Переводим на русский язык ключевые положения The Chainalysis 2025 Crypto Crime Report (вышел 17 июля 2025 года).
Похищенные средства
В первом полугодии 2025 года в криптосервисах уже похищено более $2,17 млрд — этот год оказался более разрушительным, чем весь 2024-й. На взлом ByBit на $1,5 млрд, который приписывают КНДР (крупнейшая одиночная кража в истории криптоиндустрии), приходится основная часть потерь сервисов.
К концу июня 2025 года совокупный объём похищенного с начала года (YTD) оказался на 17% выше, чем в 2022 году — ранее худшем годе за всю историю наблюдений. Если текущие тенденции сохранятся, похищенные у сервисов средства могут превысить $4 млрд к концу года.
Компрометация личных кошельков теперь занимает растущую долю всего объёма краж в экосистеме: злоумышленники всё чаще целятся в отдельных пользователей. В 2025 году (YTD) на это приходится 23,35% всей активности по похищенным средствам.
«Wrench attacks» — нападения с применением физического насилия или принуждения против владельцев криптоактивов — коррелируют с движениями цены битко●на, что указывает на оппортунистический выбор жертв в периоды высокой стоимости активов.
Географические тенденции
В 2025 году (на текущий момент) заметные концентрации жертв краж криптоактивов наблюдаются в США, Германии, России, Канаде, Японии, Индонезии и Южной Корее.
В региональном разрезе Восточная Европа, MENA (Ближний Восток и Северная Африка) и CSAO продемонстрировали самый быстрый рост числа жертв между H1 2024 и H1 2025.
Также проявились заметные различия по регионам в том, какие именно активы чаще похищают — вероятно, это отражает региональные паттерны принятия (adoption) криптоактивов.
Поведение при отмывании
При сравнении отмывания средств, похищенных у сервисов, и средств, похищенных у частных лиц, видны различия. В целом злоумышленники, взламывающие сервисы, демонстрируют более высокий уровень “профессионализма”, чем те, кто атакует личные кошельки.
Отмыватели похищенного систематически переплачивают, чтобы перемещать средства: средняя «премия» колебалась от 2,58× в 2021 году до 14,5× (YTD) в 2025 году.
Интересно, что хотя средняя стоимость (в долларах) перемещения похищенных средств со временем снижалась, мультипликатор относительно средней базовой стоимости ончейн-переводов рос.
Злоумышленники, компрометирующие личные кошельки, всё чаще оставляют более крупные остатки похищенного “на цепочке” (on-chain), вместо того чтобы сразу отмывать активы.
Атаки на личные кошельки в настоящий момент удерживают $8,5 млрд в криптоактивах on-chain, тогда как средства, похищенные у сервисов, составляют $1,28 млрд.
Меняющийся ландшафт нелегальной активности
Объёмы нелегальной активности (illicit volumes) в 2025 году пока идут по траектории, позволяющей достичь или даже превзойти прошлогоднюю оценку в $51 млрд, несмотря на существенные изменения в ландшафте нелегальных игроков. Закрытие Garantex (санкционированной российской биржи) и вероятное применение FinCEN режима Special Measures к Huione Group — камбоджийскому сервису на китайском языке, который обработал более $70 млрд входящих потоков, — изменили то, как преступники перемещают деньги через экосистему.
На фоне этого сдвига кражи криптоактивов выделяются как доминирующая проблема 2025 года. Хотя другие формы нелегальной активности показывают смешанную динамику год-к-году (YoY), всплеск криптовалютных краж представляет одновременно непосредственную угрозу участникам экосистемы и долгосрочный вызов для индустриальной инфраструктуры безопасности.
Похищения у сервисов: рекордная траектория
Накопительная динамика похищенных у сервисов средств рисует жёсткую картину эскалации угроз в 2025 году. Линия 2025 года (YTD) уходит вверх заметно круче, чем у любого другого года в датасете, и уже к июню превышает отметку $2 млрд в первые полгода.
Особенно тревожны скорость и устойчивость этой динамики. В 2022 году — ранее худшем по данным авторов — потребовалось 214 дней, чтобы превысить $2 млрд похищенного у сервисов. В 2025 году сопоставимый объём был достигнут всего за 142 дня. Линии 2023 и 2024 годов выглядят более умеренными и ровными.
К концу июня 2025 год уже на 17,27% хуже 2022-го. Если тренд продолжится, 2025 год может завершиться более чем $4,3 млрд, похищенными только у сервисов.
