Global Ledger：Обмивання криптовалют всього за 2 секунди, хакери встигли переказати 76% злочинних коштів до розкриття

Криптовалютні хакери зараз здатні переказувати викрадені кошти протягом усього 2 секунд після початку атаки, і в більшості випадків це відбувається ще до того, як жертва розкриє витік даних. Аналіз Global Ledger 255 випадків криптохакінгу 2025 року дає найчіткіший висновок: у 76% випадків кошти переказуються до їх публічного розкриття, а у другій половині року цей показник зріс до 84,6%.

Революція швидкості переказу 76% викрадених коштів до їх розкриття

(Джерело: Global Ledger)

Ця швидкість вражає. За даними «Global Ledger», у 76% випадків хакерських атак кошти вже переказані до моменту публічного розкриття, і у другій половині року цей показник зріс до 84,6%. Це означає, що зловмисники зазвичай діють ще до того, як біржі, аналітичні компанії або правоохоронні органи зможуть скоординувати свої дії.

Такий «переказ у період до розкриття» є надзвичайно хитрим. Поки інцидент ще не став відомим, викрадені адреси не позначені як підозрілі, біржі та блокчейн-аналітики не знають, що ці адреси належать злочинним коштам. Тому перекази в цей час проходять безперешкодно, без сповіщень або блокувань. Як тільки інцидент стає відомим, ці адреси швидко заносяться до чорних списків, і подальші перекази стають ускладненими або неможливими.

Зростання з 76% у першій половині року до 84,6% у другій свідчить, що швидкість хакерів ще зростає. Це може бути зумовлено: покращенням автоматизованих скриптів (злом успішний — миттєво запускається переказ), точним розрахунком часу реагування жертви, а також зрілістю міжланцюгових мостів та інших інструментів, що робить перекази швидшими та зручнішими. Для жертви це означає, що «виявлення викраденого» і «переведення коштів» відбувається майже одночасно, і шансів на замороження активів майже немає.

Проте швидкість — це лише частина проблеми. Хоча перший переказ тепер майже миттєвий, повний процес відмивання коштів у криптовалюті потребує більше часу. У другій половині 2025 року середній час досягнення кінцевих точок — бірж або міксерів — становить приблизно 10.6 днів, тоді як на початку року цей час був близько 8 днів. Коротко кажучи, швидкість переказу зросла, але марафонський час — зменшився.

Двофазна хронологія відмивання криптовалют

Перша фаза (переказ): переказ з адреси жертви за 2 секунди, до розкриття

Друга фаза (відмивання): в середньому 10.6 днів до досягнення кінцевих депозитних точок, багаторівнева маршрутизація для уникнення слідів

Тенденція: швидкість переказів зросла (84,6% до розкриття), відмивання — сповільнилося (з 8 до 10.6 днів)

Ця зміна відображає посилення регулювання після розкриття. Після публікації інциденту біржі та аналітичні компанії починають маркувати адреси та посилювати контроль. Тому зловмисники розбивають кошти на менші частини і використовують багаторівневу маршрутизацію для переказів, а потім намагаються їх конвертувати.

Мости на 2.01 мільярда доларів та відродження Tornado Cash

(Джерело: Global Ledger)

Мости стали основним каналом для відмивання. Майже половина викрадених коштів — близько 20.1 мільярда доларів — переказані через міжланцюгові мости. Це більш ніж у три рази більше, ніж через міксери або приватні протоколи. Лише минулого року, у скандальній крадіжці на централізованих біржах, 94.91% викрадених коштів пройшли через мости.

Причина популярності міжланцюгових мостів у відмиванні — їх зручність і прихованість. Коли хакери переводять викрадені ETH через мости на BNB Chain або Polygon, слідкувати стає значно важче. Різні формати адрес, ізольовані блокчейн-оглядачі, а також необхідність координації між ланцюгами — все це дає зловмисникам додатковий час. Крім того, багато малих ланцюгів мають слабкі інструменти аналізу та регулювання, тому перекази на них легше «зникнути».

