Самые громкие криптовзломы: как потеряли миллионы и что из этого должен понять каждый

Блокчейн изначально создавался как символ доверия и прозрачности. Однако именно в этой экосистеме за последние десять лет произошли самые масштабные хаки, повлиявшие на экономику, регулирование и подход бизнеса к цифровым активам.

По данным DeFiLlama, за всё время существования криптовалют хакеры украли у проектов $15,6 млрд. И это только официально зафиксированные инциденты.

Для компаний, работающих во внешнеэкономической деятельности, понимание этих кейсов важно не меньше, чем знание норм об импорте и экспорте — ведь речь идёт о рисках, сопоставимых с утратой грузов или заморозкой счетов.

В этой статье мы разберем, как именно происходили крупнейшие криптовзломы, почему разработчики допустили ошибку, и какие выводы должен сделать каждый, кто взаимодействует с DeFi, NFT или просто держит стейблкоины на кошельке.

Потери: более $17 млрд по текущему курсу
Механика: несанкционированные выводы + баг в идентификаторах транзакций
Последствия: крах главной биржи того времени, многолетние суды, затянутая компенсация пострадавшим

Когда говорят «первая криптокатастрофа», обычно имеют в виду именно Mt.Gox. На старте это была обычная биржа, на которой торговали карточками Magic: The Gathering. Позже она превратилась в крупнейшую биткоин-платформу с оборотом в 70% мировых BTC-транзакций.

Но внутри всё держалось на костылях. Биржа не вела корректный учёт балансов, транзакции подтверждались без сверки, а приватные ключи к горячим кошелькам хранились в скомпрометированных системах. Несколько лет подряд с Mt.Gox тихо утекали биткоины. Никто не заметил, пока не стало поздно.

Одним из технических векторов был баг под названием transaction malleability — возможность изменить ID транзакции до финального подтверждения в блокчейне. Это мешало синхронизации балансов и позволяло недобросовестным пользователям выводить средства повторно, утверждая, что первая попытка не прошла.

В 2014 году Mt.Gox внезапно заморозила работу, ссылаясь на «необъяснимые пропажи средств». Вскоре стало известно, что исчезло 850 000 BTC. Это был удар, который отбросил рынок назад на годы.

Биржу не взломали за одну ночь. Она годами игнорировала базовые принципы информационной безопасности и бухгалтерского контроля. Пострадавшие начали получать выплаты только в 2024 году, спустя 10 лет.

Урок — централизованная биржа — это не ваш кошелёк. Как бы ни был велик бренд, если у вас нет приватных ключей, у вас нет контроля над средствами.

Потери: $60 млн в ETH
Механика: повторный вызов функции до обновления баланса (reentrancy)
Последствия: хардфорк Ethereum

The DAO должен был стать венцом децентрализации — краудфандинговой венчурной платформой, управляемой исключительно смарт-контрактом. Проект собрал более $150 млн в ETH, что по тем временам было астрономической суммой. Люди впервые вложили сотни миллионов не в компанию, а в код.

Но код оказался уязвим. В функции вывода средств логика была неправильной: сначала контракт отправлял токены, а только потом обновлял баланс пользователя. Это дало атакующему возможность создать паразитный контракт, который при получении средств тут же инициировал повторный вызов вывода. Так хакер вытягивал деньги по круг, пока не опустошил контракт.

Это классическая ошибка, известная как reentrancy, и именно она позже стала причиной появления паттерна checks-effects-interactions, обязательного в любой серьёзной разработке.

Что было дальше

Сообщество Ethereum оказалось перед выбором: сохранить принцип неизменности блокчейна или вернуть средства пользователям. Большинство проголосовало за откат истории транзакций и возврат украденного. Так появился хардфорк Ethereum, в результате которого сеть раскололась на две:

УрокДаже если код открыт и прошёл аудит, он может содержать критические логические ошибки. Перед тем как доверить деньги DeFi-протоколу, стоит изучить не только интерфейс, но и то, как устроена логика работы под капотом.

Потери: 127 426 BTC (от $3,5 млрд на дату взлома до $14,5 млрд при расследовании)

Механика: компрометация системы управления майнинг-пулом

Последствия: самый крупный инцидент в истории криптоиндустрии, пересмотр стандартов безопасности для майнинг-провайдеров

В августе 2025 года стало известно о взломе китайского майнинг-пула LuBian, который оказался крупнейшей кражей криптовалюты за всю историю крипты. Похищено было 127 426 биткоинов — объём, несравнимый ни с каким предыдущим инцидентом. На момент кражи стоимость активов оценивалась в $3,5 млрд, но к моменту расследования в $14,5 млрд, что отражало рост цены криптовалют на рынке.

