Zcash, Humanity, AudiA6 - kripto saugumas H1 2026

Zcash, Humanity, AudiA6 - kripto saugumas H1 2026

Per pastarąsias dvi savaites kripto industrija patyrė tris didelius saugumo įvykius, kurie verti gilesnio žvilgsnio. Gegužės 29 d. buvo atskleistas kritiškas Zcash Orchard pool'o klastojimo pažeidžiamumas - klaida tinkle, esanti nuo 2022 m. Birželio 8 d. Humanity Protocol patyrė maždaug 36 milijonų dolerių vagystę po vieno darbuotojo nešiojamojo kompiuterio kompromitavimo. Birželio 11 d. JAV Teisingumo departamentas paskelbė tarptautinę operaciją prieš AudiA6 kripto pinigų plovimo paslaugą - du operatoriai buvo suimti Gruzijoje.

Šie trys įvykiai per mažiau nei dvi savaites iliustruoja kripto industrijos dvigubą realybę 2026 m. viduryje: techninis saugumas vis dar trapus, bet gebėjimas sekti, konfiskuoti ir įšaldyti nusikalstamus pinigų srautus sparčiai auga. Šioje išsamioje apžvalge analizuojame visus tris įvykius, platesnį H1 2026 saugumo peizažą ir riziką, kuriai pavaldūs Baltijos ir Šiaurės šalių vartotojai.

Pagrindiniai faktai trumpai

• Zcash Orchard: kritinis klastojimo pažeidžiamumas, esantis 4 metus (2022-2026), rastas su Anthropic Opus 4.8, ZEC -38%
• Humanity Protocol: $36M vagystė iš vieno nešiojamojo kompiuterio su visomis multisig raktais, H tokenas -80%+
• AudiA6 mixer: $389,7M arba 10 333 BTC apdorota nuo 2021, DOJ + Europol + 8 šalių bendradarbiavimas
• KelpDAO (balandis): $292M bridge exploit per LayerZero, 116 500 rsETH
• Drift Protocol (balandis): $285M Solana DeFi įsilaužimas
• Balandis 2026: $606M nuostolių per 18 dienų - blogiausias mėnuo nuo Bybit
• Šiaurės Korėja: 76% visų 2026 m. pavogtų kripto lėšų ($577M iš 2 atakų)

Įvykis 1: Zcash Orchard pool'o klastojimas

Pirmasis įvykis techniškai sudėtingiausias. 2026 m. gegužės 29 d. saugumo inžinierius Taylor Hornby viešai paskelbė kritišką pažeidžiamumą Zcash Orchard privatumo pool'e. Bug buvo paslėpta dviejose kodo eilutėse Orchard kriptografinėje grandinėje (cryptographic circuit), kuri reguliuoja Zcash shielded sandorius.

Pats atradimo procesas yra pažymėtinas - Hornby naudojo Anthropic Opus 4.8 AI modelį sistemingai analizuoti Orchard kodą. Po savaičių tyrimo AI padėjo nustatyti loginį trūkumą, kuris leido kenkėjui sukurti neribotą kiekį suklastotų ZEC monetų shielded pool'e be jokio on-chain signalo. Vietiniuose testuose Hornby parašė pilną exploit programą ir sėkmingai sugeneravo begalinį kiekį suklastotų ZEC.

Kodėl tai taip rimta

Zcash Orchard buvo aktyvuotas 2022 m. gegužę - tai reiškia, kad pažeidžiamumas tinkle buvo beveik ketverius metus. Blogiausia yra tai, kad Orchard privatumo savybės reiškia, kad kriptografiškai neįmanoma nustatyti, ar exploitas buvo panaudotas, ar ne. Jei kenkėjas naudojo bug'ą, jis galėjo paversti neribotą kiekį suklastotų ZEC kitomis monetomis, nepalikdamas įrodymų.

