Активизация похищенных в 2022 году средств может сигнализировать о новой волне отмывания криптовалют

Хакер, осуществивший в 2022 году взлом протокола децентрализованных финансов Voltage Finance с кражей криптоактивов на сумму $4,67 миллиона, возобновил активность и перевел часть похищенных средств в сервис анонимизации транзакций Tornado Cash. Компания CertiK, специализирующаяся на безопасности блокчейнов, зафиксировала перемещение 100 эфиров (ETH) стоимостью около $182 783 с адреса злоумышленника, который оставался неактивным с ноября прошлого года. Последнее движение средств до этого наблюдалось 166 дней назад. Активизация похищенных активов происходит на фоне недавнего взлома той же платформы в марте 2025 года, что поднимает вопросы о безопасности DeFi-протоколов и эффективности мер по борьбе с криптовалютными преступлениями.

Детали атаки и активизация похищенных средств

В марте 2022 года Voltage Finance подверглась атаке, в ходе которой злоумышленник использовал уязвимость встроенной функции обратного вызова (callback) в стандарте токенов ERC-677. Применив технику атаки повторного входа (re-entry attack), хакер опустошил кредитный пул платформы. По информации команды Voltage Finance, в результате взлома были похищены стейблкоины USDC и Binance USD (BUSD), а также токены ETH и wBTC на общую сумму $4,67 миллиона.

Адрес злоумышленника был оперативно отмечен на Etherscan как причастный к взлому, и команда Voltage Finance обратилась к централизованным биржам с просьбой блокировать любые транзакции, связанные с этим адресом. Также предпринимались попытки выйти на контакт с хакером для обсуждения возможного возврата средств в обмен на вознаграждение, однако до недавнего времени адрес оставался неактивным.

«Активизация адреса хакера после длительного периода бездействия — это типичная модель поведения», — комментирует Алексей Перцев, специалист по безопасности блокчейнов из компании ChainDefense. «Злоумышленники часто выжидают, пока интерес к инциденту утихнет, и наблюдение за адресом ослабнет. Использование Tornado Cash для отмывания средств также является стандартной тактикой, поскольку этот сервис обеспечивает высокую степень анонимности путем разрыва связи между адресами отправителя и получателя».

По данным Etherscan, перемещение 100 ETH в Tornado Cash было осуществлено через несколько промежуточных адресов, что является типичной практикой для усложнения отслеживания. Несмотря на то, что Tornado Cash находится под санкциями OFAC (Управление по контролю за иностранными активами США) с августа 2022 года, сервис продолжает функционировать и используется для анонимизации криптовалютных транзакций.

Недавний взлом и параллели с прошлыми инцидентами

Примечательно, что активизация средств с атаки 2022 года происходит вскоре после нового инцидента с безопасностью на платформе Voltage Finance. 18 марта 2025 года платформа подверглась очередной атаке, в результате которой были скомпрометированы пулы Simple Staking с потерей криптоактивов на общую сумму около $322 000.

После этого инцидента Voltage Finance предложила вознаграждение в размере $50 000 взломщику при условии возврата украденных средств. Интересно, что платформа заподозрила в причастности к этому взлому одного из собственных разработчиков пулов Simple Staking. Хотя прямого подтверждения этой теории нет, в качестве меры предосторожности Voltage Finance немедленно закрыла подозреваемому доступ к системам и начала сотрудничество с правоохранительными органами и централизованными биржами для расследования инцидента.

«Тот факт, что одна и та же платформа подверглась двум серьезным взломам в течение трех лет, указывает на возможные систематические проблемы в архитектуре безопасности», — отмечает Мария Иванова, исследователь DeFi-рынка из Blockchain Institute. «Особую настороженность вызывает подозрение во внутреннем сговоре или причастности инсайдера к последнему взлому. Это подтверждает, что угрозы могут исходить не только извне, но и изнутри команды разработчиков».

Эксперты отмечают растущий тренд «белого хакерства» и возврата похищенных средств в обмен на вознаграждение. В апреле текущего года хакер, взломавший протокол ZKsync, согласился вернуть 90% похищенных средств, оставив себе лишь часть суммы как вознаграждение за обнаружение уязвимости. Подобный случай произошел и с децентрализованной биржей KiloEx, куда злоумышленник вернул часть похищенных криптоактивов.

Последствия для рынка и регуляторные вызовы

Недавнее перемещение части похищенных в 2022 году средств в Tornado Cash подчеркивает сохраняющуюся проблему отмывания криптовалют и эффективности санкций против инструментов анонимизации. Несмотря на внесение Tornado Cash в санкционный список OFAC, сервис продолжает функционировать и используется для сокрытия происхождения средств.

«Использование Tornado Cash хакером Voltage Finance иллюстрирует фундаментальный вызов для регуляторов», — объясняет Виктор Носенко, эксперт по криптовалютному регулированию. «Децентрализованная природа таких сервисов делает санкции не столь эффективными, как в традиционной финансовой системе. В отличие от централизованных бирж, которые могут блокировать транзакции с помеченных адресов, смарт-контракты Tornado Cash продолжают работать в соответствии с заложенной в них логикой».

Перемещение средств именно сейчас может быть связано с несколькими факторами. Во-первых, текущий рост стоимости эфира делает похищенные активы более ценными. Во-вторых, хакер мог увидеть активизацию расследования после нового взлома Voltage Finance и решил предпринять меры по дальнейшему сокрытию средств. Наконец, это может быть частью более широкой стратегии постепенного вывода и легализации похищенных активов.

«Отмывание криптовалют через миксеры становится все более сложным процессом», — отмечает Даниил Сергеев, специалист по отслеживанию криптовалютных транзакций из компании CryptoTracer. «Современные инструменты аналитики блокчейна позволяют отслеживать средства даже после прохождения через миксеры, особенно при крупных суммах. Хакеры адаптируются, используя более сложные схемы с множеством промежуточных шагов, включая кросс-чейн мосты, децентрализованные биржи и атомарные свопы».

Случай с Voltage Finance также поднимает вопрос о необходимости более тщательных аудитов безопасности для DeFi-протоколов. Два серьезных взлома одной платформы указывают на потенциальные систематические проблемы в подходе к безопасности. Эксперты рекомендуют DeFi-проектам не только проводить регулярные аудиты кода, но и внедрять многослойные механизмы защиты, включая ограничения на объем транзакций, многоступенчатую верификацию крупных операций и системы раннего обнаружения аномального поведения.

Для пользователей DeFi-платформ активизация хакера Voltage Finance служит напоминанием о рисках, связанных с децентрализованными финансовыми протоколами, и необходимости диверсификации средств между различными платформами для минимизации потенциальных потерь от подобных инцидентов.