Взломы Web3 произошли в $4B в 2025 году: чему должны научиться NFT, DeFi и криптовалюты | Новости NFT сегодня

Хакерские атаки в Web3 в 2025 году достигли неприятной отметки. Почти $4 миллиард был потерян в криптовалютах, NFT и DeFi из-за ошибок безопасности, мошенничеств и человеческих ошибок. Эта цифра взята из ежегодного отчета по безопасности за 2025 год, опубликованного Hacken, и рисует картину, которую индустрия не может игнорировать.

Это был не год, определяемый скрытыми багами в экспериментальном коде. Большая часть ущерба пришлась на слабые системы контроля доступа, украденные учетные данные и социальную инженерию. Другими словами, те же проблемы, о которых предупреждали команды безопасности годами — теперь разворачиваются в гораздо большем масштабе.

Если вы держите NFT, торгуете на централизованных биржах или создаете в Web3, уроки 2025 года важнее, чем когда-либо.

$4 Миллиардный Реальный Вызов для Web3

Отчет Hacken оценивает общие потери за 2025 год в $4 миллиард. Эта цифра включает взломы бирж, фишинговые схемы, компрометацию кошельков, rug pull и уязвимости протоколов.

Другие компании, такие как CertiK и Chainalysis, оценили меньшие суммы — от $2.5 млрд до $3.2 млрд — в зависимости от моделей атрибуции. Однако все основные источники сходятся во мнении, что 2025 год отметился ростом масштабов и сложности атак.

Что выделяется — это не только размер потерь. А именно откуда они пришли.

Ранее циклы криптовалют были доминированы ошибками в смарт-контрактах. В 2025 году баланс сместился. Операционные сбои и социальные атаки нанесли больше вреда, чем сломанный код. По мере притока капитала в Web3, злоумышленники следовали за деньгами — и сосредоточились на самых легких путях.

Для пользователей NFT эта смена полностью меняет профиль риска. Идеальный контракт не поможет, если злоумышленники используют уязвимости в одобрении кошелька или запросах подписи.

Как развивался год

Q1 Всё изменил

Год начался плохо. К концу первого квартала было уже потеряно более $2 миллиардов. Это сделало Q1 худшим кварталом по безопасности Web3 за всю историю.

Главным драйвером стала утечка на Bybit. Злоумышленники не использовали уязвимость смарт-контракта. Они взломали цепочку поставок и вмешались во фронтенд-инфраструктуру. Это напоминание, что безопасность блокчейна не ограничивается самой цепочкой.

После этого инцидента предположения о безопасности быстро изменились.

Темп замедлился, но угроза не исчезла

Потери снизились в течение оставшейся части года. К Q4 общий ущерб за квартал составил около $350 миллиона. Этот спад отражает повышенную осведомленность и более быстрые реакции.

Тем не менее, ранний ущерб уже нельзя было исправить. Злоумышленники адаптировали свою стратегию, а не отступили. Меньше атак, но больший эффект.

Где были потеряны деньги

Контроль доступа — крупнейшая причина

Более половины всех потерь в 2025 году произошли из-за проблем с контролем доступа. Компрометация приватных ключей. Неправильная настройка мультиподписных кошельков. Использование или утечка внутренних учетных данных.

Для этого не требовались передовые эксплойты. В большинстве случаев злоумышленники просто получили доступ, которого не должны были иметь.

Данные Hacken показывают, что $2.12 миллиарда — или 53% всех потерь — произошли из-за ошибок контроля доступа, что делает их основной причиной краж криптовалюты в 2025 году.

Один важный вывод: мультиподписные кошельки оказались уязвимы, когда подписанты использовали обычные устройства. Уязвимость UXLINK позволила компрометировать подписантов, создавать триллионы токенов, выводить активы и сбрасывать их на рынок.

Это неприятно признавать, но также полезно. Эти проблемы команды могут исправить с помощью лучших процессов.

Фишинг стал сложнее обнаружить

Фишинг и социальная инженерия составили почти $1 миллиард потерь. Отравление кошельков, фальшивые сообщения поддержки и мошеннические impersonation-атаки постоянно эволюционировали.

Искусственный интеллект сделал эти атаки более убедительными. Фальшивые собеседования, deepfake-видео-звонки, сообщения, выглядящие как настоящие от проекта.

Один пользователь потерял $50 миллион в одной транзакции из-за отравления адреса — приняв кошелек мошенника за знакомый. Другой потерял $330 миллион в биткоинах после долгой социальной инженерной атаки.

Трейдеры NFT часто становились целями, особенно активные в Discord и Telegram.

Уязвимости смарт-контрактов не исчезли

Ошибки в контрактах всё ещё причиняли ущерб, в сумме около $512 миллиона потерь. Большая часть этого пришлась на протоколы DeFi, особенно проекты на Ethereum.

Известные уязвимости включали: Balancer v2 ($128M через ошибку округления), GMX v1 ($42M через баг reentrancy), и Yearn yETH ($9M через бесконечное создание токенов).

Аудиты помогли снизить частоту, но крайние случаи и интеграции продолжали создавать риски. Безопасность кода улучшилась. Но этого было недостаточно само по себе.

Биржи против DeFi: разные слабые места

Централизованные платформы понесли самые большие потери

Централизованные биржи составили более половины всех потерь. Самый заметный случай — Bybit, где злоумышленники использовали уязвимость фронтенда, а не логики блокчейна.

