Взлом FixedFloat в феврале 2024 года: разбор инцидента

16 февраля 2024 года трейдеры, наблюдавшие за статус-страницей FixedFloat, увидели короткое и почти будничное уведомление о «технических работах». Через несколько часов исследователи блокчейна уже считали отток средств: примерно 409 BTC и 1 728 ETH покинули горячие кошельки биржи и ушли на адреса, у которых не было никакой предыстории. К тому моменту, когда пыль улеглась, суммарные потери составили около $26 миллионов — это сделало инцидент FixedFloat крупнейшим взломом no-KYC обменника начала 2024 года и одним из самых изученных нарушений безопасности за тот год. Ущерб оказался не только финансовым — он заставил целую категорию мгновенных обменников переосмыслить экспозицию горячих кошельков, доверие к сторонним подписантам и саму манеру коммуникации во время инцидентов.

В этом разборе мы реконструируем хронологию событий, on-chain форензику, открытые вопросы и практические последствия для всех, кто пользуется no-KYC обменниками. Если вы прогоняете чувствительные к приватности сделки через агрегаторы или напрямую через сервисы вроде MoneroSwapper, уроки февральского инцидента FixedFloat всё ещё актуальны в 2026 году: поверхность атаки, которую они обнажили, никуда не делась — она лишь диверсифицировалась.

День, когда FixedFloat «лёг»

За четыре года FixedFloat успел заработать репутацию надёжного мгновенного обменника — без аккаунта, без email, без KYC, только зафиксированный курс и адрес для отправки. К началу 2024 года платформа обрабатывала несколько тысяч обменов в день более чем по 60 монетам, включая Monero, Bitcoin, Litecoin и длинный список EVM-активов. Такие объёмы делали платформу привлекательной целью — и 16 февраля кто-то решил собрать урожай.

Первая публичная реакция была неуклюжей. В первом сообщении FixedFloat объяснил простой «незначительными техническими неполадками» и попросил пользователей подождать. В течение шести часов аналитики блокчейна уже опубликовали адреса кошельков, хеши транзакций и приблизительный счётчик потерь. Только после этого биржа подтвердила то, что к этому моменту было очевидно любому, кто смотрел в цепочку.

• Потери в Bitcoin: примерно 409 BTC, выведенные серией консолидаций UTXO из горячего кошелька FixedFloat на адреса, контролируемые атакующим.
• Потери в Ethereum: примерно 1 728 ETH, вычищенные аккуратными партиями и сразу же отправленные в известную инфраструктуру для миксинга монет.
• Суммарная стоимость: около $26 миллионов по спотовым ценам на день инцидента.
• Задержка обнаружения: прошло почти три часа между первым подозрительным оттоком и первым публичным признанием со стороны FixedFloat.
• Влияние на пользователей: обмены в процессе были приостановлены, возвраты задержались на недели, а несколько крупных клиентов сообщили о частичных потерях по транзакциям, которые биржа подтвердила, но так и не доставила.

Именно задержка обнаружения тревожит профессиональных специалистов по реагированию на инциденты сильнее всего. Горячие кошельки, утекающие на неизвестные адреса, должны вызывать автоматические оповещения за секунды, а не за часы. Тот факт, что у атакующего было время консолидировать UTXO и переместить Ethereum в миксеры до любого публичного заявления, наводит на мысль: внутренний мониторинг либо отказал, либо был обойдён, либо был активно подавлен в окне атаки.

Как именно разворачивалась атака

FixedFloat так и не опубликовал формальный post-mortem — и это само по себе часть истории. Бо́льшая часть того, что известно публично, получена из независимого on-chain анализа таких компаний, как SlowMist, MistTrack и PeckShield, плюс из тредов сообщества, восстанавливавших движение средств почти в реальном времени. Три фрагмента складываются в наиболее общепринятую картину.

Модель экспозиции горячего кошелька

Мгновенные обменники живут и умирают за счёт ликвидности горячих кошельков. В отличие от биржевых стаканов, которые могут перекладывать большие резервы в холодное хранение между сделками, no-KYC обменник вынужден рассчитываться в момент подтверждения депозита. Это значит, что рабочий баланс обязан находиться онлайн, быть проиндексированным по адресам и готовым подписывать исходящие транзакции по запросу. Горячие кошельки FixedFloat по BTC и ETH были рассчитаны на пиковые выходные объёмы — то есть десятки миллионов ликвидных средств всегда находились в зоне досягаемости той инфраструктуры подписания, которую использовала платформа.

