Фейковая «поддержка» hardware-кошелька стала причиной одного из крупнейших взломов в криптоиндустрии

Инцидент произошёл около 23:00 по UTC: атаке подвергся кошелёк, связанный с 2,05 млн LTC (порядка $153 млн) и 1 459 BTC (примерно $139 млн). Согласно ончейн-данным, контроль над средствами злоумышленник получил мгновенно – сразу после того, как владелец раскрыл recovery phrase мошеннику, выдававшему себя за саппорт Trezor.

По словам ончейн-детектива ZachXBT, вор действовал с предельной скоростью: за считанные минуты активы были разделены и разнесены по нескольким направлениям. Часть стоимости прогнали через THORChain, чтобы «перешивать» её между Bitcoin, Ethereum, Ripple и Litecoin, а затем внушительные объёмы обменяли на Monero через instant-exchange сервисы – классический ход, чтобы замести следы. Потоки в Monero совпали с резким пампом XMR. «Это не Северная Корея», – отметил ZachXBT, отвергнув слухи о государственном следе.

Однако часть денег успели остановить. В ZeroShadow сообщили, что после тревоги от мониторинговых команд примерно за 20 минут удалось выявить транзакции и содействовать блокировке порядка $700 000. Компания уточнила: пострадавший – физлицо, которого развели через роль «Trezor ‘Value Wallet’ support», и это чистая социальная инженерия, а не компрометация кошелька или ключевой инфраструктуры.

История подчёркивает: компрометация seed phrase обнуляет практически все «обычные» уровни защиты. Как только фраза раскрыта, атакующий может восстановить кошелёк у себя, подписывать транзакции и без контакта с CEX переводить средства между сетями и пулами ликвидности. В данном инциденте техники peel-chain, кроссчейн-мосты и приватные обмены быстро раздробили маршрут движения – буквально за часы – что резко осложнило и поиск активов, и последующую ончейн-экспертизу.

Это второй заметный мега-кейс social engineering, оказавшийся в центре внимания за последние месяцы. Ранее, в отдельном эпизоде 2025 года, пожилой инвестор из США потерял свыше $330 млн в BTC: мошенники выманили доступ, затем прогнали монеты через биржи и Monero. В сумме оба события показывают, что доля «нетехнических» компрометаций в крупнейших кражах растёт: злоумышленники всё чаще обходят кодовые барьеры, играя на доверии и подделывая рабочие процессы поддержки.

Специалисты по безопасности кошельков и расследователи советуют заранее принять жёсткую модель: любое неожиданное сообщение «от поддержки» – потенциальная атака. Никогда не вводить seed phrase в браузерные формы или переписку, проверять адреса полностью на аппаратном дисплее и держать recovery phrase исключительно офлайн. Дополнительно рекомендуют дробить активы по нескольким хранилищам и использовать plausible deniability – схемы, где в случае принуждения у нападающего перед глазами остаётся только небольшой баланс. Это не спасает уже украденное, но ограничивает «радиус поражения», если social engineering всё-таки сработал.t keep minimal balances visible to an attacker during a coercive interaction. While those steps cannot retroactively recover lost funds, they reduce the blast radius of a single social-engineering success.