Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
В Coinbase подтвердили утечку данных пользователей.
Оператора крупнейшего наркомаркетплейса приговорили к 30 годам.
DeFi-платформа Step Finance лишилась $40 млн в результате взлома криптоказначейских кошельков.
Global Ledger: криптомошенники оставляют жертвам все меньше времени на реакцию.
В Coinbase подтвердили утечку данных пользователей
Злоумышленники получили доступ к информации 30 клиентов Coinbase. Утечку данных подтвердили представители биржи, пишет BleepingComputer.
Согласно изданию, заявление компании появилось вскоре после того, как группа Scattered Lapsus$ Hunters опубликовала в Telegram скриншоты внутреннего интерфейса службы поддержки биржи, а затем удалила их. На них была видна панель поддержки с доступом к данным клиентов — адресам электронной почты, именам, датам рождения, номерам телефонов, KYC-информации, балансам криптовалютных кошельков и транзакциям.
Утечка произошла в декабре 2025 года и не связана с более ранним инцидентом. Пока неясно, причастна ли группировка к последней атаке напрямую.
Оператора крупнейшего наркомаркетплейса приговорили к 30 годам
3 февраля суд приговорил предполагаемого оператора площадки по торговле наркотиками в даркнете Incognito Market Руи-Сян Линя к 30 годам заключения. Об этом сообщает Минюст США.
В ведомстве отметили, что приговор ставит точку в одном из крупнейших дел против нелегальных маркетплейсов со времен Silk Road.
Каждое объявление на Incognito Market размещалось конкретным продавцом. Чтобы им стать, участник был обязан зарегистрироваться на сайте и оплатить вступительный взнос. Площадка взимала комиссию 5% от продаж.
Выручка шла на финансирование деятельности Incognito Market, включая оплату компьютерных серверов и денежное поощрение сотрудников. По данным властей, чистая прибыль Линя превысила $6 млн.
Для упрощения финансовых операций у Incognito Market был собственный «банк» (Incognito Bank), который позволял вносить криптовалюту на счета прямо на сайте. После завершения сделки по продаже наркотиков средства со счета покупателя переводились на адрес продавца за вычетом комиссии. Площадка позволяла сохранять условную анонимность.
Источник: Минюст США.
Правоохранители вышли на след преступной группировки с помощью анализа блокчейна и контрольных закупок «под прикрытием», а также используя грубые ошибки Линя в кибербезопасности:
регистрация домена. Криминалисты отследили домен маркетплейса до Линя благодаря использованию им настоящего имени, личного номера телефона и адреса;
биография. Линь учился в Национальном университете Тайваня, после чего проходил альтернативную гражданскую службу в Сент-Люсии. Там он работал техническим помощником и в свободное время даже обучал местную полицию методам борьбы с киберпреступностью и работе с криптовалютами.
DeFi-платформа Step Finance лишилась $40 млн в результате взлома криптоказначейских кошельков
31 января руководство Step Finance сообщило о бреши в системе безопасности. Привлеченные специалисты помогли DeFi-платформе вернуть часть украденных активов.
Согласно заявлению, несколько казначейских кошельков были взломаны с помощью «хорошо известного вектора атаки». Изначально аналитики CertiK оценили ущерб в 261 854 SOL (около $28,9 млн на тот момент), но в ходе расследования сумма возросла примерно до $40 млн.
#CertiKInsight 🚨We have seen a security breach of @StepFinance_ treasury wallets.https://t.co/Zi3tMKaTqE261,854 SOL (~$28.9M) has been withdrawn after stake authorization had been transferred tohttps://t.co/o51kREYPHW Stay Vigilant! pic.twitter.com/GrxpyzI2Uv— CertiK Alert (@CertiKAlert) January 31, 2026
По состоянию на момент написания удалось вернуть около $3,7 млн в активах Remora и $1 млн в других токенах благодаря защитным механизмам стандарта Token22 и координации с партнерами.
В результате инцидента некоторые операции были приостановлены для усиления безопасности. Платформа отметила, что принадлежащий ей протокол Remora Markets изолирован от инцидента и все токены rTokens остаются полностью обеспеченными в соотношении 1:1.
Пользователям рекомендовали не проводить операции с токеном STEP до завершения расследования. Для разработки решений по компенсации планируется сделать снапшот сети до взлома.