Компрометация подписанта

Картина опустошения FixedFloat в цепочке — крупные чистые трансферы, без раздробленного поведения, без неудачных попыток, без пробных транзакций — соответствует профилю атакующего, у которого уже была действительная авторизация на подпись. Не было ни эксплойта смарт-контракта, ни бага в мосте, ни манипуляции оракулом. Сами ключи — или системы, которые ими управляли, — оказались вектором. Был ли это утёкший приватный ключ, скомпрометированная сессия HSM, инсайдер с дурными намерениями или supply-chain атака на зависимость подписи — практический результат один и тот же: атакующий подписывал транзакции, которые подписал бы и сам FixedFloat.

Маршрут отмывания

За 24 часа после взлома значительная часть украденного ETH прошла через eXch — другой no-KYC сервис — и была конвертирована в активы, дружественные к приватности. Часть BTC прошла более длинным путём через миксинговую инфраструктуру, прежде чем раздробиться на десятки свежих адресов. Использование другого no-KYC обменника для отмывания добычи стало болевой точкой для индустрии, и eXch впоследствии столкнулся с устойчивым регуляторным давлением, которое и привело к его собственному закрытию в 2025 году. Таким образом, история взлома FixedFloat — не просто плохой день одного обменника, а спусковой крючок цепной реакции в no-KYC экосистеме.

Поучительная часть истории с FixedFloat — не то, что горячие кошельки можно опустошить, а то, насколько долго внутри компании никто этого не замечал. Мониторинг, который зависит от человека, иногда смотрящего на дашборд, — это не мониторинг.

Сравнение крупных инцидентов в no-KYC сегменте

FixedFloat — не единственный no-KYC сервис, переживший крупное нарушение безопасности. Если поставить его в один ряд с другими инцидентами той же эпохи, структурные риски категории становятся очевиднее. Закономерность повторяется: экспозиция горячих кошельков, медленная публичная коммуникация и отмывание, текущее в сторону приватной инфраструктуры.

Инцидент	Оценочные потери	Вектор атаки	Публичный post-mortem
FixedFloat (февр. 2024)	~$26 млн	Компрометация подписанта горячего кошелька	Не опубликован
FixedFloat (повторный март 2024)	~$3 млн	Та же инфраструктура, частичное переиспользование	Не опубликован
Экспозиция отмывания через eXch	Косвенная	Входящие краденые средства	Только операционные заявления
Эксплойты мостов 2022–2024 в среднем	$100 млн+ за событие	Баг смарт-контракта	Обычно публикуется
Взломы CEX с холодным хранением	Редко	Компрометация мультиподписи	Иногда публикуется

Что отличает no-KYC категорию — это тишина после события. Регулируемая биржа, потерявшая средства клиентов, сталкивается с немедленными обязательствами по раскрытию информации и обычно публикует post-mortem, чтобы сохранить остатки доверия. У no-KYC обменника таких обязательств нет, и часто есть коммерческие причины держать детали при себе: любое техническое раскрытие может помочь будущим атакующим, а любое операционное раскрытие может привлечь внимание регуляторов. В результате это категория, где пользователю приходится рассуждать о безопасности снаружи, имея в качестве единственного надёжного источника правды on-chain хлебные крошки.

Как защитить себя при использовании no-KYC обменников

Инцидент FixedFloat не означает, что no-KYC обменников следует избегать — для многих пользователей, особенно в юрисдикциях, враждебных к финансовой приватности, это по-прежнему единственный реалистичный вариант. Но он означает, что модель угроз отличается от кастодиальной биржи, и ваше поведение должно это учитывать. Следующие шаги отражают то, что опытные трейдеры взяли на вооружение после февраля 2024 года.