Reakcija ir pasekmės

• Birželio 2-3 d.: Avarinis hard fork ir Orchard funkcionalumas laikinai išjungtas
• Kaina: ZEC nukrito 38% (žemiausias taškas $442,60)
• Tolesnis auditas: Hornby patvirtino, kad kitą atliks Monero (XMR) auditą su ta pačia AI metodologija
• Kapitalo rotacija: Rinkos dalyviai sukinėjo tarp ZEC ir XMR priklausomai nuo naujienų

Šis įvykis tapo vienu iš pirmųjų realių atvejų, kai didelį kripto saugumo atradimą padarė žmogaus-AI tandemas. Tai atveria naują skyrių blockchain audite, bet taip pat parodo, kad net keturių metų senumo, plačiai naudojamas kodas gali turėti fundamentinių klaidų.

Įvykis 2: Humanity Protocol $36M vagystė

Antrasis įvykis yra klasikinis operatyvinio saugumo (OpSec) trūkumas, tiesiogiai paveikiantis paprastą vartotoją. 2026 m. birželio 8 d. Humanity Protocol - "Kinijos Worldcoin", planavęs biometrinę identiteto verifikaciją - paskelbė, kad užpuolikas pavogė daugiau nei 36 milijonus dolerių H tokenais.

Kaip įvyko ataka

Humanity įkūrėjas Terence Kwok post-mortem aprašė, kad komanda sukūrė multisig piniginę su keturiais žmonėmis, bet kažkas atsitiktinai padarė kelių raktų atsargines kopijas vieno konkretaus darbuotojo nešiojamajame kompiuteryje:

• Ethereum bridge: 3 iš 6 raktų viename įrenginyje
• BNB Chain bridge: 3 iš 5 raktų viename įrenginyje

Kadangi multisig slenkstis buvo 3 iš 6 (Eth) ir 3 iš 5 (BNB), užpuolikas, kompromituodamas vieną nešiojamąjį kompiuterį, gavo pilną abiejų tinklų token bridge kontrolę. Po to jis prijungė naują sutarties kodą ir pavogė arba sukūrė šimtus milijonų H tokenų.

Kiek pavogta

• USD vertė: $36M+
• H tokenai: ~447 milijonai $H (dalis pavogta, dalis neteisėtai sukurta)
• H tokeno kaina: -80%+ per 24 valandas

Pamoka: multisig viename įrenginyje = single point of failure

CoinDesk saugumo analitikai šį atvejį pavadino "vieno nešiojamojo kompiuterio multisig" - terminas, ženklinantis fundamentinį OpSec trūkumą. Visas multisig saugumo principas yra tas, kad raktai saugomi atskiruose įrenginiuose su atskirais operatoriais. Jei visi raktai gyvena viename kompromituotame kompiuteryje, multisig teikia tik kosmetinę apsaugą.

Šio įvykio pamoka taikoma visiems DeFi protokolų administratoriams, fintech komandoms ir instituciniams investuotojams: multisig raktai niekada neturi būti tame pačiame fiziniame įrenginyje, toje pačioje debesijos paskyroje ar dalintis ta pačia atkūrimo seed fraze.

Įvykis 3: AudiA6 mixer'io uždarymas

Trečiasis įvykis yra teisėsaugos pergalė. 2026 m. birželio 11 d. JAV Teisingumo departamentas (DOJ) paskelbė tarptautinę operaciją prieš AudiA6 - centralizuotą kripto maišymo paslaugą, kuri veikė nuo 2021 m. kibernusikaltėlių pinigų plovimui.

Kaltinamieji

• Ruslan Tkachuk (Ruslan Igorevich Tkachuk): 37 metų Gruzijos pilietis
• Aleksandr Ledenev (Aleksandr Vladimirovich Ledenev): 25 metų Gruzijos pilietis
• Suėmimas: 2026 m. birželio 10 d. Batumyje, Gruzijoje
• Galima bausmė: Iki 20 metų kalėjimo kiekvienam (jei nuteisti)
• Byla: Pensilvanijos Rytų apygardos (E.D. Pa.) prokuratūra

AudiA6 veiklos mastas

Pagal kaltinime nurodytą blockchain analizę:

