Фейкова «підтримка» hardware-гаманця стала причиною одного з найбільших зломів у криптоіндустрії

Інцидент стався близько 23:00 за UTC: атаці піддався гаманець, пов’язаний з 2,05 млн LTC (близько $153 млн) і 1 459 BTC (приблизно $139 млн). Згідно з ончейн-даними, контроль над коштами зловмисник отримав миттєво – відразу після того, як власник розкрив recovery phrase шахраєві, який видавав себе за саппорт Trezor.

За словами ончейн-детектива ZachXBT, злодій діяв з граничною швидкістю: за лічені хвилини активи були розділені і рознесені по декількох напрямках. Частину вартості прогнали через THORChain, щоб «перешивати» її між Bitcoin, Ethereum, Ripple і Litecoin, а потім значні обсяги обміняли на Monero через instant-exchange сервіси – класичний хід, щоб замести сліди. Потоки в Monero збіглися з різким пампом XMR. «Це не Північна Корея», – зазначив ZachXBT, відкинувши чутки про державний слід.

Однак частину грошей встигли зупинити. У ZeroShadow повідомили, що після тривоги від моніторингових команд приблизно за 20 хвилин вдалося виявити транзакції і сприяти блокуванню близько $700 000. Компанія уточнила: потерпілий – фізична особа, яку розвели через роль «Trezor ‘Value Wallet’ support», і це чиста соціальна інженерія, а не компрометація гаманця або ключової інфраструктури.

Історія підкреслює: компрометація seed phrase обнуляє практично всі «звичайні» рівні захисту. Як тільки фраза розкрита, зловмисник може відновити гаманець у себе, підписувати транзакції і без контакту з CEX переказувати кошти між мережами і пулами ліквідності. У даному інциденті техніки peel-chain, кросчейн-мостиі приватні обміни швидко розпорошили маршрут руху – буквально за години – що різко ускладнило і пошук активів, і подальшу ончейн-експертизу.

Це другий помітний мега-кейс social engineering, який опинився в центрі уваги за останні місяці. Раніше, в окремому епізоді 2025 року, літній інвестор із США втратив понад $330 млн в BTC: шахраї виманили доступ, потім прогнали монети через біржі і Monero. У сумі обидві події показують, що частка «нетехнічних» компрометацій у найбільших крадіжках зростає: зловмисники все частіше обходять кодові бар’єри, граючи на довірі та підробляючи робочі процеси підтримки.

Фахівці з безпеки гаманців і слідчі радять заздалегідь прийняти жорстку модель: будь-яке несподіване повідомлення «від підтримки» – потенційна атака. Ніколи не вводити seed phrase в браузерні форми або листування, перевіряти адреси повністю на апаратному дисплеї і тримати recovery phrase виключно офлайн. Додатково рекомендують дробити активи по декількох сховищах і використовувати plausible deniability – схеми, де в разі примусу у нападника перед очима залишається тільки невеликий баланс. Це не рятує вже вкрадене, але обмежує «радіус ураження», якщо social engineering все-таки спрацював.