Один клик, одно неудачное обновление — и 2 000 биткоинов, почти 200 миллионов долларов, исчезли за считанные секунды. След ведёт через кошельки, миксеры, DeFi-протоколы — и упирается в самых опасных хакеров мира: Lazarus, невидимую киберармию Северной Кореи. Они грабили банки, взламывали криптобиржи, похищали миллиарды. ФБР уверено: они действуют по прямому приказу Ким Чен Ына. По данным ООН, Северная Корея финансирует этими налётами свою незаконную ядерную программу. Теперь жертвой стал и Давид. «В один миг всё исчезло», — говорит он в интервью BTC-ECHO. «Теперь я знаю, как это разрушительно — потерять всё, что строил десять лет». Давид просит сохранить анонимность. Лишь имя он раскрывает. Более десяти лет он копил, торговал, приумножал биткоины — ради семьи и будущего. И вдруг цифровое состояние исчезло.
Он всего лишь хотел пройти рутинную процедуру — подтвердить происхождение средств, как того требуют регулируемые платформы при крупных выводах. Для этого он обратился к блокчейн-форензику Альберту Квененбергеру. «Мы просто хотели подписать сообщение в кошельке, чтобы подтвердить владение», — объясняет Альберт. Но подпись не проходила. Сначала он подумал о технической ошибке. Когда он проверил адрес кошелька через свои инструменты, оказалось: баланс пуст. То, что выглядело как сбой, оказалось пропастью. Пока дочь Давида включала диско-шар и беззаботно играла на фоне видеозвонка, Альберт обнаружил: кошельки опустели — пропали 1 994 биткоина. «Сначала мы не поверили, — говорит он. — Речь шла о 20 биткоинах, а оказалось — почти 2 000 украли».
След ведёт в Северную Корею
Альберт начал пошагово отслеживать транзакции. При переводе биткоина всегда тратится весь вход кошелька: нужная сумма уходит получателю, остаток возвращается на новый адрес «сдачи». Обычно это выглядит как обычный паттерн, не вызывающий подозрений. Но у Давида сдачи не было. Монеты ушли в peel chain — метод запутывания следов, при котором сумма дробится на десятки мелких транзакций и гонится по цепочке адресов. Снаружи это выглядит как безобидные переводы, на деле — скрытие следа. Всё указывало: биткоины системно увели из доступа
Монеты пропали: отправлены на другие кошельки, разделены, замаскированы. След вывел на миксеры CoinJoin и Wasabi, а также DeFi-платформы. Часть средств обменяли: 8,36 BTC — в 8 000 Litecoin, потом в USDT, Wrapped Ether и обратно в Wrapped Bitcoin. А потом находка, которая всё изменила: кошелёк, уже помеченный как связанный с Lazarus. И вся схема подозрительно напоминала прежние налёты группы.
«Если это действительно Lazarus, будет крайне сложно», — признаёт Альберт. — «Официальные поездки в Северную Корею невозможны, дипломатических каналов по сути нет».
Теневая армия Пхеньяна
Группировка Lazarus считается невидимой армией режима. Разведки называют её одной из самых опасных киберугроз мира. Первые атаки датируются 2009 годом. Сейчас, по оценкам, в составе несколько тысяч хакеров, разделённых на подразделения — от краж и шпионажа до хаоса. Их список «успехов» длинный: взлом Ronin-Bridge у Axie Infinity с убытками свыше 600 миллионов, атаки на банки, миллиардные кражи с бирж. Ущерб мировой экономике — астрономический. Вокруг группы растут легенды: мол, работают в подземных бункерах Пхеньяна.
Все признаки указывали: Давид тоже стал целью. Не через грубую силу, а любимым оружием группы — социальную инженерию. Они терпеливо ждали момента. «Это был не банальный фишинг, — говорит Альберт. — Хакеры использовали контакты, которые Давид завёл на ETHDenver. Одной ссылки Zoom хватило, чтобы обновление установило вредонос. С того момента доступ к его кошелькам был открыт». Давид подтверждает: «Приглашение пришло от знакомых с конференции. Никаких подозрений. Ссылка настоящая — но она подтянула обновление с вирусом».
Следствие предполагает: это была не просто заражённая ссылка, а целевая man-in-the-middle-атака. Zoom запускал обновление во время звонка, но подменённые серверы выдали вредоносный пакет. Хакеры получили прямой доступ. Классика Lazarus: медленно, точно, незаметно.
Контратака с ФБР и сообщением в блокчейн
Что делать, когда исчезают почти 2 000 биткоинов? Давид и Альберт пошли двойным путём. Они обратились в органы. В августе 2025 года ФБР официально открыло дело, подключили Интерпол и нацполиции. «Речь идёт почти о 200 миллионах евро, — говорит Альберт. — Государственный интерес очевиден».
Вторым шагом они решили обратиться напрямую к хакерам. Биткоин-блокчейн это позволяет. «Мы отправили им on-chain сообщение», — объясняет Альберт. В транзакции было несколько сатоши и в поле данных — призыв: верните монеты. Оставьте себе 5–10% как награду. Давид откажется от суда. Срок — 7 дней. Ответа не последовало.
«Кошельки стоят на международных листах наблюдения. Любое движение вызывает тревоги, — поясняет Альберт. — Как только биткоины попадут на регулируемую платформу, compliance обязан среагировать: логирование, KYC/AML, заморозка счетов, блокировка вывода, фиксация личности. Блокчейн полностью прозрачен».
Между шоком и надеждой
Для Давида это был не только финансовый удар. «Я был раздавлен. Более десяти лет работы — стёрто. Думал, жизнь обеспечена. А пришлось думать, что начинать всё с нуля». Он знает и другие истории. «Один знакомый покончил с собой после потери монет. Именно поэтому я говорю — чтобы другие были предупреждены».
Ему помогла вера. «Деньги не всё. С собой их не унесёшь. Я верю, что Бог способен обратить даже зло во благо». Сегодня Давид спокоен. «Чувствую снова силу. Думаю, эта история в итоге поможет другим».
Альберт остаётся хладнокровным: «Если это Lazarus — будет очень тяжело. Эти люди умеют заметать следы. Но мы приняли меры и подключили власти. Рано или поздно монеты проявятся — и тогда мы будем готовы».