• Bendras apdorotas tūris: ~10 333 BTC arba ~$389,7 milijonų nuo 2021 m.
• Tiesiogiai atsekta į nusikalstamus šaltinius: ~393 BTC ($19,2M) - darknet rinkos, ransomware grupės, kibernusikaltimų paslaugos
• Komisinis: Iki 5% už sandorį
• Marketingas: Darknet forumuose kaip "AML safe mixer"
• KuCoin paskyros: Pagal ZachXBT tyrimus, AudiA6 valdė šimtus paskyrų KuCoin biržoje
• Papildoma veikla: Tkachuk ir Ledenev taip pat valdė Dark2Web kibernusikaltimų forumą

Tarptautinis bendradarbiavimas

Operacijai vadovavo:

• JAV: Slaptoji tarnyba (Secret Service) ir IRS Kriminalinis tyrimas (IRS-CI)
• Europa: Europol ir Eurojust
• Bendradarbiaujančios šalys: Australija, Kanada, Prancūzija, Vokietija, Japonija, Šveicarija, Jungtinė Karalystė
• Konfiskuotas turtas: Serveriai ir domenai JAV, Islandijoje, Vokietijoje ir Prancūzijoje
• Blokuoti kanalai: Telegram paskyros, kripto turtas, tiek clearweb, tiek darknet platformos

Dalis konfiskuotų svetainių buvo pakeistos teisėsaugos pranešimais - vadinamasis "seizure banner", kuris signalizuoja kripto ekosistemai, kad paslauga dingo. Ši operacija seka panašiems neseniems uždarymams (Tornado Cash, Sinbad, ChipMixer), rodydama, kad centralizuoti mixer'iai nebegali būti laikomi saugiais įrankiais nusikalstamam pinigų plovimui.

H1 2026 platesnis paveikslas: balandis buvo blogiausias mėnuo nuo Bybit

Kad suprastume šiuos tris įvykius kontekste, reikia pažvelgti į visą 2026 m. pirmąjį pusmetį. Pagrindinės tendencijos:

Balandis 2026: $606M per 18 dienų

Balandis buvo blogiausias mėnuo kripto saugumo istorijoje nuo 2025 m. vasario Bybit įsilaužimo ($1,5 mlrd.). 12 didelių įvykių per 18 dienų, iš viso pavogta $606,2 milijonai:

• Balandžio 1 d. - Drift Protocol (Solana): $285M nuostolių dėl DeFi exploit
• Balandžio 18-19 d. - KelpDAO: $292M pavogta per LayerZero bridge pažeidžiamumą; užpuolikas išsiuntė suklastotą cross-chain pranešimą ir išleido ~116 500 rsETH

KelpDAO įvykis yra didžiausias 2026 m. DeFi įsilaužimas iki šiol ir atskleidžia fundamentinį pažeidžiamumą cross-chain bridge architektūroje. Pati LayerZero nėra kalta - problema yra tame, kaip KelpDAO validavo ateinančius pranešimus iš kitos grandinės. Tai klasikinis bridge pažeidžiamumas, kuris kartojasi nuo 2022 m. Ronin ir Wormhole įvykių.

Šiaurės Korėja: 76% visų pavogtų lėšų

Pagal TRM Labs ataskaitą, paskelbtą 2026 m. balandžio 30 d., Šiaurės Korėjos valstybės remiami įsilaužėliai (Lazarus Group ir susiję vienetai) yra atsakingi už 76% visų 2026 m. pavogtų kripto lėšų - $577M iš dviejų didelių atakų. Tai tęsia 2022-2024 m. tendenciją, kurioje Šiaurės Korėja tapo dominuojančia valstybės remiama įsilaužimo jėga kripto erdvėje, pajamoms finansuojant režimo ginklų programas.

