Криптовалютные хакеры сейчас могут за 2 секунды после атаки перевести украденные средства, зачастую еще до раскрытия утечки данных жертвы. Анализ Global Ledger по 255 инцидентам киберпреступлений в криптоиндустрии 2025 года дает наиболее ясное заключение: в 76% случаев средства переводятся до публичного раскрытия, а во второй половине года этот показатель вырос до 84,6%.
Революция скорости перевода 76% украденных средств до раскрытия
(Источник: Global Ledger)
Эта скорость поражает. Согласно отчету Global Ledger, в 76% случаев украденные средства переводятся до того, как инцидент становится публичным, а во второй половине года этот показатель вырос до 84,6%. Это означает, что злоумышленники зачастую действуют еще до того, как биржи, аналитические компании или правоохранительные органы успевают скоординировать ответ.
Тактика «выкрасть и скрыться до раскрытия» чрезвычайно умна. Пока инцидент не обнародован, украденные адреса не помечены как подозрительные, биржи и блокчейн-аналитики не знают, что эти адреса связаны с преступлением. Перевод средств в этот момент возможен без препятствий, без срабатывания тревог или блокировок. После раскрытия инцидента эти адреса быстро заносятся в черный список, и дальнейшие переводы сталкиваются с серьезными препятствиями.
Рост с 76% в первой половине 2025 года до 84,6% во второй показывает, что скорость злоумышленников продолжает увеличиваться. Это связано с улучшением автоматизированных скриптов (хакеры сразу после взлома запускают автоматические скрипты перевода), точностью расчетов времени реакции жертв и развитием межцепочечных мостов и других инструментов, упрощающих перевод. Для жертв это означает, что окно между обнаружением взлома и выводом средств практически исчезает — шансы заморозить активы минимальны.
Однако скорость — лишь часть проблемы. Хотя первые переводы сейчас почти мгновенны, полноценное отмывание средств занимает больше времени. Во второй половине 2025 года хакеры в среднем тратят около 10,6 дней, чтобы добраться до конечных точек — бирж или миксеров, — тогда как в начале года этот срок составлял около 8 дней. Короче говоря, скорость в спринте выше, а в марафоне — ниже.
Двухэтапная временная шкала отмывания криптовалют
Первый этап (перевод): в течение 2 секунд с адреса жертвы, до раскрытия
Второй этап (отмывание): в среднем 10,6 дней до конечной точки, с использованием многоуровневых маршрутов для обхода отслеживания
Тенденции: ускорение переводов (84,6% до раскрытия), замедление отмывания (с 8 до 10,6 дней)
Эти изменения отражают усиление регулирования после раскрытия инцидентов. После публикации информации о взломе биржи или платформы аналитики маркируют подозрительные адреса и усиливают контроль. Поэтому злоумышленники делят средства на меньшие части и используют многоуровневые маршруты для их перевода, а затем пытаются вывести деньги.
Мосты на сумму 2,01 миллиарда долларов и возрождение Tornado Cash
(Источник: Global Ledger)
Мосты стали основным каналом для отмывания средств. Почти половина украденных активов — около 20,1 миллиарда долларов — перемещены через межцепочечные мосты. Это более чем в три раза превышает сумму, переведенную через миксеры или приватные протоколы. Например, в скандальном случае взлома централизованных бирж в прошлом году 94,91% украденных средств прошли через мосты.
Причина популярности межцепочечных мостов как инструмента отмывания — их удобство и скрытность. Когда злоумышленники переводят украденные ETH через мост на BNB Chain или Polygon, отслеживание усложняется. Различия в форматах адресов, раздельные блокчейн-обозреватели и необходимость координации с правоохранительными органами создают дополнительные задержки. Кроме того, многие малые цепочки имеют менее развитые инструменты аналитики и регулирования, что облегчает исчезновение средств после перевода.
20,1 миллиарда долларов — примерно 50% от общего украденного в 2025 году объема в 40,4 миллиарда. Такая концентрация средств в одном канале отмывания создает как возможности, так и вызовы для правоохранительных органов. Усиление контроля за межцепочечными мостами (например, внедрение KYC для протоколов мостов, блокировка подозрительных транзакций) может остановить примерно половину преступных операций. Но проблема в том, что большинство мостов — децентрализованные, без центрального органа, который мог бы принудительно внедрять такие меры.
Одновременно вновь привлекает внимание протокол Tornado Cash. В 2025 году он фигурирует в 41,57% случаев взломов. Отчет отмечает, что из-за изменений санкционной политики его использование значительно выросло во второй половине года. Tornado Cash — это протокол микширования на Ethereum, объединяющий средства множества пользователей, что делает практически невозможным отслеживание происхождения конкретных средств. В 2022 году Минфин США включил Tornado Cash в список санкций, однако его смарт-контракт остается активным на блокчейне, и полностью его отключить невозможно.
Показатель 41,57% свидетельствует о том, что даже при санкционных рисках злоумышленники продолжают активно использовать Tornado Cash. Это может объясняться ослаблением санкционных мер при администрации Трампа, желанием хакеров сохранять приватность или высокой эффективностью протокола. Такой «неэффективный» эффект санкций подчеркивает фундаментальные сложности регулирования децентрализованных протоколов.
Таинственный феномен — половина украденных средств остается не тронутой
Во второй половине года резко снизился объем средств, выводимых на централизованные биржи. Доля украденных средств, перемещенных в DeFi-платформы, растет. Злоумышленники, похоже, избегают очевидных каналов вывода, пока общественность не обратит внимания. Аналитика показывает, что около 49% украденных криптовалют все еще не использованы — миллиарды долларов остаются в кошельках, возможно, для будущего отмывания.
Половина украденных средств остается неактивной — это крайне странное явление. Эти 49% примерно равны 19,8 миллиарда долларов, контролируемых хакерами, но пока не реализованных или не использованных для отмыва. Возможные причины: злоумышленники ждут снижения общественного интереса, чтобы действовать, или объем средств слишком велик, чтобы быстро их очистить. Также некоторые хакеры — долгосрочные инвесторы, рассматривающие биткоин как средство хранения стоимости и не спешащие с выводом.
Этот «скрытный» подход создает двойственный эффект: с одной стороны, пока средства не тронуты, есть шанс их вернуть, если правоохранительные органы смогут определить местоположение хакеров и получить доступ к их ключам. С другой стороны, эти активы могут через месяцы или годы внезапно начать отмываться, и к тому времени интерес к делу снизится, а контроль ослабнет — шанс успешно завершить расследование уменьшится.
Проблема остается острой. Потери на Ethereum достигли 24,4 миллиарда долларов, что составляет 60,64% от общего ущерба. В 2025 году зарегистрировано 255 случаев краж на сумму 40,4 миллиарда долларов. Однако восстановление средств идет медленно: только около 9,52% активов заморожены, а возвращено — лишь 6,52%.
Такая крайне низкая степень возврата (6,52%) — одна из самых разочаровывающих реалий криптоворлд. В традиционных финансовых системах, например, при банковских ограблениях или переводах, возврат достигает 30-50%, поскольку деньги проходят через регулируемые институты, которые могут их заморозить и вернуть. В криптомире, как только средства попадают в кошелек злоумышленника, вернуть их практически невозможно, если он сам не захочет вернуть или его не задержит правоохранительные органы. Этот «постоянный ущерб при краже» — одна из главных угроз безопасности криптоактивов.
Общая картина такова: злоумышленники в первые секунды после взлома используют автоматизированные средства для быстрого перевода. Защита зачастую реагирует слишком медленно, что вынуждает преступников применять более сложные и медленные схемы отмывания. Игра продолжается — только теперь она перешла в новую фазу: вначале — за секунды, в конце — за дни.