Майнинг-пулы — это централизованные платформы, где тысячи майнеров объединяют вычислительные мощности для добычи криптовалюты. LuBian была одной из крупнейших таких платформ, и её взлом свидетельствовал о том, что даже профессиональная инфраструктура, работающая с миллиардами, уязвима перед скоординированными атаками.

Детали взлома не были полностью раскрыты, однако расследование показало, что речь идёт не о единовременной атаке, а о систематическом проникновении в систему управления, которое позволило злоумышленникам получить доступ к горячим кошелькам пула и полностью вывести накопленные активы.

Урок

Выбор платформы для торговли или хранения криптовалют должен основываться не только на удобстве интерфейса или размере торговых объёмов. Если криптобиржа или сервис использует системы управления ключами, разработанные на основе устаревших или недокументированных технологий, это потенциально критический риск.

Потери: $625 млн в ETH и USDC
Механика: компрометация мультиподписи (5 из 9)
Последствия: крупнейший в истории взлом моста, паралич инфраструктуры Axie Infinity

В эпоху мультичейна мосты стали критически важными элементами инфраструктуры. Ronin — это сайдчейн Ethereum, на котором работала игра Axie Infinity. Для вывода средств с моста требовалась мультиподпись — 5 из 9 ключей. Проблема в том, что 4 из 9 валидаторов контролировала сама Sky Mavis, а ещё один был скомпрометирован через социальную инженерию.

В результате атакующие получили контроль над ключами и подписали фальшивую транзакцию, выведя более $600 млн. Потерю заметили только через 6 дней.

Почему это стало возможным:

Это был не баг в коде, а ошибка в архитектуре управления.

Урок
Блокчейн может быть децентрализованным, но если ключи у пяти сотрудников одной компании — это уже централизованная точка отказа. Используйте только мосты с распределёнными валидаторами, аппаратными ключами и проверяемой инфраструктурой.

Отлично. Продолжаем в том же стиле — с упором на детали, понятные объяснения и выводы, которые реально помогут читателю не наступить на те же грабли.

Потери: $326 млн в ETH
Механика: подделка верифицированной транзакции из-за отсутствия проверки подписи
Последствия: один из крупнейших взломов кроссчейн-инфраструктуры

Wormhole был одним из ключевых мостов между Ethereum и Solana. Он позволял перемещать активы между сетями, выпуская обёрнутые токены (wrapped ETH) в Solana. Но в начале 2022 года кто-то нашёл критическую дыру в коде.

Хакер воспользовался отсутствием обязательной проверки цифровой подписи — а именно, модуль verify_signature не был вызван как часть критической функции. Это позволило злоумышленнику сымитировать якобы легитимный депозит ETH, после чего он заминтил 120 000 wETH в Solana, не залочив при этом реальные токены в Ethereum.

Иначе говоря, он создал ETH «из воздуха», и смог продать их на рынке. Реальных активов под ними не было и пользователи, купившие эти токены, по сути, держали фантики.

Примечательно, что спустя сутки компанию спас крупный инвестор проекта — Jump Crypto. Он восстановил баланс моста из собственного кармана, чтобы не допустить паники и краха экосистемы.

Урок
Даже один пропущенный вызов функции может стоить сотни миллионов. Никогда не отправляйте крупные суммы через малоизвестные или новые мосты, особенно если они не прошли формальную верификацию и аудит.

Потери: $610 млн
Механика: некорректная логика контроля доступа в кроссчейн-контракте
Последствия: добровольный возврат средств, усиление внимания к ролям в смарт-контрактах

Взлом Poly Network — это случай, когда сам код протокола выдал хакеру ключи от сейфа. В одном из контрактов, отвечающих за управление кроссчейн-транзакциями, оказался баг: можно было подделать права администратора и отправить себе любые активы из пула.

Хакер провёл серию транзакций и забрал $610 млн в разных токенах. Уязвимость была до банального проста. В функции verify был утерян контроль за правами вызывающей стороны, и контракт «поверил», что всё происходит по правилам.

Но дальше история пошла неожиданно. Через несколько дней злоумышленник начал возвращать средства. На общение с командой он выходил под ником «Mr. White Hat», утверждая, что делал это ради тестирования безопасности и морального удовлетворения. Позже ему даже предложили пост советника по безопасности.

Урок
Даже крупные протоколы могут допустить грубые ошибки в управлении доступом. Никогда не стоит слепо доверять уровню TVL или названию проекта. Всегда проверяйте:

Потери: ~$70 млн
Механика: ошибка в компиляторе Vyper (версии 0.2.x)
Последствия: удар по доверию к DeFi, временная паника на стейблкоинах

Этот инцидент был особенно тревожным, потому что ударил по фундаментальному доверию не просто к проекту, а к инструменту разработки. Curve использовал язык Vyper — альтернативу Solidity с упором на безопасность. Однако версии 0.2.15, 0.2.16 и 0.3.0 содержали баг в компиляции reentrancy guard, механизма, защищающего контракты от повторных вызовов.

