Взломать, похитить и убить: почему инвесторы с криптокошельками стали чаще подвергаться атакам

Русское «криптокоролевство»

Многие россияне, несмотря на высокую волатильность, держат часть сбережений на криптокошельках. Так, согласно последним данным Центробанка на конец марта 2025 года, остатки криптовалют на кошельках криптобирж составляли 827 млрд рублей. 62% этих активов были в биткоинах, 22% — в эфирах, еще 16% — в стейблкоинах. Однако это только часть средств, Центробанк не учитывает монеты на личных криптокошельках, не связанных с биржами.

По словам директора по стратегии инвестиционной компании «Финам» Ярослава Кабакова, косвенные расчеты аналитиков и сопоставление с международной практикой показывают, что значительная доля криптосредств как раз находится на последних – на  личных холодных кошельках. Общий объем криптоактивов россиян, по его оценкам, может быть выше биржевых остатков примерно в 1,5–3 раза.

Похожие оценки дал SecPost и независимый специалист по криптовалютным  расследованиям Григорий Осипов. Он говорит, что большинство россиян использует биржи, прежде всего, для обмена средств либо торговли. По оценкам Осипова, на внебиржевых кошельках хранится в 2-2,5 раза больше средств, чем на кошельках криптобирж – т.е. год назад там находилось крипты на 1,7-2,3 трлн рублей.

Осипов обращает внимание, что у кошельков, о которых собрал данные ЦБ, 80% монет – это биткоин и эфиры. За последние пару месяцев они потеряли в цене почти в 2 раза. Это стоит учитывать при сегодняшних оценках объема активов россиян.

Еще одну оценку дал SecPost основатель проекта Blockchain Life Forum Сергей Хитров. По данным сайта для отслеживания данных о крипте CoinMarketCap, объем крипторынка сейчас $2,4 трлн. Если верить статистике криптобирж и DEX-трейдинг платформ (децентрализованных криптобирж – ред.), на россиян приходится 14% всего криптотрафика, обращает внимание эксперт.

Хитров дает оценку, что на криптобиржах россиянам принадлежит 5-7% всей крипты, которая там хранится. Если оценить общую сумму крипты на криптобиржах в $300 млрд, то у россиян может быть $15-21 млрд, или 1,1 трлн рублей. Т.е. несколько больше, чем оценивает Центробанк, который рассчитывал данные только по крупным торговым площадкам.

Таким образом, криптовалюта стала для россиян, в условиях санкций, важным активом, позволяющим не зависеть от позиции международных банков и дающая возможность дифференцировать часть накоплений.

Похитители из салона связи

Столь большой объем средств не мог не вызвать интереса у хакеров. По данным аналитической компании в области криптовалют ШАРД за 2024 год, у россиян похитили крипту на $150 млн. Данных за 2025 год нет, однако, по оценкам опрошенных SecPost криптоаналитиков, объем похищенных средств может быть еще больше.

Чаще всего хакеры охотились за персональными криптокошельками, поясняют опрошенные специалисты по кибербезопасности. На последних попросту лежит больше денег, а также их проще взломать. Правда, по общему объему украденных средств все же лидируют биржевые кошельки. Это объясняется тем, что при таких атаках злоумышленники пользуются уязвимостями в самих биржах и часто похищают средства одновременно со многих кошельков.

Менее всего защищены «горячие» программные кошельки, поясняет SecPost директор по маркетингу разработчика в сфере блокчейн Web3 Tech Матвей Войтов. Однако, по его словам, взломов аппаратных кошельков тоже уже не редкость – как правило, преступники просто выманивают в этом случае у жертв пароли.

Аппаратные криптокошельки представляют из себя отдельное устройство, часто похожее на флешку. В нем хранятся ключи, позволяющие совершать операции с криптой.
Программный криптокошелек – это специальное приложение, в котором также хранятся ключи для совершения транзакций с монетами. Они могут быть установлены на компьютере, в смартфоне или быть просто в сети (веб-кошельки).

Одни из самых частых атак идут на кошельки типа MetaMask (криптовалютный кошелёк, доступный в виде браузерного расширения и мобильного приложения, прим ред.), подтверждает инженер-аналитик компании «Газинформсервис» Екатерина Едемская. Она обращает внимание, что наименее защищенными также являются горячие кошельки в интернете, особенно браузерные расширения и мобильные приложения. Самыми рискованные для клиентов – веб-версии таких кошельков. Проблемой горячих кошельков, по словам Едемской, становится то, что seed-фразы хранятся в памяти компьютера, откуда их извлекают вирусы.

