Хакеры переходят на миксеры и DeFi, поскольку скорость отмывания украденных средств удваивается

Хакеры изменили свои операции в 2025 году, отмывая криптовалюту гораздо быстрее после эксплойта. Недавний отчет Global Ledger выявил эволюционирующие техники хакеров и самые большие угрозы в криптопространстве. 

Хакеры изменили свои цели и техники отмывания в 2025 году, как показал последний отчет Global Ledger об эксплойтах. Отчет Global Ledger основан на 255 зарегистрированных инцидентах с общими убытками в 4,4 млрд $. 

Точная оценка взломов отслеживается разными методами, поскольку Cryptopolitan сообщил о меньшей сумме в 3,4 млрд $. Тем не менее, появилась общая картина, где хакеры нацеливаются на функции Web3 и находят способы эксплуатации среды ИИ-агентов.

Швейцарская блокчейн-аналитическая компания Global Ledger изучила детали множественных взломов, обнаружив скорость перемещения и маскировки средств. 

Хакеры перемещали средства немедленно после эксплойтов

Самое быстрое перемещение средств заняло около двух секунд, согласно Global Ledger. Несмотря на это, около 50% средств остаются неизрасходованными после взлома или ждут месяцами, чтобы быть перемещенными. 

В 42% эксплойтов хакеры прибегали к Tornado Cash для отмывания. В целом, хакеры перемещали средства в два раза быстрее во второй половине 2025 года. В 76% случаев им удавалось переместить, разделить или частично отмыть средства еще до того, как эксплойт был перехвачен и зарегистрирован. 

Жертвы также начали реагировать быстрее, сократив время реакции более чем вдвое во втором полугодии. Новые реакции на замораживание средств там, где это возможно, и сотрудничество с биржами привели к замедлению эксплойтов во второй половине 2025 года. 

Несмотря на быстрое перемещение средств, хакеры все еще тратили в среднем 10,6 дней на отмывание средств во втором полугодии, по сравнению с примерно восемью днями в первой половине года. Злоумышленники фрагментировали свою добычу, разделяя ее на более мелкие части через большее количество посредников и на немного более длительный период времени.

Техники отмывания были хорошо известны, но хакеры использовали их более интенсивно в 2025 году.

Какие протоколы были наиболее целевыми для хакеров?

В прошлом году произошел переход от использования централизованных бирж для отмывания к использованию экосистемы DeFi. Более 732 млн $ было отмыто через DeFi во второй половине 2025 года, по сравнению со 170 млн $ в первой половине года. Объемы выросли более чем в 4,3 раза, сделав DeFi вторым наиболее используемым маршрутом отмывания после миксеров. 

Это также означало, что протоколы DeFi находились в осаде, поскольку они напрямую подключаются к мощной инфраструктуре отмывания.

"Ethereum остается главной целью для атакующих, на него приходится 2,44 млрд $ убытков (~60% от мирового общего объема) в 2025 году. Если вы строите на Ethereum с высокой ликвидностью, вы являетесь целью по умолчанию для хакеров. Данные показывают, что хотя другие цепи, такие как Solana или Bitcoin, растут по количеству инцидентов, массовый финансовый ущерб все еще сконцентрирован там, где находится наибольшая ликвидность," сказал Cryptopolitan Лекс Фисун, генеральный директор и соучредитель Global Ledger.

Чтобы предотвратить некоторые потери, Фисун считает, что ручное отслеживание средств неэффективно. Решение может заключаться в мгновенной маркировке источника средств и автоматическом отслеживании транзакций. 

"Чтобы закрыть разрыв между взломом и реакцией, протоколы DeFi нуждаются в действиях в реальном времени. Здесь необходимо внедрить мониторинг в реальном времени в блокчейне, который обнаруживает аномалии в момент их возникновения. Без внутреннего обнаружения и оповещения ни один ответ экосистемы не может быть достаточно быстрым," прокомментировал Фисун.

Кроссчейн-мосты также были ключевой инфраструктурой для взломов, которую можно было отслеживать.

В 2025 году почти половина украденных средств, или 2,01 млрд $, была отмыта или направлена через кроссчейн-мосты, что более чем в три раза превышает сумму, прошедшую через миксеры.

Одной из причин было перемещение средств в цепь Ethereum L1, которая является более ликвидной и доступной. Кроссчейн-мосты по-прежнему привлекают хакеров своей ликвидностью, а также для перехода между цепями и маскировки происхождения, добавил Фисун.

Если вы читаете это, вы уже впереди. Оставайтесь там с нашей рассылкой.