20.1 мільярда доларів — це приблизно 50% від загальної суми викрадених у 2025 році 40.4 мільярда. Така концентрація коштів у одному каналі відмивання створює і можливості, і виклики для правоохоронців. З одного боку, посилення контролю за міжланцюговими мостами (наприклад, вимоги KYC для протоколів мостів, заморожування підозрілих транзакцій) може перехопити половину криптовідмивань. З іншого — ці мости зазвичай децентралізовані, і без централізованого органу важко примусити їх до співпраці.

Одночасно з цим знову привертає увагу протокол Tornado Cash. У 2025 році його використання у хакерських атаках сягнуло 41.57%. Звіт зазначає, що через зміни у санкційній політиці його популярність значно зросла у другій половині року. Tornado Cash — це протокол для змішування коштів на Ethereum, що дозволяє кільком користувачам об’єднувати свої активи, ускладнюючи слідкування за їх походженням. У 2022 році Мінфін США включив Tornado Cash до санкційних списків, але його смарт-контракти залишаються активними на блокчейні, і закрити їх неможливо.

41.57% — це високий показник, що свідчить: навіть під загрозою санкцій хакери масово використовують Tornado Cash. Це може бути зумовлено слабкістю санкційної політики у період адміністрації Трампа, бажанням зловмисників зберегти приватність або високою ефективністю самого протоколу. Така «незалежність» від санкцій підкреслює фундаментальні труднощі регулювання децентралізованих протоколів.

Половина викрадених коштів залишається нерухомою — дивна тенденція

У другій половині року значно зменшилася кількість коштів, що виводяться на централізовані біржі. Частка викрадених активів, що залишаються у DeFi-платформах, зростає. Зловмисники, схоже, уникають очевидних каналів виведення, поки увага громадськості не переключиться. Важливо зазначити, що близько 49% викрадених криптовалют досі не використані. Це означає, що десятки мільярдів залишаються у чужих гаманцях і можуть бути використані для майбутнього відмивання.

Ця «захована» частина — дуже дивна. Вона становить приблизно 19.8 мільярда доларів, які контролюють хакери, але ще не намагалися конвертувати або відмити. Можливі причини: очікування зниження інтересу до справи, надмірний обсяг коштів, що ускладнює швидке відмивання, або довгострокові інвестиції, коли хакери вважають біткоїн засобом збереження цінності і не поспішають з продажем.

Такий «захист» активів є двосічним мечем. З одного боку, поки кошти не рухаються, їх теоретично можна повернути, якщо правоохоронці зможуть ідентифікувати зловмисника і отримати його приватний ключ. З іншого — ці активи можуть раптово активізуватися через місяці або роки, і тоді, коли увага вже знизиться, шанс їх відмивання зросте.

Проблема залишається актуальною. За даними, збитки Ethereum становлять 24.4 мільярда доларів, що складає 60.64% від загальних втрат. Усього зафіксовано 255 випадків крадіжок на суму 40.4 мільярда доларів. Однак повернення активів — дуже обмежене. Лише близько 9.52% коштів було заблоковано, а повернуто — лише 6.52%.

Такий дуже низький рівень повернення (лише 6.52%) є однією з найжахливіших реалій криптозлочинності. У традиційних фінансах, наприклад, при грабежах банків або переказах, рівень повернення становить 30-50%, оскільки кошти проходять через регульовані фінансові інститути, які можуть їх заблокувати та повернути. У криптовалютному світі, якщо кошти потрапляють у контроль зловмисників, їх майже неможливо повернути, якщо тільки самі зловмисники не повернуть їх добровільно або їх не затримають правоохоронці. Це створює ситуацію, коли «вкрадені — назавжди втрачені», і є однією з найбільших небезпек для криптоактивів.

Загалом, ці дані формують чітку модель: злом відбувається миттєво, а подальше відмивання — це довгий процес, що триває від кількох секунд до кількох днів. Захисту ще потрібно вдосконалювати, адже час реагування — ключовий фактор у боротьбі з криптозлочинністю.