Operation Atlantic: zamrożenie 12 mln dolarów ujawnia skalę oszustw kryptowalutowych - Security Bez Tabu

Operation Atlantic: zamrożenie 12 mln dolarów ujawnia skalę oszustw kryptowalutowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Międzynarodowa operacja organów ścigania wymierzona w oszustwa inwestycyjne i kryptowalutowe po raz kolejny pokazała, że przestępczość finansowa oparta na aktywach cyfrowych pozostaje jednym z najpoważniejszych zagrożeń dla użytkowników indywidualnych. W centrum sprawy znalazł się mechanizm określany jako approval phishing, czyli oszustwo nakłaniające ofiarę do nadania złośliwego uprawnienia portfelowi lub inteligentnemu kontraktowi, co umożliwia późniejsze przejęcie środków bez ponownej autoryzacji.

W skrócie

W ramach Operation Atlantic zamrożono ponad 12 mln dolarów i zidentyfikowano ponad 20 tys. ofiar. Śledczy powiązali sprawę z ponad 45 mln dolarów podejrzewanych strat na całym świecie. Działania były koordynowane przez brytyjską National Crime Agency przy współpracy partnerów z USA i Kanady.

Operacja koncentrowała się na identyfikacji osób, które utraciły środki lub były narażone na ich utratę w wyniku approval phishingu oraz powiązanych oszustw inwestycyjnych. Według najnowszych danych FBI oszustwa związane z kryptowalutami odpowiadają już za ponad 11,3 mld dolarów zgłoszonych strat, z czego około 7,2 mld dolarów dotyczy samych oszustw inwestycyjnych.

Kontekst / historia

Oszustwa kryptowalutowe od kilku lat przechodzą wyraźną ewolucję. Początkowo dominowały proste schematy podszywania się pod giełdy, fałszywe airdropy i klasyczne kampanie phishingowe. Z czasem przestępcy zaczęli wykorzystywać cechy charakterystyczne ekosystemu Web3: nieodwracalność transakcji, pseudonimowość adresów, łatwość tworzenia złośliwych aplikacji zdecentralizowanych oraz złożony model uprawnień tokenów.

Approval phishing stał się szczególnie skuteczny, ponieważ nie wymaga od napastnika przełamania zabezpieczeń portfela w tradycyjnym rozumieniu. Zamiast tego ofiara sama autoryzuje dostęp do zasobów, najczęściej pod wpływem fałszywej narracji inwestycyjnej, presji czasu albo podszycia się pod legalny projekt. W rezultacie granica między błędem użytkownika a technicznym przejęciem aktywów staje się trudna do wychwycenia, co utrudnia zarówno wykrywanie, jak i odzyskiwanie środków.

Analiza techniczna

Techniczny rdzeń approval phishingu opiera się na mechanizmach zatwierdzania uprawnień w standardach tokenów oraz na interakcjach z inteligentnymi kontraktami. Ofiara jest kierowana do strony, aplikacji lub interfejsu, który wygląda wiarygodnie i prosi o podpisanie operacji. W praktyce nie chodzi o zwykłe zalogowanie, lecz o autoryzację pozwalającą zewnętrznemu podmiotowi na dysponowanie określonymi aktywami z poziomu portfela.

W typowym scenariuszu użytkownik:

  • klika odsyłacz promujący inwestycję, odzyskanie środków, staking lub nagrodę,
  • podłącza portfel do fałszywej aplikacji,
  • podpisuje żądanie nadania uprawnień,
  • pozostawia aktywne zezwolenie umożliwiające transfer tokenów,
  • traci środki, gdy przestępcy uruchamiają mechanizm drenujący portfel.

Kluczowe jest to, że część takich operacji nie wymaga ujawnienia frazy seed ani prywatnego klucza. Z perspektywy użytkownika interakcja może wyglądać jak standardowa czynność biznesowa lub inwestycyjna. Z perspektywy bezpieczeństwa dochodzi jednak do ustanowienia trwałego zaufania wobec złośliwego kontraktu albo operatora kontrolującego adres odbiorczy.

Znaczenie Operation Atlantic polega nie tylko na zamrożeniu środków, ale również na skoordynowanym śledzeniu przepływów on-chain i korelowaniu ich z danymi operacyjnymi, zgłoszeniami ofiar oraz analizą podmiotów infrastrukturalnych. W tego typu sprawach skuteczność zależy od bardzo szybkiej identyfikacji adresów, współpracy z dostawcami usług blockchain intelligence oraz możliwości przerwania łańcucha transferów zanim środki zostaną rozproszone przez kolejne portfele, mosty międzyłańcuchowe lub usługi utrudniające śledzenie.

