 2024 года индийская WazirX сообщила о кибератаке на один из мультиподписных кошельков. Потери превысили $230 млн. Биржа указала, что кошелёк работал через инфраструктуру Liminal и имел шесть подписантов: пять со стороны WazirX и одного со стороны поставщика кастодиального решения.
У WazirX был мультиподписной кошелёк с шестью участниками: пятью со стороны биржи и одним со стороны Liminal. Для вывода требовались три подписи WazirX через аппаратные кошельки Ledger и финальное подтверждение Liminal. Дополнительно действовал белый список адресов.
По версии WazirX, атака сработала из-за расхождения между тем, что команда видела в интерфейсе Liminal, и тем, что фактически подписывала. Биржа предположила, что транзакцию подменили так, чтобы передать контроль над кошельком злоумышленнику. То есть взломали не сам принцип мультиподписи, а процесс подписания и проверки операции.
Мультиподпись часто продают как лекарство от кражи ключей. WazirX показала, что это не универсальная броня. Если атакующий может подменить логику операции, скомпрометировать интерфейс или получить контроль над процессом подтверждения, несколько подписей превращаются в несколько человек, которые подписывают не то, что думают.
DMM Bitcoin: $305 млн и закрытие после атаки
Что случилось: японская DMM Bitcoin сообщила о несанкционированном выводе биткоинов из кошелька.
Сколько украли: 4 502,9 BTC, около 48,2 млрд иен, или примерно $305 млн.
Как: компания описала это как несанкционированную утечку BTC из кошелька; публичные технические детали были ограничены.
Чем закончилось: DMM Bitcoin ограничила сервисы, позже решила закрыться и передать клиентские активы SBI VC Trade.
31 мая 2024 года японская DMM Bitcoin потеряла 4 502,9 BTC. На тот момент это было около 48 млрд иен, или $305 млн. Площадка ограничила сервисы, а позже решила свернуть работу и передать активы SBI VC Trade.
Часто взлом не заканчивается красивым отчётом и перезапуском. Биржа может закрыться, пользователи получают долгую процедуру переноса активов, а рынок — ещё одно напоминание, что даже регулируемая юрисдикция не делает хранение безрисковым.
Bybit: $1,5 млрд и новый максимум криптограбежей
Что случилось: крупнейший известный взлом криптобиржи.
Сколько украли: около $1,5 млрд в виртуальных активах.
Как: ФБР связало атаку с КНДР и активностью TraderTraitor. В публичных технических разборах фигурировала атака на процесс подписания: подписанты могли видеть одну операцию, а в сеть уходила другая по эффекту транзакция.
Чем закончилось: украденные активы начали быстро дробить, конвертировать и перегонять между адресами и сетями. ФБР выпустило уведомление с адресами и связало инцидент с северокорейскими хакерами.
Самый громкий рекорд сейчас у Bybit. В феврале 2025 года с биржи вывели около $1,5 млрд в виртуальных активах. Украденные активы быстро переводили между адресами, конвертировали и дробили для отмывания.
Ключевая деталь Bybit — атака на процесс подписания. Речь шла не просто о том, что кто-то украл пароль от горячего кошелька. Публичные разборы указывали на подмену данных при переводе из холодного Ethereum-кошелька: подписанты могли видеть штатную операцию, а в сеть уходило действие с другим эффектом. Именно такие атаки сейчас особенно опасны. Формально у компании есть холодное хранение, мультиподпись и процедуры, но атакующий бьёт по тому, что человек доверяет интерфейсу.
ФБР связало атаку с КНДР и группой TraderTraitor, которую в отрасли относят к северокорейскому кластеру Lazarus. Злоумышленники атаковали цепочку принятия решения: кто подписывает перевод, что именно он видит, какой код показывает интерфейс и можно ли подменить операцию до финальной отправки в сеть.
Ronin Network: $620–625 млн через валидаторские ключи
Каждый блокчейн представляет собой независимую сеть узлов со своим собственным токеном, механизмами консенсуса, языками программирования, смарт-контрактами и сетевыми правилами. «Мост» — это протокол (или набор правил), который позволяет нескольким блокчейн-сетям взаимодействовать друг с другом и позволяет пользователям обменивать один токен на другой без необходимости совершать сделки на бирже и нести многочисленные торговые комиссии.
Что это: сайдчейн и мост для Axie Infinity, не криптобиржа.
Сколько украли: 173 600 ETH и 25,5 млн USDC; оценка — около $620–625 млн.
Как: атакующие получили контроль над достаточным числом валидаторских ключей и одобрили вывод средств.
Чем закончилось: власти США связали атаку с северокорейской Lazarus Group.
