Exchange Hack: расследование крупного взлома биржи, схемы вывода и защита активов

23:41 ночи.
Пользователи биржи GlobeX Exchange получают странные SMS:

«Система недоступна. Проводятся технические работы»

Через минуту — вторая волна сообщений:

«Вывод средств временно ограничен»

А через 90 минут на Twitter появляется короткая фраза:

“Мы исследуем инцидент безопасности. Просьба сохранять спокойствие.”

Но спокойствие сохранять невозможно — в блокчейне уже видна аномальная активность:
огромные суммы USDT, ETH, BTC и TRX идут через десятки адресов-прокладок.

В это время пользователи наблюдают, как их балансы превращаются в пустоту.
А биржа — в жертву нового типа киберпреступления.

Это расследование — о том, как за 43 минуты была ограблена одна из топовых бирж 2025 года.

Краткое описание инцидента

Хак, вошедший в историю как “GlobeX Exploit”, привёл к потере:

• 38 400 ETH
• 112 млн USDT
• 4 900 BTC
• 70 млн в альткоинах

Всего — ≈ $412 млн.

Это один из крупнейших взломов за последние годы — почти как FTX, только без банкротства и без токенов-мыльных пузырей.

Хакеры не ломали блокчейн. Они взломали — людей и инфраструктуру.

Как всё началось — первый шаг преступников

Любой крупный взлом начинается не с кода — а с разведки.

Хакеры действовали месяцами:

1. Собрали данные сотрудников биржи через LinkedIn, Telegram, Slack-ливы.
2. Сделали OSINT-профили топ-админов — их график, устройства, timezone.
3. Нашли слабые звенья: операторы технической поддержки и младшие DevOps.
4. Выяснили, что биржа использует устаревшую систему API-ключей.
5. Запустили кампанию фишинга, имитирующую корпоративный портал.

И вот первый администратор, который устал после ночной смены, открыл письмо:

“Critical security patch. Install within 15 minutes.”

Он установил.
Но это был не патч — это был бэкдор.

Как проходила атака — второй шаг: проникновение внутрь биржи

После установки трояна хакеры получили:

• доступ к внутренней сети,
• список серверов,
• структуру API-ключей,
• схему горячих/холодных кошельков.

Биржа GlobeX использовала схему:

• 90% средств — холодные кошельки
• 10% — горячие кошельки для быстрых транзакций

Хакеры получили доступ к горячим кошелькам и API для вывода.

А самое главное — они нашли уязвимость в системе мультиподписи, связанную с неправильно настроенным релеем.

Это и позволило им обойти лимиты.

Лёгкий блокчейн-трейсинг — куда ушли миллионы

Вот реконструкция транзакций (адреса условные, логика — настоящая).

Шаг 1 — массовый вывод в 23:44 UTC

С горячих кошельков:

ETH:

0xHot1EX → 0xDrainNode01 – 8 000 ETH
0xHot1EX → 0xDrainNode02 – 12 200 ETH
0xHot2EX → 0xDrainNode03 – 18 200 ETH

USDT:

Разбито на 230 транзакций по 500k–1.5M.

BTC:

Через Lightning-каналы → на mix-ноды.

Шаг 2 — консолидация

Через 19 минут все средства оказались на:

0xCollectorHub88

Этот адрес был связан с двумя взломами 2024 года.

По данным Etherscan видно:

• 31 200 ETH консолидировано
• 98 млн USDT
• 17 млн USDC

Все транзакции прошли через одинаковую gas-структуру → явный признак автоматизированного бота.

Шаг 3 — вывод через миксеры

Через час средства начали уходить через:

• Tornado Cash
• Railgun
• Sinbad Mixer
• FixedFloat
• THORSwap

BTC и ETH прошли через 3-этапное смешивание.

USDT → переведён через не-KYC биржи в SEA (Southeast Asia).