Konsekwencje / ryzyko

Skala incydentu potwierdza, że oszustwa inwestycyjne oparte na kryptowalutach mają dziś charakter masowy, transgraniczny i wysoce zautomatyzowany. Ryzyko obejmuje nie tylko straty finansowe użytkowników indywidualnych, ale również:

  • obciążenie zespołów reagowania i działów fraud detection,
  • utratę zaufania do platform wymiany aktywów cyfrowych,
  • wzrost kosztów zgodności i monitoringu transakcji,
  • zwiększoną presję regulacyjną na operatorów rynku,
  • możliwość wtórnego wykorzystania danych ofiar w kolejnych kampaniach socjotechnicznych.

Dodatkowym problemem jest trudność w odzyskaniu środków. Nawet jeśli część aktywów zostanie zamrożona, przestępcy często rozpraszają fundusze na wiele adresów i łączą je z innymi strumieniami transakcyjnymi. W praktyce skraca to okno czasowe na skuteczną reakcję do godzin, a niekiedy minut. Dla organizacji finansowych i podmiotów obsługujących kryptowaluty oznacza to konieczność prowadzenia monitoringu niemal w czasie rzeczywistym.

Rekomendacje

Użytkownicy indywidualni powinni każdorazowo weryfikować, jakie uprawnienia nadają portfelowi lub kontraktowi i unikać podpisywania operacji, których znaczenia nie rozumieją. Szczególnie ważne jest regularne przeglądanie aktywnych zezwoleń oraz ich cofanie, jeśli nie są już potrzebne.

Dla giełd, operatorów portfeli i dostawców usług Web3 rekomendowane są następujące działania:

  • wdrożenie ostrzeżeń kontekstowych przed nadaniem szerokich uprawnień tokenowych,
  • automatyczne wykrywanie znanych adresów drainerów i infrastruktur oszustw,
  • korelacja danych on-chain z modelami ryzyka i sygnałami oszustw inwestycyjnych,
  • integracja kanałów szybkiego zgłaszania i eskalacji incydentów,
  • rozwijanie playbooków do natychmiastowego zamrażania środków oraz współpracy międzynarodowej,
  • edukacja klientów w zakresie podpisywania transakcji i znaczenia zezwoleń smart contract.

Z perspektywy SOC i zespołów cyber fraud warto traktować approval phishing jako połączenie zagrożenia technicznego i socjotechnicznego. Skuteczna obrona nie może ograniczać się wyłącznie do analizy malware lub reputacji domen. Potrzebne są także mechanizmy wykrywania nietypowych wzorców autoryzacji, zmian behawioralnych użytkowników oraz nagłych transferów do adresów wysokiego ryzyka.

Podsumowanie

Operation Atlantic pokazuje, że walka z oszustwami kryptowalutowymi wymaga jednoczesnego zaangażowania organów ścigania, sektora prywatnego i dostawców analityki blockchain. Zamrożenie ponad 12 mln dolarów i identyfikacja ponad 20 tys. potencjalnych ofiar to ważny sukces operacyjny, ale jednocześnie sygnał ostrzegawczy dla całego rynku.

Approval phishing pozostaje jednym z najgroźniejszych modeli ataku na użytkowników aktywów cyfrowych, ponieważ wykorzystuje legalne mechanizmy autoryzacji do nielegalnego przejęcia środków. W praktyce najskuteczniejszą obroną pozostają szybkie wykrywanie, ograniczanie nadmiernych uprawnień i stała edukacja użytkowników.

Źródła

  1. Help Net Security — https://www.helpnetsecurity.com/2026/04/13/crypto-scam-crackdown-12-million-frozen/
  2. National Crime Agency: Fraudsters targeting cryptocurrency stopped and $12 million frozen in NCA-led Operation Atlantic — https://www.nationalcrimeagency.gov.uk/news/fraudsters-targeting-cryptocurrency-stopped-and-12-million-frozen-in-nca-led-operation-atlantic
  3. FBI: Cryptocurrency and AI Scams Bilk Americans of Billions — https://www.fbi.gov/news/press-releases/cryptocurrency-and-ai-scams-bilk-americans-of-billions
  4. BCSC InvestRight: Approval Phishing — https://www.investright.org/avoid-fraud/types-of-investment-scams/approval-phishing/