У першій половині 2025 року втрати криптоіндустрії сягнули рекордних $3,1 млрд, суттєво перевищивши показники за весь 2024 рік. Основними чинниками стали масштабні вразливості в управлінні доступом, компрометації приватних ключів, недоліки смартконтрактів і активізація фішингових атак.
Про це розповідає Бізнес • Медіа
Значні втрати через уразливості контролю доступу
Найбільшу частку втрат, а саме 59% або $1,83 млрд, спричинили атаки, пов’язані з управлінням правами доступу. До таких інцидентів призвели неправильний розподіл ролей, помилки в логіці доступу та використання незахищених інтерфейсів для мультипідписів. Найбільшим епізодом став злам біржі Bybit із рекордними збитками у $1,46 млрд — це найбільший інцидент за всю історію криптоіндустрії.
Подібні вразливості було виявлено і в менших проєктах. Так, атака на платіжну платформу UPCX призвела до втрати $70 млн, а на KiloEx — $7,5 млн. Попри те, що у II кварталі обсяг збитків зменшився до $190,5 млн порівняно з $1,6 млрд у I кварталі, загроза залишається актуальною, оскільки хакери продовжують шукати повні ключі доступу та ролі без обмежень.
«Експлойти контролю доступу виникають через слабкі операційні практики безпеки, які використовують більшість криптокомпаній, як CeFi, так і DeFi. Гарячі гаманці централізованих бірж спустошуються в основному через витоки приватних ключів і “supply chain” атак. Децентралізовані проєкти, зі свого боку, зазнають значних втрат через компрометацію девайсів, які зберігають seed-фразу, приватний ключ або використовуються для підписання транзакцій», — заявив керівник відділу цифрової криміналістики та реагування на інциденти Hacken Єгор Рудиця.
Серед поширених векторів атак експерти виокремлюють небезпечні репозиторії на Bitbucket, фейкові розширення для браузерів і фішингові посилання через такі сервіси як Calendly. Для мінімізації ризиків фахівці рекомендують використовувати холодні гаманці, мультипідписи та таймлоки, здійснювати доступ до приватних ключів лише зі спеціалізованих пристроїв і впроваджувати моніторинг аномальної активності в реальному часі.
Загрози для DeFi та нові методи фішингу
Вразливості смартконтрактів стали ще одним масштабним джерелом проблем для криптоіндустрії: за півріччя втрати у цій категорії склали $263 млн. Найбільший інцидент стався з протоколом Cetus, де за 15 хвилин було викрадено $223 млн. Окрім цього, у 2025 році зафіксовано першу атаку на hook-механіку Uniswap V4, що призвело до втрати $12 млн Cork Protocol.
Аналітики наголошують: DeFi-сектор пережив найгірший квартал з 2023 року. Для протидії загрозам необхідно не лише забезпечити безпечний код, але й активно моніторити підозрілу поведінку контрактів, особливо під час додавання нових функцій.
Соціальна інженерія: фішинг і шахрайство через дзвінки
Соціальна інженерія залишається однією з головних загроз для Web3 — лише за перше півріччя 2025 року вона принесла індустрії втрат на $600 млн. Зловмисники все частіше використовують фішингові схеми, фейкові дзвінки та підроблені інтерфейси для викрадення активів користувачів.
Найбільший індивідуальний випадок — крадіжка $330 млн у біткоїнах у літнього інвестора зі США, якого обманом змусили переказати кошти. Ще $100 млн користувачі втратили через підроблені дзвінки, що імітували співробітників Coinbase. Причиною стала компрометація користувацьких даних, що дозволило шахраям здійснювати персоналізовані атаки.
Окрім цього, поширеність шкідливих dApps, фейкових розширень браузера (особливо для Chrome) і підроблених репозиторіїв на GitHub створює додаткові ризики для користувачів і розробників. Особливо небезпечними виявилися атаки на віддалених працівників, зокрема через фальшиві співбесіди та спеціальні скрипти, що дозволяють хакерам отримати контроль над пристроями за лічені секунди.
За даними Hacken, у більшості випадків користувачі самостійно надають зловмисникам доступ до seed-фрази чи переказують кошти на підконтрольні адреси. Водночас, частина атак організовується під контролем Північної Кореї та спрямована на українських фрілансерів і розробників у Web3-екосистемі.
Практики безпеки: як мінімізувати ризики
Експерти рекомендують біржам впроваджувати затримки на виведення коштів після зміни паролів або двофакторної аутентифікації, виявляти підозрілу активність (логіни з нових пристроїв, VPN тощо) й використовувати холодне зберігання активів.
Для користувачів ключовими заходами залишаються обережність із підозрілими листами, відмови від переходу за посиланнями зі сторонніх месенджерів, використання холодних гаманців і застосування застосунків-аутентифікаторів для 2FA замість SMS.
«2025 рік чітко показав, що головною вразливістю Web3 стає не код, а люди. Соціальна інженерія та фішинг призвели до рекордних втрат — понад $600 млн тільки за II квартал. Більшість атак успішні через банальну довіру: шкідливі посилання, фальшиві вакансії, підписання небезпечних транзакцій. Особливо загрожує нова хвиля атак розробникам», — заявила співзасновниця Hacken Євгенія Брошеван.
Фахівці підкреслюють, що безпека починається з дотримання базових принципів «цифрової гігієни»: перевірки транзакцій, обережного поводження із кодом і використання холодних гаманців. Захист користувачів — це спільна відповідальність учасників ринку.