Step Finance не раскрыла подробности атаки и личности злоумышленников, из-за чего в сообществе возникли предположения о возможном экзит-скаме или участии инсайдеров. Эти обвинения пока не опровергнуты.
https://forklog.com/exclusive/zhizn-posle-bybit
Global Ledger: криптомошенники оставляют жертвам все меньше времени на реакцию
В 2025 году нацеленные на криптовалюты хакеры оставляют жертвам все меньше времени на реагирование. К такому выводу пришли эксперты Global Ledger.
По их словам, во втором полугодии процессы отмывания средств ускорились по сравнению с первым и достигли новых экстремальных значений. В отчете говорится о случае, когда средства переместили всего за две секунды — вдвое быстрее, чем в первой половине года, и в два раза быстрее, чем самое оперативное публичное сообщение об инциденте.
В большинстве случаев злоумышленники начинали перемещать средства еще до того, как рынок узнавал о самом факте взлома. В среднем в минувшем году это происходило в ~76,4% инцидентов. Во втором полугодии показатель вырос до 84,6% по сравнению с 68,1% в первом полугодии.
Источник: Global Ledger.
Исследователи отметили, что само отмывание в среднем стало медленнее примерно на 25%. Если в первом полугодии период составлял около восьми дней, во втором достиг 10,6 дней.
Согласно Global Ledger, во втором полугодии хакеры стали больше дробить суммы и использовать некастодиальные кошельки, DeFi-протоколы, DEX, кроссчейн-мосты и миксеры.
Источник: Global Ledger.
После снятия санкций использование Tornado Cash выросло более чем на 31 п.п. За год на миксер пришло более $2,05 млрд в Ethereum, из которых около $655 млн — высокорисковые. Доля средств, которые ушли с Tornado Cash на CEX, выросла с 0,16% (во время действия ограничений) до 4,74% (после снятия).
Специалисты подчеркнули, что на взломы смарт-контрактов пришлось около 64% инцидентов. Однако самые крупные потери понесли пользователи, которые подписывали фейковые разрешения — $1,5 млрд.
Криптовымогатели установили рекорд России
В январе 2025 года хакеры потребовали у одной из российских рыбопромышленных компаний выкуп в криптовалюте на рекордную для страны сумму. Об этом сообщает F6.
Согласно отчету, злоумышленники запросили 50 BTC (около 500 млн рублей на момент публикации данных) за восстановление доступа к зашифрованным данным. Название пострадавшей организации не раскрывается.
Для российского рынка это максимальная сумма выкупа за все время. Атаку связали с группировкой CyberSec’s. Она известна взломами компаний из РФ и онлайн-ресурсов, кражей данных и их последующей публикацией. Группа получила широкую известность после утечки базы форума sysadmins.ru и заявлений о массовых взломах серверов «Битрикс».
Разработчик раскрыл детали взлома Notepad++
2 февраля разработчик Notepad++ Дон Хо рассказал о результатах проведенного расследования, в котором участвовали внешние киберспециалисты и сотрудники бывшего хостинг-провайдера сайта notepad-plus-plus.org.
По его словам, сервис подвергся атаке еще в июне 2025 года через взлом инфраструктуры на уровне хостинг-провайдера.
Злоумышленники действовали точечно, нацеливаясь на конкретных жертв. Несколько независимых экспертов пришли к выводу, что за атакой стоит некая китайская «правительственная» группировка.
Сервер хостинга, где размещался сайт с механизмом обновлений, был взломан до 2 сентября 2025 года. В этот день на сервере провели плановое обслуживание, после чего в логах перестали появляться подозрительные паттерны.
Бэкдор позволял хакерам перенаправлять часть трафика, идущего на notepad-plus-plus.org/update/getDownloadUrl.php, на свои серверы, где жертвам предоставляли URL-адреса обновлений с вредоносными файлами.
Ожидается, что в ближайший месяц выпустят версию 8.9.2 — проверка сертификата и подписи станет обязательной. Дон Хо рекомендовал пользователям вручную загрузить версию 8.9.1, которая уже включает необходимые защитные меры.
Также на ForkLog:
Исследование Chainstory выявило признаки скама в большинстве криптопресс-релизов.
В соцсети для ИИ-агентов Moltbook нашли уязвимость.
Мост CrossCurve от Curve Finance взломали на $3 млн.
Что почитать на выходных?
Останется ли у людей право на вмешательство в работу ИИ-агентов, выяснил Андрей Асмаков.
https://forklog.com/exclusive/ai/kto-upravlyaet-botami