Это привело к тому, что защита работала только визуально. В реальности контракты Curve были уязвимы к классической атаке повторного вызова (как в случае с The DAO). Хакеры смогли воспользоваться этим, выведя активы из нескольких пулов.

Curve — один из системообразующих DeFi-протоколов, и взлом вызвал волну продаж токена CRV, падение цены и обеспокоенность по поводу состояния ликвидности.

Урок
Даже «безопасный язык» не застрахован от критических багов. Никогда не инвестируйте в проект только потому, что он «написан на Vyper». И не держите крупные суммы в пуле, если его код недавно обновлялся и вы не видели аудит нового релиза.

Потери: ~$126 млн
Механика: внутренний доступ к приватным ключам валидаторов
Последствия: крах проекта, полный вывод ликвидности, подозрения на инсайд

Multichain долгое время считался удобным агрегатором для бриджа активов между сетями. Но в июле 2023 года проект внезапно остановил работу. Активы начали уходить с мостов. Служба поддержки молчала. Команда не выходила на связь.

Позже стало известно, что у основателя была возможность единоличного доступа к мультисиг-ключам, а все валидаторы были под централизованным контролем. Знакомая история, правда? Он исчез, и миллионы долларов с бриджей начали утекать в неизвестном направлении.

Казалось бы, речь снова о баге. Но никакой баг не нужен, если архитектура строится на доверии к одному человеку. Multichain пал не от хакеров, а от централизации и отсутствия прозрачности.

Урок
Если у проекта нет децентрализации в критических модулях (бриджи, мультиподписи, DAO), это не DeFi, а рисковая централизованная платформа. Используйте сервисы, у которых:

Потери: около $1.4–1.5 млрд в ETH
Механика: компрометация холодного кошелька
Последствия: исторический ущерб, угроза стабильноcти платформы

21 февраля 2025 года биржа Bybit сообщила о кражe ~401 346 ETH из своего холодного кошелька. Расследование показало, что команда Safe{Wallet}, предоставляющая инфраструктуру для мультиподписей, использовала скомпрометированное ПО. Вредоносный код внедрялся через распространённые приложения для торговли криптой, изменяя внутреннюю логику подписания транзакций.

Это означало, что пользователь видел правильный адрес при подписании, но на самом деле сделка выполнялась на изменённый контракт, который переводил ETH на адреса хакеров. Это был комплексный вектор атаки: фишинг, malware и нарушение доверия к внешнему провайдеру.

Bybit оперативно заморозила все операции и обратилась к крупнейшим игрокам индустрии (Galaxy Digital, FalconX и Wintermute), чтобы восстановить резервы в течение 72 часов. Тем временем ФБР официально связало атаку с северокорейской группировкой Lazarus.

Это первый случай, когда холодный мульти‑сиг кошелёк оказался уязвимым через инфраструктурного провайдера.

Урок
Никогда не полагайтесь на внешние решения для мультиподписей без двойного контроля и верификации кода.

История криптовзломов показывает одно — доверять можно только системам, где безопасность встроена в архитектуру. Когда речь идёт о миллионах долларов, о трансграничных расчётах, недостаточно просто «иметь кошелёк». Нужны проверенные решения, которые сочетают технологию блокчейна, юридическую надёжность и прозрачную логику смарт-контрактов.

Одним из таких решений стала платформа Grinex — экосистема для бизнеса и финансовых организаций, использующая блокчейн для международных расчётов и трансграничных платежей.

Grinex — это инструмент, который позволяет бизнесу безопасно работать с цифровыми активами, не опасаясь повторения сценариев из этой статьи.

Для компаний, которые рассматривают параллельный импорт, оплату поставок в крипте или расчёты в стейблкоинах (USDT и A7A5), это способ снизить риски. Grinex делает то, что не смогли обеспечить многие централизованные биржи: доверие, подтверждённое кодом, и безопасность, подтверждённую регулятором.

Если вы думали, что крипта — это просто «купи и держи», пришло время пересмотреть подход. Каждый кейс, описанный выше, показывает, что уязвимости бывают в коде, в инфраструктуре, в процессах и в людях. И зачастую они всплывают не на ранней стадии, а когда на кону уже сотни миллионов.

Да, блокчейн прозрачен. Но прозрачность не защищает от багов, ошибок в смарт-контрактах и халатности команд. Это не централизованный банк, где можно позвонить в техподдержку. Здесь цена одного клика весь капитал. И как показывает история, от атак не застрахованы ни протоколы с аудитами, ни биржи с именем, ни мосты с миллиардными оборотами.

В крипте нет гарантий. Но знание истории — это уже шаг к защите будущего.