Анализ взлома Nova Trading: как удобство стало уязвимостью

Криптопользователи часто считают скорость и удобство главными характеристиками инструментов для работы с активами, забывая о безопасности. Эта беспечность может обернуться потерями в сотни тысяч долларов. 16 сентября 2025 года трейдер за несколько часов потерял более $576,000 из-за централизованного хранения приватных ключей и слабой системы защиты Nova Trading Platform, бота на базе Solana.

В этой статье мы разберём, что произошло, какие ошибки стали критическими, и какие уроки могут извлечь трейдеры и компании, чтобы защитить свои криптоактивы от подобных рисков.

Коротко о главном

1. Nova Trading Platform — это Telegram-бот для торговли на Solana, который выполняет сделки от имени пользователей, поддерживает автоматизацию, копитрейдинг и работу с несколькими подключёнными кошельками одновременно.
2. Приватные ключи пользователей централизовано хранятся на серверах Nova, что создаёт единую точку отказа: любая утечка или взлом сервера мгновенно ставит под угрозу все подключённые кошельки.
3. В ночь на 16 сентября 2025 года с кошелька трейдера похитили криптовалюту на сумму ~$576,000. Пострадавший публично задокументировал инцидент в X, указав, что средства были списаны через серию крупных транзакций за короткое время.
4. $200,000 из кошелька остались нетронутыми, что свидетельствует о целенаправленной атаке, а не случайном ограблении, с частичной фокусировкой на определённые активы.
5. Похищенные средства были пропущены через легальные DeFi-протоколы, включая агрегаторы токенов и пулы ликвидности, что существенно усложнило их отслеживание и попытки вернуть.
6. Инцидент выявил структурный риск платформы: удобство использования через Telegram-бота и автоматизация сделок достигнуты за счёт базовой безопасности.
7. Практические рекомендации по безопасности для трейдеров и команд.

Что такое Nova Trading Platform

Так называется торговый бот на базе Solana, который полностью функционирует через Telegram. Он предоставляет пользователям быстрый и удобный доступ к криптовалютной торговле за счет следующих характеристик и инструментов:

• Поддержка до 10 одновременно подключённых кошельков.
• Модули автоматизации (Ultra V2 и Demon) на базе блок-движка Jito для высокоскоростных транзакций и защиты от MEV.
• Копитрейдинг в реальном времени, повторение стратегий «китов».
• Встроенное управление рисками с автоматическими настройками take-profit и stop-loss.
• Структура комиссий: 1% за сделку + газ.
• Реферальная программа: до 30% от комиссий прямых рефералов.
• Nova Click (расширение для Chrome): добавляет кнопки торговли прямо на DEX-платформах, таких как BullX и Photon.

На практике Nova выступает посредником, проводя транзакции от имени пользователей через Telegram, что делает управление сделками максимально простым, но при этом создаёт риски для безопасности средств.

Факты об инциденте

Пострадавший трейдер с ником Cupseyy (@Cupseyy) публично задокументировал инцидент на X. На момент взлома его кошелёк был подключён только к четырём платформам:

• Jupiter (DEX на Solana).
• Axiom (торговая платформа).
• Photon (торговый бот).
• Nova (торговый бот).

Трейдер исключает возможность атаки через браузер, так как просто не использовал расширения. По его мнению, это был ручной «слив» — сознательные действия человека, а не скрипты. На это указывают нетронутые $200,000, которые преступник оставил в кошельке.

Атака началась 16 сентября 2025 в 11:21 UTC. Средства выводили крупными транзакциями в узком временном окне и распределяли по нескольким адресам. Вот как выглядят детализированный ущерб пользователя с разбивкой по блокчейнам и транзакциям.

Общие подтверждённые потери (консервативно): $576,000+. Украденные активы были пропущены через легальные DeFi-протоколы, что усложнило отслеживание и возврат средств:

• Jupiter Aggregator для обмена токенов.
• Jupiter Labs Perpetuals для деривативных сделок.
• Phoenix liquidity pools для дополнительного запутывания.

Взлом — следствие структурной проблемы

Инцидент с кражей средств стал возможен из-за самой архитектуры платформы. Её разработчики поставили удобство и скорость выше базовой безопасности.

Централизованное хранение приватных ключей

Для автоматизации торговли Nova хранит приватные ключи пользователей на своих серверах. Это создаёт единую точку отказа: взлом сервера или инсайдерская атака мгновенно ставит под угрозу все подключённые кошельки.

Расширенная поверхность атаки через интеграции

Экосистема Nova включает Nova Click (Chrome) и интеграции с другими инструментами, такими как Axiom Pro, которые требуют синхронизации приватных ключей между сервисами, что значительно увеличивает риск.

Атаке предшествовали жалобы

В течение сентября 2025 года несколько пользователей сообщали о проблемах с безопасностью Nova. Некоторые даже предполагали участие недобросовестного разработчика, хотя доказательств и публичного подтверждения нет. В совокупности эти жалобы указывают на системный дефект, который мог затронуть десятки пользователей, доверивших свои приватные ключи платформе.

Разбор модели рисков: когда удобство UX противоречит базовой безопасности

Telegram-боты быстры, просты и привлекательны для трейдеров, но большинство из них жертвуют фундаментальными принципами владения ради удобства:

• Приватные ключи хранятся в облаке.
• Подписание транзакций зависит от централизованных API.
• Исходный код и инфраструктура закрыты и непрозрачны.

Это значит, что даже небольшая ошибка конфигурации или утечка может мгновенно лишить пользователя его активов. Принцип отрасли: «Не твои ключи — не твои монеты» — это не клише, а основа криптобезопасности. Как только третья сторона начинает контролировать ваши ключи, вы перестаёте контролировать свои средства.

Практические рекомендации для трейдеров и команд

Если вы пользуетесь Telegram-ботами для торговли, эти правила безопасности обязательны:

• Никогда не храните существенные суммы в кошельках бота, только рабочий баланс, необходимый для торговли.
• Регулярно выводите прибыль на холодные кошельки, которыми вы полностью владеете.
• Проверяйте, какие средства защиты активов пользователей использует платформа, перед депозитом.
• Изучайте предыдущие инциденты и отчёты пользователей, игнорируйте маркетинг, опирайтесь на доказательства.
• Отдавайте предпочтение децентрализованным биржам, где вы храните ключи. Если используете посредников, держите у них только минимальные рабочие суммы.
• Аудируйте права доступа и интеграции всех подключённых приложений. Настройте уведомления о необычной активности или несанкционированном доступе.

Заключение

История Nova Trading демонстрирует, что даже самые продвинутые инструменты теряют смысл, если игнорируются базовые правила безопасности. Контроль над приватными ключами остаётся единственным надёжным способом сохранить активы.

Если платформа просит ваш приватный ключ, она просит ваши средства. В DeFi это компромисс, на который ни один серьёзный трейдер или бизнес не должен соглашаться. Никто, кроме вас, не должен иметь доступ к вашим приватным ключам. Свяжитесь с нашей командой, чтобы узнать, какие технологии обеспечивают безопасность активов клиентов BitHide.