Ronin Network — не биржа, а сайдчейн и мост для Axie Infinity. Но этот инцидент нельзя выкинуть из истории крупнейших криптоограблений. В марте 2022 года атакующие получили контроль над достаточным числом (5) валидаторских ключей и одобрили два вывода: 173 600 ETH и 25,5 млн USDC. Ущерб оценили примерно в $620–625 млн. Четыре ключа валидаторов Sky Mavis уже были скомпрометированы, а пятую подпись они получили через RPC-узел Axie DAO, который раньше использовался для бесплатных транзакций без оплаты газа.
Американские власти связали атаку с северокорейскими группами Lazarus Group и APT38. Ronin показал слабое место мостов: если подтверждение операций зависит от ограниченного набора подписантов, компрометация нескольких ключей превращает мост в кассу без охраны.
Poly Network: $610–612 млн, которые почти вернули
Что это: кроссчейн-протокол, не биржа.
Сколько украли: около $612 млн.
Как: атакующий использовал уязвимость в логике протокола и вывел активы из нескольких сетей.
Чем закончилось: почти все активы были возвращены.
В августе 2021 года Poly Network потеряла около $612 млн из-за уязвимости в кроссчейн-протоколе. Протокол принял вредоносные межсетевые операции как допустимые, и атакующий вывел активы из нескольких сетей.
Дальше история пошла странно даже по меркам крипты. Атакующий начал возвращать активы и подал инцидент как демонстрацию уязвимости. Большую часть средств действительно вернули. Красивый финал не отменяет главного: один дефект в логике протокола открыл доступ к сотням миллионов долларов.
Nomad Bridge: $190 млн и «народный грабёж»
Что это: кроссчейн-мост, не биржа.
Сколько украли: около $190 млн.
Как: после обновления смарт-контракта мост начал принимать специально сформированные транзакции без корректной проверки. Уязвимость быстро стали копировать другие адреса: участники просто меняли адрес получателя и повторяли успешную транзакцию.
Чем закончилось: часть средств вернули, но инцидент вошёл в историю как «массовое разграбление» моста.
В августе 2022 года мост Nomad потерял около $190 млн. Nomad стал редким случаем, когда взлом почти сразу превратился в открытую инструкцию. Ошибка в контракте Replica позволила принимать недействительные сообщения как настоящие. После первой успешной транзакции другие участники просто копировали её, меняли адрес получателя и выводили средства дальше.
Уязвимость оказалась настолько простой для повторения, что после первой атаки другие адреса начали копировать транзакцию, меняя получателя. Mandiant описывала этот инцидент как массовое копирование атаки после ошибки в смарт-контракте.
Nomad стал почти идеальным примером того, как DeFi-инцидент выходит из-под контроля. Уязвимость заметил один атакующий, а дальше повалила толпа. Деньги выводили уже не только профессиональные группы, но и пользователи, которые просто повторяли рабочий шаблон.
Kelp DAO: $292 млн через мост LayerZero и сбой в проверке сообщений
Что это: не биржа, а DeFi-протокол ликвидного рестейкинга. Пользователи вносят ETH или ликвидные стейкинг-токены и получают rsETH — токен, который представляет их долю в рестейкинге и может использоваться дальше в DeFi. Kelp DAO работал через кроссчейн-инфраструктуру LayerZero, чтобы rsETH обращался в разных сетях.
Сколько украли: около 116 500 rsETH, примерно $292–293 млн на момент атаки. Chainalysis пишет, что инцидент произошёл 18 апреля 2026 года и стал крупнейшим DeFi-взломом года на тот момент.
Как: это был не взлом смарт-контракта в классическом смысле, а атака на внешнюю инфраструктуру проверки межсетевых сообщений. Chainalysis описывает её как компрометацию off-chain-инфраструктуры: злоумышленники добились выпуска/разблокировки rsETH против несуществующего burn-события. LayerZero отдельно заявила, что инцидент был изолирован в конфигурации rsETH у Kelp DAO и связан с single-DVN setup — то есть с зависимостью от одного проверяющего контура.
Чем закончилось: украденный rsETH создал риск для DeFi-протоколов, где токен использовался как залог или ликвидный актив. Отраслевые разборы писали о давлении на кредитные рынки и заморозках/ограничениях в связанных протоколах. Для статьи это хороший пример нового типа риска: протокол может быть написан нормально, но слабая конфигурация проверки межсетевых сообщений всё равно открывает путь к сотням миллионов долларов.
Kelp DAO — это DeFi-протокол, а не торговая площадка. Но его взлом хорошо показывает новый тип риска: атакуют не кошелёк пользователя, а инфраструктуру проверки межсетевых сообщений. Если проверяющий контур получает ложные данные и принимает их за правду, мост или протокол может сам выпустить или разблокировать активы для злоумышленника.
