Как криптопроекты потеряли миллиарды и что из этого должен понять каждый бизнес

Блокчейн создавался как технология доверия — система, где правила закреплены в коде, а транзакции прозрачны и необратимы. Но за последние десять лет именно эта индустрия стала полем для крупнейших в истории цифровых хищений. Хакеры взламывали биржи, кроссчейн-мосты, DeFi-протоколы, смарт-контракты, майнинг-пулы и даже cold-wallet-инфраструктуру.

По данным DeFiLlama, совокупный ущерб от взломов превысил $15,6 млрд, и это только задокументированные инциденты. Реальные цифры, включающие атаки без публикаций и технические «исчезновения» средств, могут быть значительно выше.

Для компаний, работающих во внешнеэкономической деятельности, логистике, импорте, параллельных поставках и международных криптовалютных расчётах, этот опыт критически важен. Потеря цифровых активов в ряде случаев сопоставима с арестом банковских счетов, утратой партии груза или разрывом финансовой цепочки поставок.

Ниже — подробное разбор крупнейших криптовзломов и системных ошибок, которые допустили разработчики. А также — то, что должен вынести любой бизнес, использующий криптовалюту хотя бы частично.

И главное — как современные корпоративные платформы вроде Grinex закрывают эти риски на уровне архитектуры.

Потери: более $17 млрд
Тип уязвимости: transaction malleability + некорректный учёт балансов Последствия: крах крупнейшей биржи мира, десятилетнее банкротство

Mt.Gox начиналась как сайт по обмену карточек Magic: The Gathering. Но к 2013 году она превратилась в глобальный центр биткоина: 70% мировых BTC-транзакций проходили через неё.

Однако внутри система держалась на хаотичных скриптах, самописных модулях и отсутствии контроля. Несколько лет подряд с биржи незаметно утекали BTC.

Почему никто ничего не понял?

Только в феврале 2014 года Mt.Gox внезапно остановила вывод средств. Позже оказалось — исчезло 850 000 BTC.

Централизованная биржа ≠ ваш кошелёк. Если у вас нет приватных ключей, у вас нет криптовалюты.

Потери: $60 млн
Тип уязвимости: классическая атака повторного вызова (reentrancy) Последствия: хардфорк блокчейна Ethereum

The DAO должен был стать прорывом: децентрализованный венчурный фонд на 150 млн долларов в ETH. Но в функции вывода средств логика была перепутана:

Это позволило злоумышленнику создать «паразитный» контракт и вызывать функцию вывода бесконечное число раз, пока активы не закончились.

ETH-сообщество оказалось перед выбором: спасать пользователей или сохранить «неизменяемость» блокчейна. Решением стал хардфорк, который откатил транзакции и вернул деньги. Но часть участников отказались признать откат — так появилась сеть Ethereum Classic.

Открытый код ≠ отсутствие критических ошибок.

Перед тем как работать с DeFi-протоколом, нужно проверять архитектуру логики, механизм защиты, модель обновления кода, историю аудитов и компетенции разработчиков.

Потери: 127 426 BTC
Механика: компрометация системы управления майнинг-пулом Последствия: потеря активов до $14,5 млрд по текущей оценке

В 2025 году мир узнал, что в 2020-м был взломан один из крупнейших майнинг-пулов Китая — LuBian. Инцидент скрывался годами.

Злоумышленники получили доступ к внутренним системам управления, которые контролировали вывод средств. В результате был опустошён весь горячий кошелёк пула. Это был не одномоментный удар, а постепенное тайное выведение средств.

Удобство интерфейса и крупные объёмы торгов — не показатель безопасности.

Иногда инфраструктура миллиардного проекта держится на устаревших скриптах, закрытых админ-панелях и единственном ключе на сервере.

Потери: $625 млн
Механика: получение контроля над мультиподписью (5 из 9 валидаторов)
Последствия: остановка Axie Infinity

Кроссчейн-мост Ronin требовал 5 из 9 подписей для вывода средств. Но:

Хакеры получили контроль над 5 ключами и легально подписали транзакцию на $600+ млн.

Если проект заявляет «децентрализацию», но контролирует большинство ключей — это централизованный риск, а не DeFi.

Потери: $326 млн
Тип уязвимости: отсутствие проверки подписи перед minting wrapped-токенов
Сектор: кроссчейн-мосты (Solana ↔ Ethereum)

Wormhole — один из крупнейших в мире мостов ликвидности. Его уязвимость показала, что даже проекты с внешними аудитами могут быть взломаны из-за одной пропущенной строки кода.