Взлом ByBit: новая планка для киберпреступности
Взлом ByBit, приписываемый КНДР, фундаментально изменил ландшафт угроз 2025 года. Объёмом $1,5 млрд этот единственный инцидент не только стал крупнейшей кражей в истории криптоиндустрии, но и составляет примерно 69% всех средств, похищенных у сервисов в этом году. Сложность и масштаб атаки подчёркивают рост возможностей государственных (state-sponsored) групп в криптопространстве; это произошло после заметного замедления во второй половине 2024 года.
Этот «мега-взлом» вписывается в более широкий паттерн северокорейских криптоопераций, которые всё чаще становятся ключевой частью стратегий обхода санкций. В прошлом году известные потери, связанные с КНДР, составили $1,3 млрд (до того — худший год), а значит 2025 год уже стал для них самым успешным на текущий момент.
Методология атаки, судя по всему, опиралась на продвинутые приёмы социальной инженерии, похожие на те, что фиксировались в предыдущих операциях КНДР, включая проникновение в криптосервисы через скомпрометированный IT-персонал. Такой подход оказался крайне разрушительным: согласно недавним отчётам ООН, западные технологические компании, не подозревая, нанимали тысячи северокорейских работников.
Личные кошельки: недооценённый фронтир криптопреступности
Chainalysis разработала новые методики, позволяющие выявлять и отслеживать кражи, исходящие из личных кошельков — категории, которая по своей природе часто остаётся незадокументированной, но становится всё более значимой. Эта расширенная видимость показывает тревожные тенденции: злоумышленники со временем диверсифицируют цели и тактики.
Компрометация личных кошельков занимает растущую долю от общего объёма похищенного в экосистеме. Возникновение этого тренда, вероятно, связано с несколькими факторами:
- улучшение практик безопасности у крупных сервисов, что подталкивает атакующих к частным лицам как к более лёгким целям;
- рост числа индивидуальных держателей криптоактивов;
- рост стоимости активов, хранящихся в личных кошельках, по мере удорожания ключевых криптоактивов;
- развитие более сложных техник атак на частных лиц, потенциально ускоряемое распространением легко разворачиваемых LLM/AI-инструментов.
Разбор стоимости похищенного из личных кошельков по активам тоже показателен. Выделяются три тренда:
во-первых, существенную долю похищенного по стоимости составляет битко●н;
во-вторых, средний ущерб от компрометации личных кошельков, в которых хранится битко●н, со временем растёт — это намекает, что злоумышленники целенаправленно выбирают более крупные индивидуальные “кубышки”;
в-третьих, число жертв растёт на не-Bitcoin и не-EVM сетях, например Solana.
В совокупности это говорит о следующем: хотя владельцы битко●н могут реже становиться жертвами целевых краж, чем держатели активов на других сетях, их потери в денежном выражении чаще оказываются катастрофическими. Следовательно, если стоимость нативных активов будет расти, то будет расти и объём средств, похищаемых из личных кошельков.
Фактор насилия: когда цифровое преступление становится физическим
Особенно тревожная подкатегория краж из личных кошельков — так называемые «wrench attacks», когда преступники применяют физическое насилие или принуждение, чтобы получить доступ к криптоактивам жертвы. Судя по приведённой динамике, 2025 год может закончиться примерно вдвое большим числом таких нападений, чем любой другой год, который был следующим по уровню. При этом, поскольку многие нападения остаются незаявленными, реальное число, вероятно, значительно выше.
Анализ показывает явную корреляцию между этими инцидентами и скользящим средним цены битко●на “с опережением”, что намекает: рост стоимости активов (и ожидание будущего роста) может провоцировать дополнительные оппортунистические нападения на известных держателей крипты. В целом, хотя такие нападения остаются относительно редкими, их физическое измерение — включая увечья, похищения и убийства — делает человеческие последствия чрезвычайно тяжёлыми, что далее раскрывается в следующем кейсе.
Кейc: как анализ блокчейна помог раскрыть резонансное похищение на Филиппинах
Пересечение насильственных преступлений и отмывания криптовалют создаёт сложные следственные задачи, требующие продвинутой аналитики. Резонансный кейс на Филиппинах показывает, как блокчейн-анализ может дать критически важные зацепки даже в самых тяжёлых расследованиях.
В марте 2024 года похищение и убийство Ансона Кве, CEO компании Elison Steel, потрясло бизнес-сообщество Филиппин. Кве и его водитель Армани Пабилло были похищены 29 марта в провинции Булакан. Позже их тела нашли в соседней провинции Рисаль — связанными, с очевидными следами побоев. Изначально считалось, что это дело о выкупе на 20 млн песо, но расследование показало, что было выплачено около 200 млн песо в надежде на освобождение Кве.