H1 2026 bendri nuostoliai

Pagal įvairius vertinimus (Chainalysis, TRM Labs, PeckShield) H1 2026 bendri nuostoliai viršija $1 milijardą, padaro tai vienu iš blogiausių pusmečių industrijos istorijoje. Pagrindinės kategorijos:

1. Bridge ir cross-chain exploits: ~40% bendrų nuostolių
2. Privačių raktų kompromitavimas: ~25%
3. Smart contract logikos klaidos: ~20%
4. Socialinis manipuliavimas ir phishing: ~10%
5. Insider atakos: ~5%

Kodėl tai svarbu Baltijos ir Šiaurės šalių vartotojui

Dauguma Baltijos ir Šiaurės šalių kripto investuotojų naudoja MiCA licencijuotas biržas ir platformas (Coinbase, Kraken, Binance EU, Coinmotion / Bittiraha, LHV Pank, Safello). Šios paslaugos paprastai nėra tiesiogiai pavaldžios DeFi protokolų ar bridge pažeidžiamumams, todėl dauguma Baltijos vartotojų nebuvo tiesiogiai paveikti KelpDAO ar Humanity Protocol įsilaužimų.

Tačiau trys rizikos neturi būti ignoruojamos:

1. Zcash ir privatumo monetų laikymas

Nors dauguma MiCA biržų Baltijos šalyse neprekiauja privatumo monetomis (ZEC, XMR, DASH), kai kurie vartotojai jas laiko self-custody (aparatūros piniginės, savo node) arba ES neesančiose biržose. Zcash įvykis reiškia, kad bet kokio ZEC laikymo reali vertė yra neaiški - jei exploitas buvo panaudotas iki patch'o, koks nors kiekis suklastotų ZEC galėjo jau išeiti iš Orchard pool'o ir būti parduotas biržoje. Po patch'o rizika yra mažesnė, bet istorinis neapibrėžtumas lieka.

2. Multisig OpSec pamoka instituciniams vartotojams

Humanity Protocol įvykis liečia visus Baltijos fintech ir kripto verslus, kurie naudoja multisig pinigines. Praktiniai patarimai:

• Raktai atskiruose įrenginiuose: Kiekvienas multisig raktas turi būti atskirame fiziniame įrenginyje (aparatūros piniginė, atskiras cold storage įrenginys)
• Atskiri operatoriai: Kiekvienas raktas - kitas asmuo, kita darbo vieta, kita seed atsarginė kopija
• Reguliarūs auditai: Kartą per ketvirtį patikrinti, ar nėra atsitiktinai pasidaryta dubliavimo
• Air-gapped pasirašymas: Didelėms sumoms naudoti offline įrenginius, kurie niekada nebuvo prijungti prie interneto

3. AML compliance ir mixer naudojimas

AudiA6 uždarymas reiškia, kad teisėsauga Europoje ir JAV agresyviai eina paskui kripto mixer paslaugas ir jų vartotojus. Baltijos vartotojai, kurie kažkada naudojo mixer'ius (Tornado Cash, ChipMixer, AudiA6 ar kitus), ateityje turės padidintą AML riziką. Pagal MiCA režimą biržos privalo žymėti sandorius, ateinančius iš žinomų mixer adresų, o Travel Rule reikalavimai (galioja ES nuo 2024 m. gruodžio) daro tokių sandorių sekimą dar paprastesnį.

Praktinės rekomendacijos 2026 m. viduriui

Remiantis H1 2026 įvykiais, štai konkretūs žingsniai, kuriuos Baltijos/Šiaurės šalių kripto vartotojas gali atlikti:

Self-custody vartotojams

1. Aparatūros piniginė su passphrase: Ledger, Trezor arba Coldcard su 25-uoju žodžio passphrase (BIP-39 passphrase)
2. Atskiros seed atsarginės kopijos: Metalinė seed atsarginė kopija (Cryptosteel, SafePal Cypher) bent dviejose fizinėse vietose
3. Atnaujinimai: Visada atnaujinti firmware'į iškart po kritinio pranešimo (Zcash Orchard pavyzdys)
4. Privatumo monetos atsargiai: Prieš laikant ZEC, XMR ar kitas privatumo monetas, perskaityti neseniai paskelbtus auditus