1. Воспринимайте окно обмена как транзит, а не как хранение. Средства, которые вы отправляете на no-KYC биржу, должны проходить сквозь, а не лежать. Подготовьте адрес назначения заранее — в идеале кошелёк, ключи которого находятся у вас, например Monero-кошелёк, сгенерированный из Polyseed-мнемоники, — ещё до создания обмена. Не делайте пауз посередине.
2. Тщательно дозируйте каждый обмен. Горячие кошельки FixedFloat опустошили, потому что их размер был рассчитан на пиковые объёмы. Со стороны пользователя урок симметричен: никогда не прогоняйте через обменник сумму больше той, которую вы готовы потерять, если у биржи случится плохой день. Несколько небольших обменов через разные сервисы лучше одного большого.
3. Проверяйте адрес обменника в цепочке перед отправкой. Уважающие себя платформы выдают свежий депозитный адрес под каждый заказ. Сделайте быструю проверку адреса в блок-эксплорере: история отсутствует — хороший признак для свежего заказа; тысячи входящих транзакций — красный флаг по части гигиены безопасности.
4. Сверяйте курс. Если предложенный курс существенно лучше, чем у конкурентов, включая MoneroSwapper, — это сигнал, который стоит исследовать, а не предложение, которое нужно хватать. Аномалии в ценообразовании часто коррелируют с напряжённой ликвидностью или, в крайних случаях, с платформами, работающими уже под чужим контролем.
5. Подтверждайте получение в Monero-кошельке, которым вы управляете. Когда обмен завершится в адрес назначения, подтвердите транзакцию в собственном кошельке — RingCT-выходы видны, stealth-адрес формирует баланс, view-ключ совпадает с ожидаемой суммой. Пока вы не сделали это в своём ПО, обмен не завершён.
6. Оперативно переводите средства в долгосрочное хранение. Если ваш долгосрочный план — держать Monero, переместите полученные выходы в кошелёк, сид-фраза которого хранится офлайн, как только это станет практически возможным. Чем дольше приватные активы лежат на известном адресе контрагента, тем больше метаданных они накапливают.

Почему эта история важна для пользователей Monero-обменов

Пользователи Monero непропорционально представлены среди клиентов no-KYC обменников по очевидным причинам: онремпы в Monero из фиата и других криптовалют между 2021 и 2026 годами существенно сузились, и мгновенные обменники стали основным маршрутом. Это означает, что безопасность подобных сервисов — прямая забота любого, кто пытается использовать Monero по назначению. Когда компрометируют биржу вроде FixedFloat, провал затрагивает не только тех, чьи депозиты были украдены в самой атаке, но и всех, чей обмен находился в пути, всех, чей возврат тянулся неделями, и всех, в чьём кошельке после этого оказались выходы, прошедшие через помеченный адрес.

Гарантии приватности Monero — кольцевые подписи, stealth-адреса и Bulletproofs+ — защищают транзакции внутри самой цепочки Monero. Они не защищают момент, когда пользователь передаёт не-Monero монеты обменнику, и не отменяют провал контрагента. Это именно тот зазор, в котором действуют инциденты вроде FixedFloat. У пользователя может быть идеальная Monero-опсек-связка, и он всё равно потеряет средства, потому что мост, державший его BTC тридцать минут, опустошал атакующий из другого часового пояса.

Практический ответ — выбирать обменники с разбором. Обращайте внимание на операционную историю, на то, как сервис реагирует на инциденты, и на то, насколько он готов обсуждать свою модель безопасности. Сервисы, которые публикуют разделение между холодным и горячим кошельком, ротируют инфраструктуру подписи и ясно общаются во время сбоев, демонстрируют объективно лучший профиль риска, чем те, кто превращает каждый инцидент в загадку. MoneroSwapper, например, изначально построен вокруг принципа, что пользователь обмена не должен выбирать между приватностью и операционной видимостью: маршрутизация приватная, но поведение платформы во время инцидента задумано громким и ясным, а не молчаливым.

Что индустрия усвоила (и чего не усвоила)

Через два года после прорыва no-KYC экосистема обмена выглядит измеримо иначе. Несколько платформ теперь публикуют квартальные снимки proof-of-reserves, ряд перешёл на multi-party подпись с географически распределёнными подписантами, и всё больше инцидентов сопровождаются хотя бы коротким публичным заявлением. Появились страховые продукты для мгновенных обменников — там, где раньше их не было, — хотя покрытие пока тонкое.

Чего не изменилось — это структурное давление на горячие кошельки. Пока мгновенные обмены остаются продуктовой категорией, кто-то обязан держать ликвидные средства онлайн и кто-то обязан авторизовать транзакции по требованию. Фронт атак сместился с on-chain багов (доминировавших в 2021–2022 годах) к off-chain компрометации инфраструктуры подписи, защищать которую на техническом уровне намного труднее, потому что слабость, как правило, организационная. Фишинг операторов, supply-chain атаки на зависимости и инсайдерские угрозы всё ещё актуальны в 2026 году.

Одно действительно положительное изменение — узкие места отмывания сузились. После того как инцидент FixedFloat обнажил, насколько легко краденые средства проходят через другие no-KYC сервисы, выжившие платформы внедрили общие чёрные списки, скрининг депозитов по известным кластерам атакующих и замедленные выплаты по подозрительным паттернам. Это сделало последующее отмывание сложнее — даже несмотря на то, что исходная поверхность атаки никуда не делась.

