Эксперт Финанс
Там, где рождается ваша финансовая свобода
Написать в телеграм
Произошла одна из крупнейших атак в истории криптоиндустрии, хакеры украли всего $50
В криптовалютной индустрии произошел один из самых масштабных инцидентов в области кибербезопасности последних лет. Хакеры взломали учетную запись разработчика в Node Package Manager (NPM) и внедрили вредоносный код в популярные JavaScript-библиотеки. Этими пакетами пользуются миллиардами раз по всему миру, а значит взлом потенциально угрожает тысячам проектов, включая криптосервисы. Однако, как установила исследовательская платформа Security Alliance (SEAL), реальный ущерб от атаки оказался почти нулевым: злоумышленникам удалось похитить менее $50 в криптовалюте
Ущерб от атаки
По данным SEAL, вредоносный код нацелен на криптокошельки Ethereum и Solana. Внутри пакетов скрывалась программа-клиппер — разновидность вредоносного ПО, которая перехватывает операции с адресами кошельков. Когда пользователь копирует адрес для перевода средств, программа подменяет его на адрес атакующего.
Однако в реальности масштаб краж оказался мизерным. Исследователи выявили единственный подтвержденный злонамеренный адрес — 0xFc4a48. На него было переведено:
- около 5 центов в ETH;
- порядка $20 в одном из мемкоинов;
- еще несколько мелких токенов (Brett, Andy, Dork Lord, Ethervista, Gondola).
Итого — менее $50 ущерба.
Кто мог пострадать
Технически под угрозой оказались миллионы разработчиков и пользователей. Библиотеки, в которые внедрили вредоносный код, загружаются более миллиарда раз в неделю. Но риск оказался неравномерным:
- криптопроекты, особенно те, что автоматически обновляют зависимости. Если после публикации зараженного пакета они выпустили апдейт, в коде могли появиться скрытые механизмы кражи средств;
- конечные пользователи. Опасность возникает только если приложение пытается совершить транзакцию и пользователь подтверждает ее. Без подписи транзакции атака не срабатывает;
- разработчики кошельков и DeFi-платформ, так как атака направлена на фронтенд-приложения (веб-сайты, интерфейсы), где адреса копируются в буфер обмена.
Многие крупные игроки быстро заявили, что их продукты не пострадали:
- Ledger и MetaMask отметили, что используют многослойную защиту, предотвращающую подобные сценарии;
- Phantom Wallet сообщил, что его продукты не используют зараженные версии библиотек;
- Uniswap, Blast, Blockstream Jade, Revoke.cash и другие также подтвердили, что их сервисы не затронуты.
Технический директор Ledger Шарль Гийоме в своем комментарии уточнил, что вредоносный код работает путем подмены криптовалютных адресов. Пользователи аппаратных кошельков с функцией clear signing защищены, так как всегда видят конечный адрес на экране устройства. Но владельцам только программных кошельков он рекомендовал временно воздержаться от транзакций, пока угроза окончательно не устранена.
Возможные последствия и уроки для индустрии
Хотя реальный ущерб оказался минимальным, эксперты предупреждают: сама схема атаки демонстрирует огромный риск для всей криптоэкосистемы. Если бы злоумышленники действовали продуманнее, они могли бы получить доступ к миллионам рабочих станций разработчиков и потенциально украсть миллионы долларов.
Основные последствия:
- Рост внимания к supply chain security. Даже маленькая библиотека может стать «троянским конем» для всей индустрии.
- Ревизия процессов обновлений. Автоматическое подтягивание последних версий пакетов без проверки их целостности становится критическим риском.
- Необходимость инструментов контроля: системы для проверки зависимостей, блокировка подозрительных изменений, «заморозка» версий.
- Пользовательский фактор. Атака требует согласия пользователя на транзакцию. Эксперты советуют тщательно проверять адреса и быть особенно внимательными к неожиданным запросам подписи.
Случай с NPM стал «учебной тревогой» для криптоотрасли. Мир избежал многомиллионных потерь лишь по случайности. Но чтобы не полагаться на везение в будущем, разработчикам придется всерьез укреплять безопасность и контроль над зависимостями.
