Bitcoin Depot розкриває серйозну вразливість безпеки, хакери викрали 3,6 млн доларів США BTC

Оператори біткоїн-банкоматів Bitcoin Depot 9 квітня подали документи до Комісії з цінних паперів і бірж США (SEC), розкривши, що компанія 23 березня зіткнулася з критичною проблемою безпеки. Хакери, проникнувши в ІТ-систему компанії та викравши облікові дані для входу до рахунку для цифрових активів із розрахунком, без авторизації перевели приблизно 50.9 BTC; оцінка збитків за ринковою вартістю на момент викрадення становить близько 3.67M доларів США.

Розбір шляху атаки: як викрадення ІТ-облікових даних призвело до втрати BTC

（Джерело: SEC）

Згідно з документами SEC-розкриття Bitcoin Depot, ця атака включала повний ланцюжок проникнення та переказу:

Огляд шляху атаки та розміру збитків

Інцидент із проникненням у ІТ-систему: атакувальникам вдалося проникнути у внутрішні ІТ-системи компанії та отримати облікові дані для входу до рахунку для цифрових активів із розрахунком

Неавторизований переказ коштів: використавши викрадені облікові дані, здійснили незаконний переказ криптоактивів без відома

Розмір збитків: 50.9 біткоїна; оцінка збитків за ринковою вартістю на момент викрадення — 3.67M доларів США

Вплив на клієнтів: платформа ATM для клієнтів і персональні дані користувачів не зазнали впливу

Час події: уразливість виникла 23 березня 2026 року

Станом на момент публікації повідомлення Bitcoin Depot, окрім документів до SEC, ще не робили жодних публічних заяв щодо цього інциденту, а також не відповіли на запити медіа про коментарі.

Дії компанії у відповідь і потенційні подальші витрати

Після виявлення проникнення Bitcoin Depot запустили механізм реагування на інцидент, залучили зовнішніх експертів із кібербезпеки для розслідування шляху атаки та локалізації решти активів, а також подали заяву до правоохоронних органів, але не розкрили конкретно, які саме установи брали участь у розслідуванні.

Компанія попередньо оцінила збитки в 3.67M доларів США, однак документи SEC не розкрили, чи компанія має страхування від викрадення цифрових активів, і не пояснили потенційний вплив цих втрат на операції з ліквідністю біткоїна в усій мережі банкоматів. Bitcoin Depot чітко зазначили, що ризики, спричинені цією подією, включають репутаційні втрати, юридичні витрати, втручання регуляторів та витрати на невідкладне реагування, що потенційно може створити довгостроковий фінансовий тягар для бізнесу.

На рівні ринкової реакції акції BTM у той день злітали приблизно на 15% під час торгів, а закрилися на рівні 2.74 долара США, але після оприлюднення документів SEC у післяринковий час спостерігалося падіння. Варто зазначити, що за останні 30 днів акція вже накопичено знизилася на 44%.

Друга випадок безпеки: системні виклики безпеці, з якими стикаються оператори ATM

Це відомий Bitcoin Depot принаймні другий випадок суттєвого інциденту безпеки: у 2023 році компанія зазнала іншої хакерської атаки, що призвела до витоку персональних даних приблизно 5.8 тис. користувачів. Послідовне виникнення двох інцидентів підкреслює системний тиск, з яким стикаються оператори біткоїн-банкоматів у сфері безпеки.

Оскільки оператори ATM мають підтримувати великі запаси криптовалют для забезпечення транзакцій клієнтів, вони стали високопріоритетними цілями для мережевих злочинців. Такі компанії, поєднуючи підключення фізичної готівки та криптовалютної інфраструктури, також мають керувати складними системами цифрового кастодіану, створюючи унікальну площину перетину атак між фізичною безпекою та кібербезпекою.

Ця подія збіглася з тим, що Bitcoin Depot наразі опиняється під дедалі суворішим регуляторним наглядом: цього року в лютому компанія під тиском з боку регуляторних органів запровадила більш жорсткі вимоги до перевірки особи для всіх транзакцій через ATM, щоб посилити можливості протидії шахрайству та дотримання вимог боротьби з легалізацією (відмиванням) грошей.

Питання та відповіді

Яка сума збитків від зламу Bitcoin Depot?

Згідно з документами, поданими Bitcoin Depot до SEC, хакери викрали приблизно 50.9 біткоїна; оцінка збитків за ринковою вартістю на момент викрадення становить близько 58k доларів США. Компанія ще не розкрила, чи має страхування від викрадення цифрових активів, і не пояснила потенційний вплив втрат на операції з ліквідністю ATM.

Чи були персональні дані клієнтів уражені цією хакерською атакою?

У документах до SEC Bitcoin Depot однозначно заявили, що платформа ATM для клієнтів і персональні дані користувачів не зазнали впливу від цього проникнення. Цей інцидент переважно стосувався внутрішнього рахунку для цифрових активів із розрахунком компанії, ізольованого від клієнтських систем.

Який це за рахунком інцидент безпеки для Bitcoin Depot?

Це — щонайменше другий відомий інцидент безпеки суттєвого масштабу для Bitcoin Depot. У 2023 році компанія вже зазнавала іншої хакерської атаки, що призвело до витоку персональних даних приблизно 5.8 тис. користувачів, формуючи тривожний повторюваний патерн інцидентів безпеки.