Социальная инженерия нацелена на пользователей Ledger: злоумышленники украли крипто на сумму $282 миллионов

Один из акторов угроз успешно осуществил скоординированную социальную инженерную атаку, похитив криптоактивы на сумму $282 миллиона у жертвы, использовавшей аппаратный кошелек. Инцидент произошел 10 января в 23:00 UTC и стал значительным этапом в тенденции атак, нацеленных на крипто-пользователей в начале 2026 года. Исследователь блокчейна ZachXBT установил, что ответственный за это лицо не принадлежит к группе угроз из Северной Кореи, а является независимым злоумышленником, использующим продвинутые социальные стратегии.

Масштаб убытков и похищенных активов

Жертва потеряла 2,05 миллиона Litecoin (LTC) и 1,459 Bitcoin (BTC) за одну атаку. Стоимость этих активов на момент инцидента составляла $282 миллиона. При текущей цене LTC в $59.11 и BTC в $77.82K (по состоянию на 1 февраля 2026 года), стоимость утраченных активов продолжает колебаться в зависимости от рыночных движений. Злоумышленник быстро начал процесс ликвидности, конвертируя большую часть похищенных средств в Monero (XMR), криптовалюту, ориентированную на приватность.

Массовая конвертация в Monero создала мощный импульс покупок на рынке, что привело к росту цены XMR на 70% в течение четырех дней после атаки. Эта стратегия демонстрирует глубокое понимание динамики крипторынка и того, как крупные объемы торгов могут влиять на цену. Актор угроз явно обладает опытом в защите похищенных активов и минимизации цифровых следов.

Следы транзакций через блокчейны

Анализ цепочек (on-chain analysis) показывает, что часть похищенных Bitcoin была переведена на различные публичные блокчейны через Thorchain, протокол межцепочечных обменов, облегчающий кросс-сетевые транзакции. Некоторые средства затем были отправлены на Ethereum, Ripple и обратно в Litecoin, создавая сложный и трудноотследимый след. Этот метод фрагментации активов — стандартная техника, используемая опытными актерами угроз для сокрытия происхождения средств и избегания обнаружения со стороны властей и торговых платформ.

ZachXBT отметил, что несмотря на техническую сложность таких межцепочечных переводов, нет доказательств того, что эта атака связана с государственными актерами или структурированными организациями. Анализ угроз указывает на более децентрализованные операции, хотя и хорошо скоординированные по исполнению и планированию.

Социальная инженерия: основной метод современных акторов угроз

Социальная инженерия, применяемая в этом инциденте, включает продвинутые психологические манипуляции. Акторы угроз маскируются под представителей доверенных организаций, устанавливают доверие с жертвой через структурированное общение и постепенно завоевывают доверие, прежде чем запрашивать чувствительную информацию. Затем жертвы убеждают отправить свои приватные ключи или другие важные данные для входа.

Тренд 2026 года показывает значительный рост атак социальной инженерии как основного вектора для акторов угроз по сравнению с чисто техническими методами, такими как эксплойты или вредоносное ПО. Этот социальный подход опирается на уязвимости человека, а не системы, делая его более эффективным и трудным для защиты только с помощью технологий. Комбинация доверия, построенного через профессиональное impersonation, и психологического давления делает жертв уязвимыми к необдуманным решениям.

Утечки данных Ledger: связь с атаками акторов угроз

За пять дней до крупной атаки произошла утечка данных у поставщика аппаратных кошельков Ledger, которая была раскрыта 5 января. В инциденте были обнародованы личные данные пользователей Ledger, включая полное имя, адрес электронной почты, номер телефона и другую контактную информацию. Утечка произошла из-за несанкционированного доступа к сторонней системе, сотрудничающей с Ledger по всему миру.

Временная связь между утечкой данных Ledger и крупной социальной инженерной атакой указывает на возможную корреляцию. Утечка данных, вероятно, использовалась актерами угроз для более эффективного проведения social engineering. Имея реальные имена, email и контактные данные жертв, злоумышленники могут разрабатывать очень персонализированные и убедительные сообщения, повышая вероятность успеха социальной манипуляции. Пользователи Ledger, пострадавшие от утечки данных, становятся целевыми в этой волне атак.

Последствия для безопасности и меры защиты

Этот инцидент подчеркивает необходимость выхода за рамки защиты аппаратных устройств и криптографических технологий. Даже при наличии технически безопасных кошельков, опытные акторы угроз могут получить доступ к активам через прямую манипуляцию владельцем. Пользователи должны внедрять многофакторную аутентификацию, проявлять скептицизм к запросам личной информации и проходить постоянное обучение по вопросам безопасности.

Организации, такие как Ledger, должны укреплять протоколы защиты данных и прозрачность в управлении пользовательской информацией. Акторы угроз продолжат использовать уязвимости человеческого фактора, пока личные данные остаются доступными или продаваемыми на черном рынке. Важна совместная работа поставщиков кошельков, торговых платформ и исследователей безопасности, таких как ZachXBT, для борьбы с этой тенденцией и защиты криптоэкосистемы от постоянно развивающихся угроз.