1,5 miliarda dolarów skradzione w jeden dzień
21 lutego 2025 roku wydarzyło się coś, co jeszcze niedawno wydawało się niemożliwe. Giełda Bybit, jedna z największych platform kryptowalutowych na świecie, straciła w ciągu kilku godzin 1,5 miliarda dolarów w Ethereum. To nie był błąd systemu. To nie była awaria techniczna. To był precyzyjnie zaplanowany atak przeprowadzony przez Lazarus Group – północnokoreańską grupę hakerską sponsorowaną przez państwo.
400,000 tokenów Ethereum po prostu zniknęło. Miliony użytkowników obserwowało w szoku, jak ich aktywa ewaporują w przestrzeń cyfrową. Na szczęście Bybit zdołał uzupełnić rezerwy w 72 godziny dzięki awaryjnemu finansowaniu – ale nie wszystkie ofiary włamań mają tyle szczęścia.
To była największa kradzież kryptowalut w historii. Ale z pewnością nie ostatnia.
Witaj w erze cyfrowych napadów
Jeśli myślisz o kryptowalutach jak o futurystycznej technologii, masz rację. Ale jest jeszcze jeden aspekt tej przyszłości, o którym mówi się ciszej: nigdy wcześniej kradzież pieniędzy nie była tak łatwa, tak szybka i tak trudna do odwrócenia.
Tradycyjny rabunek banku wymaga planowania, broni, ucieczki i sposobu na pranie pieniędzy. Napad na giełdę kryptowalut? Wystarczy laptop, sprytny phishing i kilka kliknięć. W kilka sekund możesz ukraść fortunę z drugiego końca świata. A blockchain – ta rzekomo „bezpieczna” technologia – utrwala każdą transakcję, czyniąc ją nieodwracalną.
Liczby, które zapierają dech
Rok 2025 będzie zapamiętany jako annus horribilis dla bezpieczeństwa kryptowalut:
- Ponad 2,17 miliarda USD stracone tylko w pierwszej połowie roku
- Północnokoreańscy hakerzy ukradli samodzielnie ponad 2 miliardy USD
- Łączne straty przypisane jednej grupie (Lazarus Group): ponad 6 miliardów dolarów
- Stopa odzysku: mniej niż 8%
Przeczytaj to jeszcze raz: mniej niż 8% skradzionych kryptowalut zostaje kiedykolwiek odzyskanych.
Krótka historia włamań: od Mt. Gox do Bybit
2011: Początek końca niewinności
Wszystko zaczęło się niewinnie. Bitcoin był ciekawostką dla geeków, a Mt. Gox – niewielką giełdą prowadzoną przez pasjonata z Japonii. Potem przyszły pierwsze włamania. Hakerzy byli prymitywni, wykorzystywali podstawowe luki w zabezpieczeniach, ale skutecznie kradli bitcoiny, które wówczas były prawie bezwartościowe.
Nikt nie przejmował się zbytnio stratą kilku tysięcy BTC. W końcu jeden bitcoin kosztował kilka dolarów.
2014: Katastrofa Mt. Gox
Do 2014 roku Mt. Gox obsługiwał 70% światowego handlu bitcoinami. Był gigantem. Monopolistą. I był dziurawy jak sito.
Przez lata hakerzy – w tym rosyjscy cyberprzestępcy – powoli, systematycznie wykradali bitcoiny. Wykorzystywali wszystkie możliwe luki: niezaszyfrowane klucze prywatne, brak separacji środków, słabe hasła, kompromitację pracowników. W sumie zniknęło 850,000 BTC o wartości około 450 milionów dolarów.
Mt. Gox ogłosił upadłość.
2016-2020: Era profesjonalizacji
Hakerzy stawali się coraz bardziej wyrafinowani. Już nie byli to samotni nerdowie w piwnicach – to były zorganizowane grupy przestępcze, a coraz częściej: organizacje sponsorowane przez państwa.
Bitfinex (2016): 119,756 BTC – hakerzy pokonali system multi-signature, który miał być „nie do złamania”.
Coincheck (2018): 534 miliony USD – japońska giełda straciła fortunę w tokenach NEM przez zwykły phishing.
Binance (2019): 40 milionów USD – ale giełda miała fundusz ubezpieczeniowy i nikt nie stracił pieniędzy. Tak powinno wyglądać odpowiedzialne prowadzenie biznesu.
KuCoin (2020): 281 milionów USD – częściowo odzyskane dzięki współpracy społeczności kryptowalutowej i blockchain analytics.
2021-2024: Wchodzą państwa
Coś się zmieniło. Włamania przestały być dziełem przypadkowych hakerów. Stały się operacjami geopolitycznymi.