Филиппинская национальная полиция (PNP) заявила, что операторы джанкетов 9 Dynasty Group и White Horse Club организовали сложную схему отмывания после похищения. Схема включала конвертацию выкупа — изначально уплаченного в филиппинских песо и долларах США — в криптовалюту с использованием e-кошельков, предназначенных исключительно для казино-игринга, подставных аккаунтов и цифровых активов для сокрытия денежного следа.
Используя Chainalysis Reactor, команда Global Services Chainalysis вместе со следователями PNP построила карту движения выкупных платежей. Блокчейн-анализ показал, как отдельные платежи проходили через серию промежуточных адресов, где средства консолидировались и далее отмывались через дополнительные промежуточные адреса. При поддержке PNP Chainalysis уведомила Tether и совместно с ними смогла заморозить часть средств в USDT.
Показательно, что применённые техники отмывания были относительно простыми — это соответствует паттерну многих организованных групп, которые выбирают криптовалюту за скорость и кажущуюся анонимность, но не обладают глубокой технической экспертизой. В отличие от традиционных финансовых расследований, где доказательства часто рассредоточены по разным институтам, блокчейн предоставляет единый, авторитетный и неизменяемый реестр. Это позволяет следователям отслеживать перемещения в реальном времени, строить сетевые карты и получать зацепки, пересекающие континенты.
Трагическая гибель Ансона Кве и Армани Пабилло напоминает о реальной человеческой цене таких преступлений. Но их кейс также показывает, что неизменяемая природа блокчейна может стать мощным инструментом правосудия — не позволяя тем, кто эксплуатирует других, просто исчезнуть в цифровых тенях.
География: где в мире чаще становятся жертвами
Используя геолокационные данные Chainalysis и сопоставляя их с зарегистрированными случаями похищений, можно оценить глобальное распределение виктимизации по личным кошелькам. Примечание: эти данные включают только известные события с надёжной геолокацией, поэтому это не исчерпывающая картина всей активности в 2025 году.
На текущий момент 2025 года США, Германия, Россия, Канада, Япония, Индонезия и Южная Корея — лидеры по числу жертв, а Восточная Европа, MENA и CSAO показали самый быстрый рост между H1 2024 и H1 2025.
Отдельно, если строить рейтинг стран по величине похищенного “на жертву”, список заметно меняется: США, Япония и Германия остаются в топ-10, но ОАЭ, Чили, Индия, Литва, Иран, Израиль и Норвегия демонстрируют одни из самых высоких уровней “тяжести” виктимизации в мире.
Региональные различия по похищаемым активам
Данные 2025 года показывают новые паттерны региональной концентрации краж. Ранжирование регионов по общей стоимости похищенного YTD по активам даёт такую картину:
Северная Америка лидирует и по кражам биткоина, и по кражам альткоинов — вероятно, из-за высокой криптоадопции и наличия атакующих, способных целиться в крупные индивидуальные владения. Европа лидирует по кражам эфира и стейблкойнов, что может отражать сочетание адопции этих активов и предпочтений атакующих в пользу более ликвидных и легко переводимых инструментов.
APAC занимает второе место по суммарному похищенному BTC и третье — по похищенному ETH, а CSAO — второе место по похищенным альткоинам и по стоимости похищенных стейблкойнов. Почти стабильно страны Африки к югу от Сахары занимают последние позиции по стоимости похищенного (второе с конца по компрометации BTC), что, скорее всего, отражает более низкие уровни благосостояния, а не обязательно меньшую виктимизацию среди криптопользователей.
Экономика крипто-отмывания
Понимание того, как похищенные средства перемещаются по криптоэкосистеме, даёт ключевые инсайты и для предотвращения, и для правоприменения. Анализ показывает, что поведение по отмыванию заметно отличается для компрометаций сервисов и для личных кошельков, что отражает разные профили риска и операционные требования.
Например, в 2024 и 2025 годах атакующие сервисы активно использовали мосты (bridges) как способ отмывания через chain hopping (прыжки между сетями). Миксеры также заметно чаще фигурируют у воров, взламывающих сервисы, чем у тех, кто атакует личные кошельки. Напротив, средства, украденные из личных кошельков, чаще взаимодействуют со смарт-контрактами токенов (что может указывать на swap), отправляются в санкционированные сущности (особенно Garantex, что может намекать на пересечение с российскими исполнителями) и уходят на централизованные биржи (CEX), что говорит о менее изощрённых техниках отмывания.
