getblock.net
В начале июня с одним из криптовалютных проектов произошла необычная ситуация. Децентрализованный протокол был захвачен не с помощью взлома, а при помощи манипуляций с ликвидностью. GetBlock AML Research разбирает, как проект TOP лишился $1,6 млн.
Главное
- 9 июня 2026 года злоумышленник вывел из сервиса Tornado Cash около 664 $ETH стоимостью примерно $2,7 млн. Эти средства были использованы для получения контроля над TOP — децентрализованным протоколом для расчетов торговых операций, работающим в сети Ethereum. Получив большинство голосов в системе управления проектом, атакующий выпустил новые токены и продал их, заработав около $1,6 млн. Все это произошло спустя более года после того, как власти США исключили адреса Tornado Cash из санкционного списка.
- До введения санкций Tornado Cash обеспечивал примерно половину всей деятельности по сокрытию происхождения криптовалютных средств в различных блокчейн-сетях. Пик его популярности пришелся на второй квартал 2022 года, когда на него приходилось около 59% подобных операций. После введения санкций в августе 2022 года его доля упала примерно до 16%, однако к концу 2025 года вновь превысила 40%.
- Захват управления TOP демонстрирует цепочку действий, которую можно полностью проследить в блокчейне: вывод средств из сервиса смешивания криптовалют становится стартовым капиталом, этот капитал используется для получения большинства голосов в системе управления, затем принимается решение о выпуске новых токенов, а полученные активы продаются с прибылью.
- Этот случай показывает, что средства, прошедшие через сервисы сокрытия происхождения криптовалюты, по-прежнему рассматриваются как фактор риска при атаках на механизмы управления блокчейн-проектами и могут отслеживаться даже спустя длительное время независимо от текущего юридического статуса подобных сервисов.
Следы ведут к Tornado Cash
9 июня 2026 года злоумышленник вывел из Tornado Cash около 664 $ETH стоимостью примерно $2,7 млн и использовал эти средства для захвата контроля над TOP — небольшим децентрализованным проектом на базе Ethereum.
После получения контроля над голосованием в проекте атакующий инициировал выпуск новых токенов TOP на принадлежащий ему адрес и затем продал их, получив около $1,6 млн прибыли.
Вся последовательность действий полностью зафиксирована в блокчейне и может быть прослежена от первоначального вывода средств до получения конечной прибыли.
Связь адреса злоумышленника со смарт-контрактом Tornado Cash. Визуализация: TRM Labs
Чтобы понять значение этой атаки, необходимо разобраться в истории самого Tornado Cash — одного из самых спорных, обсуждаемых и сложных для анализа проектов в криптовалютной индустрии за последние несколько лет.
Почему до сих пор нет единого консенсуса по Tornado Cash
Tornado Cash представляет собой сервис на базе Ethereum, впервые запущенный в 2019 году.
Его основная задача заключается в разрыве публичной связи между адресом отправителя и адресом получателя криптовалюты. Пользователь отправляет $ETH в специальный смарт-контракт, после чего может вывести эквивалентную сумму на совершенно другой адрес. В результате наблюдателям становится значительно сложнее определить, кому именно принадлежат средства.
Особенность Tornado Cash заключается в том, что его основные смарт-контракты являются неизменяемыми. После запуска никто не может остановить их работу, изменить правила функционирования или перенаправить средства пользователей.
Хотя сервис использовался и в законных целях, связанных с защитой финансовой конфиденциальности, к середине 2022 года через него прошло более $7 млрд. На тот момент Tornado Cash обеспечивал почти половину всех операций по сокрытию происхождения криптовалют в различных блокчейн-сетях. В то же время сервис активно использовался вымогателями, киберпреступниками и северокорейской хакерской группировкой Lazarus.
В августе 2022 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) внесло Tornado Cash в санкционный список SDN в рамках исполнительного указа №13694. Это стало первым случаем в истории, когда американские власти фактически ввели санкции против программного обеспечения с открытым исходным кодом, а не против конкретного человека или организации.
Решение сразу вызвало серьезные споры. Критики утверждали, что ведомство превысило свои полномочия. В 2023 году разработчикам проекта Роману Шторму и Роману Семенову были предъявлены обвинения, связанные с отмыванием денег и нарушением санкционного законодательства.
После введения санкций некоторые злоумышленники начали рассылать небольшие суммы криптовалюты, прошедшей через Tornado Cash, на известные публичные кошельки. Таким образом они демонстрировали абсурдность ситуации, при которой даже невиновные получатели подобных переводов могли формально столкнуться с проблемами соблюдения санкционных требований.