Korea Północna odkryła, że kradzież kryptowalut to doskonały sposób na finansowanie programu nuklearnego mimo międzynarodowych sankcji. Lazarus Group – ich elitarna jednostka hakerska – stała się najgroźniejszą grupą przestępczą w historii kryptowalut.
Ich metoda: nie łamią już kodu. Łamią ludzi.
2025: Rok inżynierii społecznej
Tu dochodzimy do sedna problemu. Większość włamań w 2025 roku nie wynikała z luk w kodzie czy słabych zabezpieczeń technicznych. Wynikała z ataków na ludzi.
Bybit – wykorzystano podatność w systemie dostawcy zewnętrznego Safe{Wallet}. Ktoś tam kliknął w niewłaściwy link.
CoinDCX – atak trwał zaledwie 5 minut, ale był tak precyzyjny, że podejrzewa się współpracę z wewnątrz.
Nobitex – to już nie była kradzież. To była operacja wywiadowcza przeprowadzona przez izraelskie służby w ramach konfliktu z Iranem.
Giełdy kryptowalut stały się polem bitwy w wojnach, o których większość z nas nie ma pojęcia.
Jak Cię okradną? Anatomia ataku
Wyobraź sobie taki scenariusz:
Budzisz się rano, sięgasz po telefon, sprawdzasz saldo na Binance. Zero. Wczoraj było tam 50,000 USD w Bitcoin i Ethereum. Dziś: 0.00000000.
Z paniką wchodzisz na maila. Znajdujesz wiadomość wysłaną o 3:47 nad ranem: „Twoja prośba o wypłatę została przetworzona”. Jaka prośba?!? Niczego nie wysyłałeś!
Próbujesz zalogować się na konto. „Nieprawidłowe hasło”. Sprawdzasz historię poczty. Ktoś zmienił hasło o 3:42. Pięć minut później wypłacono wszystkie środki.
Dzwonisz do supportu giełdy. Po godzinie czekania słyszysz: „Przykro nam, ale transakcja została autoryzowana z Twojego konta z poprawnym 2FA. To nie nasza odpowiedzialność.”
Jak do tego doszło?
Scenariusz 1: Phishing
Tydzień temu dostałeś maila: „Binance: Podejrzana aktywność na Twoim koncie. Kliknij tutaj aby zweryfikować”. Strona wyglądała identycznie jak prawdziwy Binance. Wpisałeś login i hasło. Nawet kod 2FA. Zrobiłeś to, co kazali.
Hakerzy mieli teraz wszystko. Czekali tylko na odpowiedni moment.
Scenariusz 2: SIM Swapping
Ktoś zadzwonił do Twojego operatora komórkowego podszywając się pod Ciebie. „Zgubiłem telefon, proszę przenieść numer na nową kartę”. Operator – źle przeszkolony, w pośpiechu – wykonał prośbę. Nagle przestałeś odbierać SMSy. A ktoś inny zaczął je otrzymywać.
Wszedł na Twoją giełdę, kliknął „zapomniałem hasła”, otrzymał kod SMS na „Twój” numer – który teraz był jego. Reset hasła. Zmiana wszystkich ustawień. Wypłata.
Scenariusz 3: Złośliwe oprogramowanie
Pobrałeś „świetną aplikację do śledzenia portfolio kryptowalut”. Albo kliknąłeś link do rzekomego airdropu darmowych tokenów. A może zainstalowałeś wtyczkę do Chrome, która „automatyzuje trading”.
W rzeczywistości zainstalowałeś keyloggera. Wszystko co piszesz – każde hasło, każdy kod 2FA – jest wysyłane przestępcom w czasie rzeczywistym.
Dlaczego policja powie: „Nic nie możemy zrobić”
Zadzwonisz na policję. Komisarz spojrzy na Ciebie ze współczuciem: „Kryptowaluty? To że zagranicy? Pieniądze już dawno zniknęły. Przykro mi, ale nic nie możemy zrobić.”
I w 90% przypadków będzie miał rację.
Dlaczego odzyskanie kryptowalut jest prawie niemożliwe?
1. Nieodwracalność transakcji
W banku możesz zatrzymać przelew. Możesz zablokować kartę. Bank może cofnąć transakcję. W blockchain? Nie ma odwołania. Nie ma cofnięcia. Transakcja jest ostateczna.
2. Pseudoanonimowość
Widzisz adres portfela np. coś w stylu 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa (adres przykładowy). Ale nie wiesz kto za nim stoi. Czy to osoba prywatna? Giełda? Mixer? Gdzie to jest? Kowalski z Warszawy czy Kim Jong Un?