В модуле валидации не была выполнена проверка, подтверждающая подпись guardian-ноды. Злоумышленник создал фиктивное сообщение о переводе активов, «подписал» его от имени несуществующего валидатора и инициировал выпуск 120 000 wETH на Solana.

Деньги попросту созданы из воздуха, без залога на стороне Ethereum.

Кроссчейн-инфраструктура остаётся самым уязвимым сегментом рынка. Большая часть потерь в истории DeFi связана именно с мостами — они накладывают поверх двух сетей третий уровень логики, где даже небольшой баг приводит к катастрофе.

Потери: $611 млн Тип уязвимости: ошибка в логике межсетевого контракта Итог: атакующий добровольно вернул деньги

Poly Network стал примером взлома, произошедшего не из-за кода криптоалгоритмов, а из-за ошибки в управлении правами доступа. Смарт-контракт, отвечающий за межсетевые операции, позволял изменить адреса админских ролей.

Хакер просто переписал права на себя и начал выводить активы.

Вместо того чтобы скрыться, злоумышленник позже вернул средства и заявил, что «тестировал систему на прочность». Это не отменяет того факта, что миллионы долларов могли исчезнуть безвозвратно.

Если в системе есть возможность изменять права доступа — рано или поздно их изменят.

Потери: $73 млн Тип: ошибка компилятора Vyper (версии 0.2.15–0.3.0)

Curve Finance использовал смарт-контракты на языке Vyper. Позже выяснилось, что в этих версиях компилятора некорректно реализована логика блокировки реэнтрантных вызовов.

В результате атакующие могли совершить повторный вызов функции до обновления состояния — та же самая уязвимость, что и в The DAO, но на новом уровне.

Ошибка была не в коде Curve, а в самом языке. Это делает аудит значительно более сложным: безопасность зависит не только от логики контракта, но и от инструментов разработки.

Использование редких или экспериментальных языков повышает технологические риски.

Особенно в корпоративных инфраструктурах, связанных с DeFi.

Потери: $125 млн Тип уязвимости: централизованный доступ к admin-key

Multichain — один из крупнейших мостов в Азии. В какой-то момент разработчики перестали выходить на связь, а активы начали исчезать. Позже стало известно, что администраторские ключи были хранены централизованно и могли быть скомпрометированы через одного человека.

Это не было классическое «взломали протокол». Это была человеческая уязвимость, подчёркивающая, что в мире кроссчейн- и DeFi-инфраструктуры никакая архитектура не спасёт, если модель доступа построена неправильно.

Потери: объявлено $92 млн (реальные оценки выше) Тип уязвимости: нулевой день в HSM-инфраструктуре стороннего поставщика Особенность: затронуты «холодные» кошельки централизованной биржи

Этот кейс станет определяющим для будущего всей индустрии хранения цифровых активов. Уязвимость была не в кошельке биржи, а в firmware-модуле компании, предоставлявшей HSM-оборудование (hardware security module).

Хакеры использовали цепочку эксплойтов, чтобы:

До 2025 года считалось, что cold-wallet как модель неприступен. Butbit-взлом показал: если в цепочке поставок есть слабое звено, взлом возможен на уровне оборудования.

Безопасность цифровых активов — это не только код и комплаенс. Это цепочка поставок, аппаратные зависимости и контроль всех внешних подрядчиков.

Анализ крупнейших криптовзломов показывает, что централизованные биржи и мосты часто становятся уязвимыми звеньями в цепочке международных расчетов. Для российских компаний, ведущих внешнеэкономическую деятельность в условиях санкций, выбор ненадежной криптоплатформы может привести к блокировке счетов и потере активов.

Ключевые проблемы традиционных решений:

Grinex представляет собой регулируемую криптоплатформу, разработанную с учетом уроков прошлых криптовзломов. В отличие от традиционных бирж, Grinex внедряет комплексные меры безопасности, соответствующие международным стандартам AML/KYC.

Grinex представляет собой решение, которое учитывает уроки прошлых криптовзломов, сочетая технологическую прозрачность блокчейна с многоуровневой системой безопасности. Для российских компаний, сталкивающихся с санкционными ограничениями, это особенно важно, так как криптоактивы становятся инструментом сохранения международных расчетов без риска блокировки счетов.