В процессе отмывания злоумышленники постоянно платят премию за скорость перемещения “грязных” средств; масштабы премии сильно менялись по годам. Примечательно, что по мере того, как распространение Solana и различных L2 снижало общую стоимость транзакций, злоумышленники в среднем платили ещё более высокую премию относительно базовой ставки. Так, средняя комиссия снизилась на 89% с 2022 по 2025 (YTD), тогда как премия, которую платят злоумышленники сверх базовой ставки, выросла на 108% за тот же период. Также заметно, что атакующие сервисы обычно платят более высокие премии, чем атакующие личные кошельки — вероятно, из-за необходимости быстро перемещать большие суммы до того, как их обнаружат и заморозят.
Эти паттерны также указывают: хотя подавляющее большинство взломов финансово мотивированы (взлом Nobitex 19 июня — очевидное исключение), злоумышленники не оптимизируют расходы на ончейн-переводы, а приоритизируют скорость и финальность транзакций.
При этом не все похищенные средства тут же уходят в цикл отмывания. В случае личных кошельков всё чаще наблюдается удержание средств on-chain: значительные балансы остаются неподвижными на адресах под контролем атакующих, вместо быстрого отмывания или конвертации в фиат. Такое “HODL-поведение” преступников может отражать уверенность в собственной операционной безопасности или просто копировать общие инвестиционные привычки крипторынка.
Стратегии предотвращения и снижения ущерба
Рост компрометаций и у сервисов, и у частных лиц требует многослойного подхода к безопасности. Для провайдеров 2025 год показал важность сильной культуры безопасности, регулярных аудитов и проверки сотрудников, способной выявлять попытки социальной инженерии. Аудиты кода становятся всё более критичными, поскольку уязвимости смарт-контрактов — растущий вектор атак. Улучшения инфраструктуры кошельков, особенно внедрение multisignature hot-wallet адресов, доказали свою важность для институциональной защиты, добавляя уровни безопасности даже при компрометации отдельных ключей.
Для частных лиц рост угрозы к личным кошелькам требует пересмотра практик безопасности. Корреляция насильственных нападений с движением цены битко●на показывает, что операционная безопасность — например, не афишировать владение криптоактивами — может быть так же важна, как и технические меры (в тексте упоминаются, например, конвертация в privacy-коины или использование холодного хранения). Пользователям в странах с быстрым ростом виктимизации следует особенно внимательно относиться к цифровому следу и физической безопасности.
Кроме того, физическая безопасность стала срочной задачей на фоне роста крипто-похищений и насильственных преступлений. Резонансные случаи, включая атаки на семьи из-за известного криптобогатства, показывают: держателям цифровых активов приходится учитывать классические меры личной безопасности — осторожность с демонстрацией благосостояния, отказ от публикаций в соцсетях, раскрывающих криптохолдинги или торговую активность, внедрение физических протоколов безопасности (например, менять ежедневные маршруты, быть внимательнее к возможной слежке). Для крупных держателей может быть уместна профессиональная консультация по безопасности: пересечение цифрового богатства и физической уязвимости создаёт беспрецедентные риски, к которым традиционные рамки безопасности ещё не адаптировались.
Взгляд вперёд: критическая точка перелома
Данные 2025 года пока рисуют отрезвляющую картину эволюции криптопреступности. Экосистема повзрослела с точки зрения регулирования и институциональной безопасности, но злоумышленники параллельно усилили возможности и расширили спектр целей.
Взлом ByBit показывает, что даже развитые отраслевые игроки уязвимы перед продвинутыми устойчивыми угрозами, а рост компрометаций личных кошельков — что частные держатели криптоактивов сталкиваются с беспрецедентными рисками. Географическое расширение криптопреступности и корреляция цен активов с насильственными нападениями добавляют сложности в и без того тяжёлую среду.
Однако подробный блокчейн-анализ, который делает такую отчётность возможной, одновременно даёт основу для более эффективных контрмер. Правоохранители, вооружённые комплексным анализом транзакций, способны лучше “следовать за деньгами”, а сервис-провайдеры могут внедрять более адресные меры безопасности на основе наблюдаемых паттернов атак.
Криптоиндустрия находится в критической точке перелома. Та же прозрачность, которая позволяет беспрецедентно анализировать преступное поведение, даёт и инструменты для профилактики и правоприменения. Вопрос в том, удастся ли внедрить эти возможности достаточно быстро, чтобы опережать стремительно меняющиеся угрозы.
По мере входа во вторую половину 2025 года ставки для криптобезопасности никогда не были выше. Если похищенные средства действительно приблизятся к $4 млрд к концу года, реакция индустрии в ближайшие месяцы, вероятно, определит, сохранит ли криптопреступность тревожную траекторию или начнёт выходить на плато по мере взросления защитных мер.
Читайте также о крипте:
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций
