Podszyta „obsługa klienta” portfela sprzętowego stoi za jednym z największych włamów w krypto

TIncydent rozegrał się około 23:00 UTC: na celowniku znalazł się portfel związany z 2,05 mln LTC (ok. $153 mln) oraz 1 459 BTC (około $139 mln). Dane on-chain pokazują, że sprawca przejął środki natychmiast – w momencie, gdy właściciel zdradził recovery phrase oszustowi podszywającemu się pod wsparcie Trezor.

On-chainowy detektyw ZachXBT podkreśla, że kradzież miała tempo „na żyletki”: w kilka minut aktywa pocięto i rozprowadzono kilkoma ścieżkami. Część przewinęła się przez THORChain, by „przestawić” wartość między Bitcoin, Ethereum, Ripple i Litecoin, a potem znaczące sumy przepuszczono przez instant exchangery, zamieniając je na Monero – klasyczny ruch pod przykrycie. Strumienie do Monero zbiegły się z nagłym pumpem XMR. „To nie jest Korea Północna” – zaznaczył ZachXBT, odpierając spekulacje o państwowym pochodzeniu ataku.

Mimo tego część środków udało się zatrzymać. ZeroShadow poinformowało, że po alarmie z systemów monitoringu w ok. 20 minut wykryto transakcje i doprowadzono do zamrożenia ok. $700 000. Firma podkreśliła: poszkodowany to osoba fizyczna, oszukana przez fałszywe „Trezor ‘Value Wallet’ support” – bez jakiejkolwiek kompromitacji portfela czy infrastruktury kluczy, czysta socjotechnika.

Ten przypadek podkreśla brutalną prawdę: gdy seed phrase zostanie ujawniona, niemal wszystkie „zwykłe” zabezpieczenia przestają mieć znaczenie. Wystarczy kompromitacja frazy, by napastnik mógł odtworzyć portfel na własnym urządzeniu, podpisywać transakcje i – bez udziału CEX – przesuwać środki między sieciami oraz pulami płynności. W tym incydencie peel-chain, kros-chainowe bridge’e i prywatne swapy bardzo szybko poszatkowały trasę przepływu – w skali godzin – co gwałtownie utrudniło śledzenie aktywów i późniejszą ekspertyzę on-chain.

To już drugi wyraźny megacasus social engineering, który w ostatnich miesiącach zwrócił uwagę branży. W innym epizodzie z 2025 roku starszy inwestor z USA stracił ponad $330 mln w BTC: oszuści wyłudzili dostęp, a następnie przepuścili monety przez giełdy i Monero. Obie historie razem pokazują, że w największych kradzieżach coraz częściej dominuje „nietechiczna” kompromitacja – przestępcy omijają zabezpieczenia kodu, wykorzystując zaufanie i podrabiając procedury wsparcia.

Eksperci od bezpieczeństwa portfeli i osoby prowadzące dochodzenia zalecają wdrożenie surowego modelu: każda niespodziewana wiadomość „od supportu” to z definicji podejrzenie ataku. Nie wpisywać seed phrase w przeglądarce ani w czatach, sprawdzać adresy w pełnej formie na ekranie urządzenia hardware i przechowywać recovery phrase wyłącznie offline. Dodatkowo rekomenduje się dzielić środki między kilka skarbców i stosować plausible deniability – rozwiązania, w których w razie przymusu sprawca widzi jedynie drobną kwotę. Nie cofnie to kradzieży, ale znacząco ogranicza skalę strat, jeśli socjotechnika zadziała.