Шаг 4 — финал: исчезновение

Через 6 часов отследить цепочку было невозможно — хакеры использовали ротацию адресов и cross-chain-swaps.

Кто мог стоять за атакой — OSINT версии

Аналитики нашли 3 возможных источника атаки.

Версия №1 — группа “ShadowFox Hackers”

OSINT-совпадения:

• одинаковая структура транзакций
• использование Lightning Network для BTC
• идентичные временные интервалы
• похожие атаки на биржи в Южной Корее в 2023–2024

Версия №2 — инсайдеры внутри биржи

Логика:

• хакеры знали внутреннюю структуру кошельков
• знали расписание смен
• знали конфигурацию сети
• получили доступ к API уровня S-admin

Это часто указывает на внутреннего помощника.

Версия №3 — Североазиатская APT-группа

Совпадают:

• модели поведения
• совпадение IP с предыдущими атаками
• одинаковые методы доступа через фишинг DevOps

Психология жертв — почему пользователи пострадали

Пользователи не виноваты — но в Web3 есть психологические ловушки, которые делают такие атаки разрушительными.

Основные психологические факторы:

• вера в непогрешимость бирж
• удобство > безопасность
• желание держать всё на одном балансе
• привычка доверять “официальным” уведомлениям
• недооценка hot-cold wallet модели

Мошенники знают: когда биржа удобна — она становится уязвимой.

Последствия атаки GlobeX

Биржа:

• потеряла ~$412 млн
• закрыла вывод на 72 часа
• заморозила аккаунты подозрительных IP
• временно потеряла 38% объёма торгов
• получила 12 исков от клиентов
• проходит международную проверку

Пользователи:

• ~210 000 аккаунтов пострадали
• часть средств возместили
• часть — исчезла навсегда

Regulators:

• SEC и ЕС открыли расследования
• биржу обязали внедрить Proof-of-Reserves

Как защититься — чеклист для пользователей и проектов

🔥 КРАСНЫЕ ФЛАГИ для бирж

• резкое замедление вывода
• необычные транзакции из горячих кошельков
• сообщения о “технических работах” в ночное время
• отключение API без объяснения
• появление новых неизвестных адресов

Как защитить себя как пользователя

✔ НИКОГДА не хранить всё на бирже

Используйте правило:

80% — cold wallet
20% — hot wallet

✔ Включить whitelist адресов для вывода

Тогда хакеры не смогут вывести средства на новые адреса.

✔ Использовать биржи с Proof-of-Reserves

Это минимальный уровень прозрачности.

✔ Избегать сомнительных API-ключей

Особенно с разрешением на вывод.

✔ Проверять активность биржи через блокчейн

У каждой биржи горячие кошельки — публичные.

Как защитить биржу как компания

• раздельная горячая/холодная инфраструктура
• аппаратные ключи для админов
• zero-trust модель
• мониторинг аномалий 24/7
• строгие права доступа
• лимиты на API
• многоуровневая мультиподпись
• внешние аудиты каждые 6 месяцев

Вывод — уроки из Exchange Hack

Exchange Hack — это не про взлом криптовалюты.
Это про взлом инфраструктуры, человеческих ошибок и процедур безопасности.

Главный вывод:

Криптобиржи — это банки без страховки.
Их взлом — это всегда взлом доверия.

В Web3 действует единственное правило:

«Не твои ключи — не твои монеты.»

И это расследование подтверждает его снова и снова.

CTA — следующее расследование уже готово

Если тебе интересны:

• криптопреступления
• OSINT
• атакующие техники
• расследования транзакций
• безопасность Web3

Следующие статьи уже готовы:

👉 Telegram Bot Drainer — атаки нового поколения
👉 Seaport Exploit — как ломают OpenSea
👉 Approval Fraud — невидимая угроза Web3
👉 Deepfake Scam — мошенничество на основе ИИ

Могу также провести персональный аудит биржи, кошелька или проекта. Подписывайся на наш Телеграмм-канал.