В апреле 2026 года Kelp DAO попал под один из крупнейших DeFi-взломов года. Атакующий вывел около 116 500 rsETH, ущерб оценили примерно в $292 млн. Инцидент затронул не классическую биржу, а кроссчейн-инфраструктуру: rsETH обращался в нескольких сетях, а мост работал через LayerZero. CoinDesk писал, что активы оказались «застрявшими» более чем в 20 блокчейнах, а атака ударила по доверию к мостам и ликвидным рестейкинг-токенам.
Техническая суть атаки — в проверке межсетевых сообщений. Galaxy Research описывает схему так: атакующие скомпрометировали два RPC-узла, на которые опиралась сеть проверки, а затем DDoS-атакой заставили систему переключиться на эти отравленные источники данных. Компрометированные RPC-узлы отдавали ложную информацию проверяющему контуру, но для остальной инфраструктуры продолжали выглядеть нормальными. Из-за этого мониторинг не сразу увидел атаку.
Мосты не безопаснее бирж
Ronin, Poly Network, BNB Chain Bridge и Nomad не стоит называть обычными криптобиржами. Это мосты и протоколы, которые помогают переводить активы между сетями. Пользовательская логика там похожая: человек отдаёт актив одной системе и ждёт эквивалент в другой. Внутри лежат большие суммы, а безопасность держится на смарт-контрактах, валидаторах, ключах и администраторах.
Именно поэтому мосты стали любимой целью атакующих. Ошибка в биржевом кошельке даёт доступ к операционной ликвидности. Ошибка в мосте может дать доступ к резервам, которые обеспечивают целый поток переводов между блокчейнами. В BNB Chain Bridge атакующий фактически создал лишние токены через уязвимость в проверке. В Nomad пользователи массово копировали рабочую атаку. В Ronin хватило контроля над валидаторскими ключами.
Крупнейшие потери криптоактивов: сходства и различия
Почти все крупные криптовзломы сводятся к нескольким сценариям:
-
Украли приватный ключ от горячего кошелька, как в BitMart, KuCoin или Poloniex.
-
Сломали процесс подписи, как в Bybit и WazirX.
-
Нашли ошибку в мосте или кроссчейн-логике, как в Nomad, BNB Chain и Poly Network.
-
Получили контроль над валидаторами, как в Ronin.
В каждом случае блокчейн продолжал работать штатно: он просто выполнял транзакции, которые выглядели корректно с точки зрения подписи или логики контракта.
|
Инцидент |
Год |
Что пострадало |
Примерный ущерб |
|
Bybit |
2025 |
криптобиржа, процесс подписи и Ethereum-кошелёк |
около $1,5 млрд |
|
Ronin Network |
2022 |
игровой сайдчейн и мост Axie Infinity |
около $620–625 млн |
|
Poly Network |
2021 |
кроссчейн-протокол |
около $610–612 млн |
|
BNB Chain / BSC Token Hub |
2022 |
кроссчейн-мост |
около $570 млн номинально |
|
Coincheck |
2018 |
горячий кошелёк NEM |
около $530–534 млн |
|
Mt. Gox |
2014 |
биткоин-биржа и кошельки |
около $450–480 млн на тот момент |
|
FTX |
2022 |
кошельки биржи после банкротства |
около $477 млн украденной части |
|
DMM Bitcoin |
2024 |
биткоин-кошелёк |
около $305 млн |
|
KuCoin |
2020 |
горячие кошельки |
более $275 млн |
|
WazirX |
2024 |
мультиподписной кошелёк |
более $230 млн |
|
BitMart |
2021 |
горячие кошельки ETH и BNB Chain |
около $196 млн |
|
Nomad Bridge |
2022 |
кроссчейн-мост |
около $190 млн |
|
Poloniex |
2023 |
горячие кошельки |
около $114–126 млн |
|
HTX и HECO Bridge |
2023 |
биржа и мост |
около $97–115 млн |
|
Binance |
2019 |
горячий кошелёк биржи |
7 000 BTC, около $40 млн |
|
Kelp DAO |
2026 |
DeFi-протокол ликвидного рестейкинга, мост/интеграция LayerZero для rsETH |
около $292 млн |
В новых кейсах атакующие чаще идут глубже — ломают мультиподписи, подменяют интерфейсы, компрометируют валидаторы, мосты, подрядчиков или процессы подписания. Так защита может выглядеть зрелой на бумаге, но если человек подписывает подменённую операцию или доверяет скомпрометированному интерфейсу, результат будет тем же — крупные потери.
Если проанализировать истории выше, то становится понятно: блокчейн обычно не ломают. Ломают инфраструктуру вокруг него. Биржа удобна для торговли, но крупные суммы на ней — это риск. Мост удобен для перевода между сетями, но часто хранит огромную ликвидность в сложной и уязвимой логике. Чем больше денег проходит через такую инфраструктуру, тем выше мотивация атакующих и тем дороже любая ошибка. Берегите свои деньги, даже если они цифровые.