3. Międzynarodowa jurysdykcja
Przestępcy działają z Wietnamu, przesyłają środki przez giełdę na Kajmanach, prują przez mixer w Rosji, wypłacają w Hongkongu. Który sąd ma być właściwy? Które prawo stosować? Kto ma współpracować z kim?
4. Brak specjalistów
Polski policjant jest świetnie wyszkolony w łapaniu złodziei samochodów. Ale w śledzeniu kryptowalut przez blockchain, identyfikowaniu mikserów, współpracy z giełdami zagranicznymi? Większość komisariatów nie ma ludzi, którzy w ogóle wiedzą czym jest blockchain.
5. Mikserzy i tumblerzy
Przestępcy używają usług jak Tornado Cash, które „mieszają” kryptowaluty setek użytkowników. Twoje skradzione Ethereum wchodzi do miksera razem ze środkami 200 innych osób. Wychodzi na 200 różnych adresów. Który jest twój? Niemożliwe do ustalenia.
Ale są ofiary, które odzyskały pieniądze
Erin West to prokurator w Dolinie Krzemowej. Przez ostatnie 8 lat specjalizuje się w jednej rzeczy: odzyskiwaniu skradzionych kryptowalut.
Jej przesłanie jest jasne:
„Istnieje zbyt wiele błędnych przekonań. Że kryptowaluty trafiają za granicę i znikają. Że nie można ich wyśledzić. To nieprawda. Blockchain to publiczna księga – każda transakcja jest tam zapisana. Jeśli wiemy jak czytać, możemy śledzić każdy satoshi.”
West jest częścią grupy REACT – koalicji organów ścigania wyposażonych w najnowsze narzędzia do śledzenia kryptowalut: Chainalysis, Elliptic, blockchain analytics.
Jej zespół odzyskał pieniądze dla dziesiątek ofiar – wielu z nich po tym, jak inne organy ścigania powiedziały im, że sprawa jest beznadziejna.
Klucz do sukcesu? Szybkość i wiedza.
Odzyskane sprawy miały wspólny mianownik:
- Ofiary działały natychmiast – w ciągu godzin, nie tygodni
- Miały dobre prawne wsparcie specjalizujące się w kryptowalutach
- Dokumentowały wszystko – każdy screenshot, każda transakcja
- Współpracowały z giełdami i blockchain analytics zamiast polegać tylko na policji
Linki do postów na LinkedIn – mogą wymagać zalogowania do serwisu
Z nowego raportu wynika, że ostatni kwartał był najgorszy w tym roku pod względem strat w dolarach w wyniku włamań na giełdy kryptowalut
Według raportu Immunefi, platformy usług wykrywania błędów i usług bezpieczeństwa, udostępnionej firmie Decrypt, inwestorzy zajmujący się kryptowalutami stracili 685,5 miliona dolarów w trzecim kwartale 2023 r., co oznacza wzrost o 59% z 428 milionów dolarów rok do roku. Skradziona kwota wzrosła o 55,7% w porównaniu z pierwszym kwartałem 2023 r. i o 158,2% w porównaniu z drugim kwartałem.
Dwa włamania do Mixin Network i Multichain odpowiadały za prawie połowę całkowitej skradzionej kwoty, w sumie 326 milionów dolarów (…) W ostatnim kwartale stopa odzysku drastycznie spadła do 8,9% całkowitych strat w trzecim kwartale 2023 r., a odzyskano jedynie 61,1 mln dolarów.
Jak wynika z raportu Immunefi, północnokoreańska komórka hakerska Lazarus Group była odpowiedzialna za kradzież 208 600 000 dolarów, co stanowi 30% całkowitych strat w trzecim kwartale 2023 roku. Grupa ta stała za głośnymi atakami na CoinEx, Alphapo, Stake i CoinsPaid.
„Podmioty wspierane przez państwo odegrały kluczową rolę, ponieważ rzekomo stały za kilkoma sprawami w tym kwartale. Ich szczególne skupienie się na CeFi doprowadziło do gwałtownego wzrostu strat w tym sektorze” – powiedział Mitchell Amador, założyciel i dyrektor generalny Immunefi, odnosząc się do ataków grupy Lazarus.
„Bitcoin Bonnie and Clyde” przyznają się do prania brudnych pieniędzy.
Mąż i żona, których ekscentryczny styl bycia i przestępstwa przyniosły im przydomek „Bitcoin Bonnie and Clyde”, przyznali się do zorganizowania programu prania pieniędzy o wartości 4,5 miliarda dolarów, powiązanego z włamaniem na giełdę kryptowalut Bitfinex w 2016 roku.