Опрошенные SecPost специалисты по кибербезопасности говорят, что к ним часто обращаются владельцы криптокошельков, с которых были похищены деньги. Так, Екатерина Едемская рассказала, что знает о случае, когда криптоинвестору пришло сообщение о выигрыше в NFT. Он перешел по ссылке, подключил кошелек и мгновенно потерял крипту. Вернуть деньги не удалось. Едемская говорит, что мошенники целенаправленно таргетируют русскоязычный сегмент, создавая фейковые биржи и поддержку.

Еще одной жертвой недавно стал российский майнер. Григорий Осипов рассказал, что жертва обратилась к нему за помощью. Россиянин обновил программное обеспечение криптокошелька Exodus. Кошелек был установлен на смартфоне и компьютере, хакерам удалось вывести все хранившиеся на нем монеты.

Другой клиент, ставший жертвой хакеров, рассказал Осипову, что ему надо было заменить мобильный телефон и он пришел в салон сотовой связи, чтобы ему помогли перенести данные со старого. На старом телефоне был кошелек Trust wallet. Через несколько дней с него неизвестные вывели всю крипту. Проведя расследование, Осипов выяснил, что сотрудники салона связи просто сохранили все фотографии со старого телефона жертвы. На одной из них и оказалась seed-фраза для доступа к крипте.

Злобные «фишеры»

Чаще всего монеты с криптокошельков воруются с помощью фишинговых атак, говорят опрошенные SecPost эксперты.

По оценкам Ильдара Галиева, руководителя направления «Развитие услуг» компании «Кросс технолоджис», около 70% взломов идет именно через фишинг. Также часто кошельки ломают через компрометацию seed-фраз.

Традиционно высокая популярность есть и у социальной инженерии. Распространены схемы, когда преступники звонят якобы от службы безопасности биржи или пишут в Telegram, убеждая ввести seed-фразу для верификации, рассказывает Екатерина Едемская.

Также популярны стилеры — вирусы, крадущие пароли, и файлы кошельков с компьютера. Опасны подменные адреса в буфере обмена, когда вирус меняет адрес получателя при вставке. «За этими атаками стоят организованные группировки за рубежом. Называть имена сложно, они меняют вывески. Для обычных пользователей угрозу представляют банды, продающие доступы на теневых форумах», — поясняет Едемская.

Одна из опасных схем, получившая распространение в начале 2026 года, связана с псевдо-AML-проверками (Anti-Money Laundering — это система мер и процедур, направленных на предотвращение отмывания денег и финансирования терроризма – ред.): пользователь переходит по ссылке и подписывает транзакцию, которая на самом деле делегирует злоумышленнику право списания средств, рассказывает аналитик по расследованиям AML/KYT провайдера «Шард» Дмитрий Пойда. Еще одна популярная схема, по его словам, это инвестиционные и романтические сценарии. Пользователь длительное время вовлекается в разговор, после чего ему предлагается инвестировать в якобы прибыльную платформу.    

Часто криптоинвесторы попадаются на схемы, когда подключают криптокошелек к сервису, где созданы фальшивые подтверждения – например, кнопка «подтвердить кошелек», рассказывает Григорий Осипов. Подписав их, жертвы теряют доступ к своим накоплениям. Встречаются и «пылевые атаки», когда злоумышленники засылают на адрес жертвы мелкие транзакции с адресов сходных по написанию с адресами-контрагентами жертвы в расчете на ошибку при совершении перевода.

Гораздо реже хакеры используют персонализированные атаки. Но они тоже есть, обычно против держателей крупных сумм. Сама природа публичных блокчейнов, таких как Bitcoin и ETH, предполагает прозрачность: любой адрес, его баланс и история транзакций доступны для анализа через специализированные аналитические платформы. «Это создает уникальную среду, в которой финансовая информация формально анонимна, но при определенных условиях может быть деанонимизирована», — поясняет Дмитрий Пойда.

Злоумышленники часто отслеживают криптовалютные адреса в блокчейне и могут выбрать те из них, на которых идет высокая торговая  активность и где есть большой баланс. В этом случае они могут, к примеру, совершить «пылевую атаку», рассказывает Пойда. Другой сценарий  — атака против известных вне сети людей. Хакеры выходят на них напрямую и пытаются разыграть какую-то ситуацию, чтобы спровоцировать владельца крипты на ошибку, которая позволила бы получить доступ.

Дополнительные данные о крупной жертве хакеры могут получить из утечек взломанных баз данных криптобирж, профильных форумов или Telegram-каналов. Для сбора данных о жертве преступники также могут использовать блокчейн-анализ, данные из соцсетей жертвы, с LinkedIn, а также проводить корреляцию транзакций с публичными профилями, рассказывает Ильдар Галиев. «Подобный блокчейн-анализ помог раскрыть полную цепочку передачи криптовалюты, которая использовалась для финансирования террористов при теракте в Крокус Сити Холл», — говорит он.