FAQ

Сколько потерял FixedFloat в феврале 2024 года?

FixedFloat потерял около 409 BTC и 1 728 ETH — примерно $26 миллионов по ценам на момент атаки. Средства были выведены из горячих кошельков платформы серией чистых транзакций в течение одного дня. Более мелкий повторный инцидент в марте 2024 года добавил ещё около $3 миллионов потерь, прежде чем биржа сменила инфраструктуру подписи.

Возместил ли FixedFloat пользователям убытки?

FixedFloat в итоге обработал возвраты для большинства пользователей с обменами в пути или невыполненными заказами, хотя у многих клиентов процесс растянулся на недели. Биржа покрыла убытки из собственных резервов, а не размазала их по пользовательской базе — это содержательное отличие, потому что многие взломанные биржи именно социализируют потери. Часть пользователей сообщала о частичном восстановлении или нерешённых случаях.

Был ли установлен атакующий FixedFloat?

Публично — нет. On-chain анализ проследил средства через несколько миксеров и платформу eXch, но никому формально атрибуцию не предъявили. Часть аналитиков предполагала причастность государственного актора, опираясь на изощрённость отмывания, другие указывали на инсайдера или supply-chain компрометацию, опираясь на чистоту поведения при подписи. Внутренние выводы FixedFloat не публиковал.

Безопасно ли пользоваться FixedFloat в 2026 году?

FixedFloat продолжает работу после инцидента и, по сообщениям, обновил инфраструктуру подписи. Решение пользоваться любым no-KYC обменником — это персональная оценка рисков, в которую должны входить операционная история, прозрачность и размер сделки. Многие пользователи специально диверсифицируют между несколькими платформами, чтобы не концентрировать риск у одного оператора, — это разумная практика безотносительно того, о какой именно бирже идёт речь.

Какой способ обмена в Monero самый безопасный сегодня?

Самый безопасный сценарий — пользоваться обменником с чистой операционной историей, отправлять минимально практичную сумму за транзакцию, подтверждать получение в Monero-кошельке, сид которого вы сами и сгенерировали, и оперативно переводить средства в долгосрочное хранение. MoneroSwapper спроектирован вокруг этого сценария: минимальный сбор данных, понятная отчётность по статусам и прямая доставка на stealth-адрес, которым вы управляете. Связка из аккуратного обменника и дисциплинированной гигиены кошелька даёт самый прочный практический результат.

Как это соотносится с традиционными взломами бирж?

Традиционные взломы регулируемых бирж обычно сопровождаются бо́льшими абсолютными потерями, но и более широким набором путей возмещения — через страховку, регуляторное давление и публичные post-mortem. No-KYC взломы вроде FixedFloat меньше в долларовом выражении, но опаснее в расчёте на пользователя, потому что никаких рычагов сверх доброй воли биржи у вас нет. Структурное отличие в том, что, выбирая no-KYC маршрут, вы меняете правовую защиту на приватность, — и эту сделку стоит закладывать в то, сколько вы прогоняете через одну платформу.

Заключение

Взлом FixedFloat стал прояснительным событием для no-KYC категории обмена. Он не изобрёл нового класса атак и не подсветил риск, о котором информированные пользователи не думали бы раньше. Что он сделал — вытащил наружу скрытое допущение: что операционная дисциплина мгновенного обменника является частью гарантии безопасности, и что любая платформа, прося пользователей доверять ей тридцать минут, должна стоить этих тридцати минут доверия. Часть платформ ответила на это давление лучшими практиками, публичной коммуникацией и измеримыми улучшениями. Другие промолчали и надеялись, что пользователи забудут. Рынок до сих пор разбирается, кто есть кто.

Для всех, кто пользуется Monero в 2026 году, вывод практический. Выбирайте обменники, которые относятся к вашему времени и вашим средствам с серьёзностью момента, дозируйте сделки под ту модель угроз, с которой вы реально сталкиваетесь, и подтверждайте каждый отрезок маршрута в собственном ПО. Если хотите начать обмен прямо сейчас в сервисе, построенном именно на этих принципах, начните на странице анонимная покупка Monero или сравните текущие курсы через котировочный движок MoneroSwapper. Инцидент 2024 года уже в зеркале заднего вида, но уроки, которые он оставил, до сих пор формируют каждый обмен, который вы делаете сегодня.