Арест правительственного подрядчика США Джона Дагиты (известного под псевдонимом Lick), обвиняемого в хищении более 46 млн долларов в криптовалюте у Службы маршалов США, стал показательным примером того, насколько опасной может быть инсайдерская угроза при управлении цифровыми активами. Операцию по задержанию провели ФБР совместно с французским спецподразделением жандармерии GIGN.
Арест Джона Дагиты и его связь с подрядчиком Службы маршалов США
По данным правоохранительных органов, задержание Джона Дагиты состоялось на этой неделе. Как сообщил директор ФБР Каш Патель (Kash Patel), в ходе обыска были изъяты крупные суммы наличных в купюрах по 100 долларов, несколько жестких дисков и аппаратные криптокошельки (hardware‑wallets), которые могли использоваться для хранения и перемещения цифровых активов.
Джон Дагита является сыном Дина Дагиты (Dean Daghita), президента и генерального директора компании Command Services & Support (CMDSS), базирующейся в Вирджинии. С октября 2024 года CMDSS выступала подрядчиком Службы маршалов США, предоставляя услуги по управлению и хранению конфискованных цифровых активов. В этот портфель, по имеющейся информации, входили в том числе криптовалюты, изъятые в связи со взломом криптобиржи Bitfinex в 2016 году, когда злоумышленники похитили почти 120 000 BTC — один из крупнейших инцидентов в истории криптоиндустрии.
Подрядчики, работающие с такими активами, получают доступ к инфраструктуре хранения, включая ключи от кошельков или системы, управляющие этими ключами. В подобных схемах критически важно правильно выстроить разграничение прав доступа и независимый аудит, иначе любой инсайдер с расширенными привилегиями может незаметно перенаправить средства.
Как блокчейн‑аналитика раскрыла предполагаемую схему хищения
Связь Дагиты с исчезновением средств первой публично описал известный блокчейн‑исследователь ZachXBT. В конце января он опубликовал детальный анализ движения средств, где отследил перевод порядка 23 млн долларов из криптокошельков, связанных со Службой маршалов США, на адреса, которые, по его выводам, контролировал Джон Дагита.
Ключевым элементом стала возможность прозрачного анализа транзакций в публичных блокчейнах. Каждое перемещение средств фиксируется в распределённом реестре, и при достаточной квалификации можно сопоставить адреса кошельков, временные метки и поведение участников, а затем связать их с реальными лицами или организациями.
По данным ZachXBT, Дагита фактически сам себя деанонимизировал во время конфликта с другим злоумышленником, известным как Dritan Kapplani Jr., в закрытом чате Telegram. Запись этой переписки позже стала важным элементом анализа. В ходе общения Дагита демонстрировал возможность в режиме реального времени перемещать крупные суммы между двумя криптокошельками. Дальнейший анализ блокчейна показал, что эти адреса связаны с государственными конфискованными активами, в том числе средствами, ассоциированными со взломом Bitfinex.
Dust-атака как инструмент давления и психологического воздействия
После того как ZachXBT передал свои находки властям, Дагита, по сообщениям исследователя, неоднократно провоцировал его в Telegram и отправлял небольшие суммы на его публичный криптокошелек. Такая тактика известна как dust-атака: на адрес жертвы пересылаются крошечные суммы криптовалюты (dust), которые могут использоваться для отслеживания транзакций, попыток деанонимизации или просто в качестве психологического давления.
Сам ZachXBT после ареста написал: «В конце января 2026 года я раскрыл, как Джон украл более 46 млн долларов в конфискованных криптоактивах у правительства США, злоупотребив доступом к ресурсам CMDSS — компании его отца, у которой был контракт со Службой маршалов. Затем Джон несколько раз дразнил меня через свой Telegram-канал и проводил dust-атаки на мой публичный кошелек, используя украденные средства. Ну и кто смеется теперь, Джон?».
Инсайдерская угроза при управлении конфискованными криптоактивами
Ситуация вокруг Дагиты наглядно демонстрирует типичную для кибербезопасности проблему инсайдерской угрозы — когда злоумышленник уже находится «внутри периметра» и обладает легитимным доступом к системам и данным. По данным отраслевых отчётов, в том числе Verizon Data Breach Investigations Report, заметная доля инцидентов связана именно с инсайдерами: сотрудниками и подрядчиками, злоупотребляющими своими привилегиями.
В случае с государственными структурами и крупными финансовыми организациями риск усугубляется тем, что речь идет о крупных объёмах цифровых активов, а также об управлении конфискованными средствами, находящимися под контролем нескольких ведомств и внешних поставщиков услуг. Любой сбой в процессах контроля доступа, мониторинга транзакций или аудита может привести к незаметному выводу десятков миллионов долларов.
Ключевые уроки для организаций, работающих с криптовалютой
Инцидент с предполагаемой кражей более 46 млн долларов в криптовалюте содержит ряд важных практических выводов для компаний и госструктур, управляющих цифровыми активами:
1. Принцип наименьших привилегий и разделение обязанностей. Доступ к приватным ключам, системам хранения и интерфейсам управления активами должен быть строго ограничен и разделен между несколькими лицами (механизм «четырёх глаз»). Один человек не должен обладать возможностью единолично переводить значительные суммы.
2. Использование многофакторных механизмов управления ключами. Применение мультиподписей (multi‑sig), аппаратных модулей безопасности (HSM) и распределённого управления ключами снижает риск того, что компрометация одного инсайдера приведёт к полной потере контроля над активами.
3. Постоянный on‑chain‑мониторинг и независимый аудит. Автоматизированные системы мониторинга блокчейна способны обнаруживать аномальные транзакции в режиме близком к реальному времени. Регулярные независимые аудиты адресов и операций, связанных с конфискованными активами, помогают выявлять несоответствия до того, как ущерб станет критическим.
4. Жёсткий контроль подрядчиков и их сотрудников. Внешние поставщики услуг — такие как CMDSS в данном случае — должны проходить не только технический, но и организационный аудит: проверку процессов безопасности, фоновых проверок персонала, систем логирования и расследования инцидентов.
5. Документированные сценарии реагирования на инциденты. Наличие чётких процедур позволяет быстро заморозить подозрительные адреса, уведомить биржи и стейблинговые платформы, а также взаимодействовать с правоохранительными органами и аналитическими компаниями.
История с арестом Джона Дагиты показывает, что даже государственные структуры с формально высоким уровнем защиты уязвимы перед хорошо осведомлёнными инсайдерами. Для всех организаций, работающих с криптовалютой и другими цифровыми активами, это дополнительный сигнал пересмотреть свои процессы управления доступом, архитектуру хранения ключей и стратегии мониторинга транзакций. Чем прозрачнее и безопаснее будут выстроены эти механизмы, тем меньше шансов, что следующий крупный инцидент с хищением конфискованных активов окажется возможен.