Biržų vartotojams

1. MiCA licencijuotos biržos: Rinkitės platformas su MiCA CASP licencija - naujasis ES režimas nustato griežtus saugumo reikalavimus
2. 2FA su aparatūros raktu: YubiKey arba Titan Security Key, NE SMS 2FA
3. Proof of Reserves: Pirmenybę teikite biržoms, skelbiančioms PoR (Kraken, Bitvavo dalinai, Coinbase)
4. Niekada nedalinkitės telefonu: Kripto biržų sukčiavimo skambučiai tapo labai sofistikuoti - bankas ar birža niekada neklaus seed frazės ar slaptažodžio telefonu

Instituciniams ir fintech vartotojams

1. Multisig OpSec auditai: Kartą per ketvirtį įvertinti, ar multisig raktai yra atskiruose įrenginiuose
2. Cold storage politika: Bent 80% klientų lėšų cold storage, raktai skirtingose jurisdikcijose
3. Draudimo polisas: Apsvarstykite kripto draudimą iš Lloyd's, BitGo ar Coincover didelėms pozicijoms
4. Compliance integracija: Chainalysis, Elliptic ar TRM Labs API integracija realaus laiko AML patikrinimams

Mūsų vertinimas

H1 2026 buvo brutali saugumo egzaminacija kripto industrijai. Trys neseni įvykiai - Zcash Orchard, Humanity Protocol ir AudiA6 uždarymas - kiekvienas iliustruoja skirtingą rizikos tipą: gilus kriptografinis bug'as, operatyvinio saugumo trūkumas ir nusikalstama paslauga, pagaliau uždaryta.

Teigiamas signalas yra tas, kad teisėsaugos gebėjimai sparčiai auga. AudiA6 uždarymas ir 2025 m. Bybit įsilaužimo sekimo operacija (kurioje didžioji dalis Lazarus Group pavogtų lėšų buvo atsekta ir dalinai įšaldyta) rodo, kad kripto industrijos anonimiškumo mitas priklauso praeičiai.

Neigiamas signalas yra tas, kad net sofistikuoti protokolai su plačia audito istorija (Zcash) ir instituciniai multisig setup'ai (Humanity Protocol) gali turėti kritinių pažeidžiamumų. Tai reiškia, kad saugumas yra ne būsena, o procesas - reguliarūs auditai, AI pagalba analizėje, OpSec kultūra ir compliance integracija yra būtini kiekvienam rimtam industrijos dalyviui.

Baltijos ir Šiaurės šalių vartotojams MiCA licencijuotose biržose tiesioginė rizika yra ribota, bet ne nulis. Pagrindinis dalykas yra rinktis patikimas platformas, naudoti aparatūros pinigines self-custody scenarijams ir reguliariai sekti saugumo naujienas.

Susiję straipsniai

• Bittiraha / Coinmotion deep dive - Suomijos istorinės kripto paslaugos analizė
• LHV Pank MiCA crypto apžvalga - Estijos banko kripto paslaugų saugumo standartai
• Safello deep dive - Švedijos istorinio BTC tarpininko analizė
• Qivalis euro stablecoin konsorciumas - 37 Europos bankų iniciatyva
• GENIUS Act stablecoin analizė - JAV reguliavimo kontekstas

Šaltiniai

• CoinDesk: Zcash plummets 38% as Shielded Labs reveals a major bug
• BeInCrypto: An Opus 4.8 Audit Uncovered Zcash's Bug
• Zcash Community Forum: The Orchard Counterfeiting Vulnerability
• Decrypt: Humanity Protocol Loses $36M After Private Keys Compromised
• CoinDesk: Humanity's $36 million exploit happened because a multisig lived on one laptop
• AMBCrypto: DOJ says $389M crypto laundering network helped cybercriminals

---

AI atskleidimas: Rengiant šį straipsnį naudotas AI asistentas. Faktus ir rinkos duomenis patikrino NorriWire redaktorius prieš publikavimą.

Tai nėra finansinis patarimas. Kriptovaliutų vertė gali ženkliai svyruoti. Susipažinkite su rizika prieš investuodami.