В ноябре 2024 года Апелляционный суд пятого округа США по делу Van Loon против Министерства финансов постановил, что неизменяемые смарт-контракты не являются «имуществом» в понимании соответствующего законодательства и что OFAC превысило свои полномочия.
21 марта 2025 года Министерство финансов США исключило Tornado Cash из санкционного списка. Однако уголовные дела против разработчиков продолжили рассматриваться отдельно. По состоянию на июнь 2026 года сам протокол больше не находится под санкциями, но его создатели все еще участвуют в затяжных судебных разбирательствах.
Несмотря на продолжающиеся споры о том, несут ли разработчики ответственность за использование созданного ими программного обеспечения и имеют ли власти право вводить санкции против децентрализованных проектов, Tornado Cash остается одним из наиболее активно используемых сервисов смешивания криптовалют в сети Ethereum.
Через Tornado Cash в 2026 году прошло более $700 млн
Когда в августе 2022 года адреса Tornado Cash попали под санкции, доля сервиса на рынке подобных операций резко сократилась примерно до 16%. Однако уже к четвертому кварталу 2025 года этот показатель снова превысил 40%.
В течение 2026 года на Tornado Cash приходилось чуть более 20% всей активности сервисов смешивания криптовалют. Он остается крупнейшим подобным сервисом среди сетей, основанных на Ethereum. Еженедельный объем поступающих средств колеблется примерно от $10 до $80 млн.
Еженедельные объемы переводов на смарт-контракт Tornado Cash в 2026 году. Визуализация: TRM Labs
Если рассматривать рынок в целом, то в 2021 году через сервисы смешивания криптовалют проходило более $3 млрд за квартал. Затем объемы сократились примерно до $1 млрд за квартал в течение большей части 2023 и 2024 годов.
В 2025 году объемы снова начали расти и приблизились к отметке $2,7 млрд за квартал. Хотя в 2026 году крупнейшим сервисом по объему полученных средств стал Wasabi, Tornado Cash остается вторым по величине сервисом такого типа в мире и крупнейшим среди экосистемы Ethereum.
Как был захвачен проект TOP
TOP представляет собой небольшой токен на базе Ethereum с общим объемом эмиссии всего 16 384 токена. Управление проектом осуществляется через децентрализованную организацию Aragon DAO, где количество голосов напрямую зависит от числа принадлежащих пользователю токенов.
Любой участник, который получает контроль над большинством токенов, фактически получает полный контроль над всеми решениями проекта. Торговля токеном осуществлялась через пул ликвидности Balancer V1.
При этом в механизме управления отсутствовала так называемая временная задержка (timelock). Это означало, что предложение могло быть создано, вынесено на голосование и исполнено в рамках одной транзакции без какого-либо периода ожидания для проверки или оспаривания.
- Используя 664 $ETH, выведенных из Tornado Cash, злоумышленник приобрел достаточное количество токенов для получения большинства голосов;
- После этого он провел голосование за выпуск новых токенов TOP на контролируемый им адрес;
- Полученные токены были немедленно проданы через децентрализованную биржу, что принесло около $1,6 млн прибыли.
Фактически злоумышленник не взломал систему управления — он воспользовался ею именно так, как она была задумана разработчиками. Однако концентрация большинства голосов в одних руках позволила использовать механизм управления в собственных интересах.
Отсутствие временной задержки сделало возможным проведение всей операции практически мгновенно, не оставив другим участникам времени на реакцию.
Почему сервисы смешивания не делают деньги невидимыми
Одной из причин популярности Tornado Cash среди злоумышленников является убеждение, что после прохождения через такой сервис происхождение средств становится невозможно установить. На практике это далеко не всегда так.
Специалисты по блокчейн-аналитике используют методы сопоставления временных промежутков, анализа поведения пользователей, исследования анонимных групп транзакций и отслеживания точек вывода средств в традиционные финансовые системы. Благодаря этим инструментам можно продолжать отслеживать дальнейшее движение криптовалюты даже после прохождения через сервис смешивания.
Средства, однажды прошедшие через подобные платформы, продолжают сохранять признаки риска и могут оставаться объектом внимания аналитиков независимо от того, находится ли сам сервис под санкциями или нет.
Подобные методы уже использовались в расследовании крупных инцидентов, включая взлом моста Nomad с ущербом около $190 млн, а также в деле Nirvana Finance, которое привело к первому в истории обвинительному приговору за атаку на смарт-контракт.