Из-за подобных атак даже появились AML-сервисы (Anti-Money Laundering) по проверке криптокошельков на предмет скомпрометированности, продолжает эксперт. Через них, например, можно установить, что какой-то криптокошелек использовался для финансирования ВСУ и делать переводы на него опасно.

Опасные корейцы

Как правило, похитители криптовалюты представляют из себя большой организационный теневой бизнес, работающий по сервисной модели. «Разработчики такого вредоносного ПО продают доступ к нему другим пользователям-хакерам, в задачи которых входит только запустить программу или сделать рассылку. «Заработок» делится между разработчиком ПО и хакером», — объясняет Григорий Осипов.

Среди крупных хакерских группировок, занимающихся взломами криптокошельков, можно выделить Lazarus (группировка из Северной Кореи, которая, по некоторым данным может стоять за взломом биржи Bybit в феврале прошлого года, когда было украдена криптовалюта на $1,5 млрд – ред.), Key Group (русскоязычная группировка, ставшая заметной с 2023 года – ред.) и операторы стилера Phantom (это ПО, как и другие стилеры, собирает данные с зараженных устройств – ред.). Они разрабатывают собственное вредоносное ПО и проводят сложные массовые и целевые атаки, рассказывает ведущий эксперт отдела разработки и тестирования компании «Код безопасности»  Александр Самсонов.

Мелкие же преступники, по его словам, чаще всего действуют в рамках модели Malware-as-a-Service, то есть покупают готовые наборы для взлома на черном рынке.

Возможно, самой опасной из всех группировок является как раз Lazarus, продолжает Дмитрий Пойда. Именно ей приписывают многочисленные взломы DeFi‑протоколов и кросс‑чейн‑мостов (это программное решение, помогающее устанавливать связь и обмениваться монетами между разными блокчейн-сетями – ред.), ущерб от деятельности исчисляется сотнями миллионов долларов. Эта группа обладает высокой технической подготовкой, использует сложные схемы отмывания средств, цепочки промежуточных адресов и децентрализованные протоколы.

Также, по словам Дмитрия Пойды, на россиян часто в последнее время совершают атаки различные более мелкие группировки из регионов Восточной Европы.

Если же криптовалюту у пользователей не удается похитить, на жертву с крупной суммой сегодня может выйти и силовой блок преступного мира. Это так называемые «атаки с гаечным ключом». В последнее время количество физических нападений на криптанов во всем мире сильно выросло.

Так, в мае прошлого года во Франции похитили дочь Пьера Нуаза – главы французской криптобиржи Paymium. Женщине удалось вырваться, а полиции Франции задержать больше 20 человек банды, стоявших за преступлением. Меньше повезло неназванному криптоинвестору, которого примерно в тоже времени похитили в Лас-Вегасе трое подростков. Они отвезли жертву в пригород, где заставили отдать пароли от криптокошельков. В итоге им удалось вывести активы на $4 млн. Правда, затем преступников также задержали.

Тогда же, но уже в Нью-Йорке похитили криптомиллионера Майкла Картуана, чье состояние оценивают в $30 млн. К нему на виллу проникли два других криптоинвестора и проводили пытки, требуя seed-фразы. Каким-то образом через две недели Картуану удалось сбежать.

Подобные нападения случаются и против российских криптоинвесторов. Так, например, летом прошлого года начался суд над бандой из Алтайского края, которая вывезла в лес криптомиллионера и смогла получить от него доступ к его кошелькам. На счетах жертвы было 500 млн рублей. Но перевести себе грабители смогли только 5,6 млн рублей.

А в ноябре прошлого года был убит криптобизнесмен Роман Новак, который называл себя «другом Павла Дурова», и его супруга Анна. По некоторым данным, Новак мог «кинуть» инвесторов своего проекта Fintopio на $500 млн. Семью заманили на виллу в Дубае, якобы на встречу с потенциальными инвесторами. Преступников задержали в России, как выяснилось, среди них был, в том числе бывший силовик.

Опрошенные SecPost эксперты говорят, что преступников провоцирует потенциальная безнаказанность. Как оказалось, с криптокошельков гораздо проще снять крупные суммы, чем с обычных банковским карт, а отследить транзакции в ходе отмывания средств бывает сложнее.

Таким образом, крипта и криптокошельки стали сегодня небезопасным активом, за которым охотятся множество преступников. И учитывая то, что крипта во многих странах находится в серой зоне, их владельцы часто оказывается наедине с преступным миром.