Para, urodzony w Rosji przedsiębiorca technologiczny Ilya Lichtenstein i Heather Morgan, aspirująca raperka o pseudonimie „Razzlekhan”, zostali aresztowani w 2022 r. W czwartek, w ramach umowy o współpracy z prokuratorami, Lichtenstein i Morgan przyznali się do zarzutów prania pieniędzy. Sędzia przewodniczący Colleen Kollar-Kotelly przyjęła ich prośby.
Do czasu przyznania się w sądzie przez Lichtensteina publicznie nie było wiadomo, kto włamał się na bitcoina z giełdy kryptowalut Bitfinex.
Atak północnokoreańskich hakerów na giełdę CoinEx
Giełda z siedzibą w Hongkongu ostrzegła użytkowników w poście na X (dawniej Twitterze) z 12 września, że „wykryła nieprawidłowe wypłaty z kilku adresów gorących portfeli używanych do przechowywania aktywów giełdy CoinEx”.
Po zbadaniu sprawy firma stwierdziła, że przyczyną incydentu był klucz prywatny gorącego portfela, który dostał się w niepowołane ręce. Fundusze zostały wycofane w dziewięciu kryptowalutach, co dało kwotę w przybliżeniu 53 mln dolarów.
CoinEx oświadczył, że zawiesił wpłaty i wypłaty wszystkich aktywów kryptograficznych i tymczasowo zamknął swój serwer gorącego portfela, a także przeniósł pozostałe aktywa z zaatakowanego portfela na bezpieczne adresy.
Śledczy zajmujący się blockchainem szybko powiązali atak z Koreą Północną.
„Wygląda na to, że Korea Północna jest również odpowiedzialna za wczorajszy hack na @coinexcom o wartości 54 milionów dolarów po tym, jak przypadkowo powiązała swój adres z hackiem na kwotę 41 milionów dolarów na Stake na OP i Polygon” – powiedział ZachXBT na X.
Crypto Casino Stake straciło w zeszłym tygodniu szacunkowo 40 milionów dolarów po tym, jak napastnicy wyssali środki z jego gorących portfeli. Jest to następstwem poprzednich nalotów w tym roku przypisywanych Lazarusowi, w tym Atomic Wallet (35 mln dolarów), Alphapo (60 mln dolarów) i CoinsPaid (37 mln dolarów).
Korea Północna wykorzystuje inżynierię społeczną, aby umożliwić hakowanie ośrodków doradców, środowisk akademickich i mediów
Agencja Bezpieczeństwa Narodowego (NSA) współpracuje z kilkoma organizacjami, aby zwrócić uwagę na wykorzystywanie przez Koreańską Republikę Ludowo-Demokratyczną (KRLD) inżynierii społecznej i złośliwego oprogramowania do atakowania ośrodków doradczych, środowisk akademickich i sektorów mediów informacyjnych.
Aby pomóc chronić się przed atakami KRLD, NSA i partnerzy publikują Poradnik dotyczący cyberbezpieczeństwa (CSA) „Korea Północna wykorzystuje inżynierię społeczną w celu umożliwienia hakowania ośrodków doradców, środowisk akademickich i mediów”.
„Sponsorowani przez państwo KRLD cyberprzestępcy w dalszym ciągu podszywają się pod zaufane źródła w celu gromadzenia poufnych informacji” – powiedział Rob Joyce, dyrektor ds. cyberbezpieczeństwa NSA. „Edukacja i świadomość to pierwsza linia obrony przed atakami socjotechnicznymi”.
Agencje – Federalne Biuro Śledcze (FBI), Departament Stanu USA, Narodowa Służba Wywiadowcza Republiki Korei (ROK), Agencja Polityki Narodowej i Ministerstwo Spraw Zagranicznych – zaobserwowały ciągłe wysiłki w zakresie gromadzenia informacji pochodzących z określonego zestawu cyberprzestępców z KRLD znanych pod wspólną nazwą Kimsuky, THALLIUM lub VELVETCHOLLIMA.
W poradniku szczegółowo opisano, w jaki sposób Korea Północna w dużym stopniu opiera się na informacjach wywiadowczych uzyskanych w wyniku tych kampanii phishingu podwodnego. Udane kompromisy docelowych osób umożliwiają aktorom Kimsuky tworzenie bardziej wiarygodnych i skutecznych wiadomości e-mail typu spearphishing, które można wykorzystać przeciwko wrażliwym celom o dużej wartości.
„Ci cyberprzestępcy strategicznie podszywają się pod legalne źródła, aby gromadzić informacje wywiadowcze na temat wydarzeń geopolitycznych, strategii polityki zagranicznej i rozwoju sytuacji w zakresie bezpieczeństwa leżących w interesie KRLD na Półwyspie Koreańskim” – stwierdziła Joyce.