Хранение активов концентрирует риск. Внутренние инструменты, сторонние поставщики и доступ сотрудников расширяют поверхность атаки. Когда что-то идет не так, цифры растут быстро.

Инфраструктура DeFi и NFT осталась уязвимой

Уязвимости DeFi превысили $500 миллион в десятках инцидентов. Утечки ликвидности, сбои мостов и математические ошибки снова и снова появлялись.

Ethereum был наиболее целевой цепочкой, в основном потому, что там сосредоточено много активности. Платформы NFT часто делили кошельки, разрешения или бэкенд-сервисы с протоколами DeFi, что позволяло рискам распространяться.

Роль Северной Кореи резко выросла

Одним из наиболее очевидных паттернов 2025 года стала деятельность групп, связанных с государством. Группы, связанные с Северной Кореей, отвечали за около 52% всех потерь, украли более $2 миллиарда за год.

Фактически, 9 из 10 атак на контроль доступа были связаны с группами DPRK, использовавшими тактики, такие как фальшивые профили рекрутеров, вредоносные репозитории на GitHub и deepfake-интервью.

Расследователи связали большую часть этой деятельности с группами Lazarus и TraderTraitor. Их стратегия фокусировалась на фишинге, impersonation и внутреннем доступе, а не на технических уязвимостях.

По сравнению с 2024 годом, украденная ценность этими группами выросла более чем на 50%. Масштаб и координация выделялись.

Почему владельцы NFT почувствовали влияние

NFT не принесли самых больших сумм, но коллекционеры стали мишенями. Фальшивые ссылки на создание, вредоносные одобрения, компрометированные аккаунты Discord, выдающие себя за админов проекта.

Как только кошелек скомпрометирован, NFT мгновенно перемещаются. Обратного возврата нет. Разрешения на маркетплейсах часто остаются активными долго после того, как пользователи о них забыли.

Для безопасности NFT важны привычки использования кошелька так же, как и меры платформы.

ИИ изменил уравнение безопасности

ИИ сыграл обе стороны в 2025 году.

Злоумышленники использовали автоматизацию, deepfake-медиа и адаптивные сообщения для масштабирования мошенничеств быстрее, чем раньше. Защитники отвечали улучшенным мониторингом, обнаружением аномалий и более быстрым реагированием на инциденты.

Платформы баг-баунти, такие как Immunefi, помогали выявлять проблемы на ранних стадиях, показывая, что стимулы всё ещё важны.

Разрыв между оффенсом и защитой не сократился. Он переместился.

Регулирование начало догонять

Требования к безопасности ужесточились во многих юрисдикциях.

В США все чаще требуют проведения пенетрационных тестов и управления ключами с помощью аппаратных средств. В Европе в рамках MiCA подчеркивается разделение хранения и независимые аудиты.

Эти правила не устранят утечки. Но они повышают базовый уровень и усложняют оправдание обходных путей.

Что действительно помогает в будущем

Для пользователей:
Аппаратные кошельки уменьшают риск. Специальные устройства — еще больше. Адресные книги и предварительный просмотр транзакций помогают избегать ошибок.

Для команд NFT и Web3:
Один аудит недостаточен. Многоуровневые проверки выявляют больше проблем. Мультиподписи и MPC-системы снижают точки отказа. Мониторинг должен продолжаться после запуска.

Для индустрии:
Четкие стандарты укрепляют доверие. Зрелость безопасности сейчас влияет на принятие и приток капитала.

Дорогой год, но ясный сигнал

Потеря $4 миллиарда из-за хаков Web3 в 2025 году отражает рост под давлением. Злоумышленники усовершенствовали свои тактики. Защитники учились публично. Прозрачность выявляла слабости, но также стимулировала улучшения.

Безопасность стала вопросом доверия. Для NFT, DeFi и криптовалют в целом следующий этап зависит меньше от скорости и больше от дисциплины.

Часто задаваемые вопросы

Вот некоторые часто задаваемые вопросы по этой теме:

1. Сколько было потеряно из-за хаков Web3 в 2025 году?

Hacken сообщил о $4.004 миллиардах общих потерь. Другие компании, такие как CertiK и Chainalysis, оценили сумму в диапазоне от $2.5 млрд до $3.2 млрд, в зависимости от методологии.

2. Какие источники потерь в криптовалюте были самыми крупными в 2025 году?

Большая часть потерь пришлась на ошибки контроля доступа (53%), затем на фишинг (24%) и уязвимости смарт-контрактов (13%).

3. Действительно ли Северная Корея была ответственна за большинство хаков Web3?

Да. Группы, связанные с Северной Кореей, отвечали за около 52% потерь 2025 года, часто используя фишинг и социальную инженерию.

4. Всё ли еще эффективны аудиты смарт-контрактов?

Аудиты помогают снизить риск, но не являются панацеей. Многие уязвимости 2025 года возникали в проверенных и протестированных протоколах из-за недосмотров крайних случаев.

5. Как ИИ повлиял на безопасность Web3 в 2025 году?

ИИ использовался как для защиты (мониторинга), так и для атак (deepfakes, автоматизации мошенничества), что вводило новые риски, такие как атаки с инжекцией подсказок.

6. Что могут делать пользователи для защиты своих активов?

Используйте аппаратные кошельки, избегайте подписания неизвестных транзакций, проверяйте адреса и соблюдайте строгую цифровую гигиену, особенно в социальных сетях.