В 2025 году хакерство Web3 достигло неприятной вехи. Почти 4 миллиарда долларов было потеряно в криптовалютах, NFT и DeFi из-за сбоев в системе безопасности, мошенничества и простых человеческих ошибок. Данные взяты из Ежегодного отчета о безопасности за 2025 год. опубликовано Хакеноми рисует картину, которую отрасль не может игнорировать.
Этот год не был отмечен непонятными ошибками, скрывающимися в экспериментальном коде. Большая часть ущерба была вызвана плохим контролем доступа, кражей учетных данных и социальной инженерией. Другими словами, те же проблемы, о которых службы безопасности предупреждали в течение многих лет, теперь происходят в гораздо больших масштабах.
Если вы владеете NFT, торгуете на централизованных биржах или используете Web3, уроки 2025 года актуальны как никогда.
Тест на реальность для Web3 стоимостью 4 миллиарда долларов
В отчете Хакена общие потери за 2025 год оцениваются в 4 миллиарда долларов. В эту цифру входят валютные нарушения, фишинговые мошенничества, взломанные кошельки, выдергивания ковров и лазейки в протоколах.
Другие компании, в том числе CertiK и Chainalytic, оценили меньшую сумму — от 2,5 до 3,2 миллиарда долларов — в зависимости от своих моделей атрибуции. Однако все основные источники сходятся во мнении, что в 2025 году произойдет резкое увеличение масштабов и сложности атак.
В глаза бросается не только размер потерь. Его Где они пришли откуда.
В прошлых циклах криптовалют преобладали ошибки смарт-контрактов. В 2025 году баланс изменился. Операционные сбои и социальные атаки нанесли больший ущерб, чем сломанный код. По мере увеличения притока капитала Веб3злоумышленники следили за деньгами и сосредоточивались на самых простых путях их получения.
Для пользователей NFT это изменение полностью меняет профиль риска. Идеальный контракт не поможет, если будет злоупотреблять запросом на одобрение кошелька или подпись.
Как прошёл год
Первый квартал изменил все
Год начался плохо. К концу первого квартала убытки уже превысили $2 млрд. Это сделало первый квартал худшим кварталом за всю историю безопасности Web3.
Он был величайшим водителем Нарушение байта. Злоумышленники не использовали смарт-контракт. Они скомпрометировали цепочку поставок и манипулировали внешней инфраструктурой. Это было напоминанием о том, что безопасность блокчейна не ограничивается самой цепочкой.
После этого инцидента представления о безопасности быстро изменились.
Темпы замедлились, но угроза не исчезла.
Убытки продолжали снижаться до конца года. К четвертому кварталу общий ущерб за квартал составил примерно 350 миллионов долларов. Это снижение отражает большую осведомленность и более быстрое реагирование.
Несмотря на это, первоначальный ущерб устранить не удалось. Вместо того, чтобы отступить, нападавшие адаптировали свою стратегию. Меньше атак. Больший эффект.
Где пропали деньги
Контроль доступа оказался самым большим провалом
Более половины всех потерь в 2025 году пришлось на проблемы с контролем доступа. Скомпрометированные приватные ключи. Плохо настроенные мультиподписные кошельки. Внутренние учетные данные скомпрометированы или утекли.
Ни один из них не требовал современных подвигов. В большинстве случаев злоумышленники просто получили доступ, которого у них не должно было быть.
Данные Хакена показывают, что 2,12 миллиарда долларов — или 53% всех потерь — были вызваны сбоями контроля доступа, что делает их основной причиной кражи криптовалюты в 2025 году.
Одно ключевое наблюдение: кошельки с мультиподписью оказались уязвимыми для атак, когда подписывающие лица использовали повседневные устройства. Эксплойт UXLINK заставил скомпрометированных подписантов чеканить триллионы токенов, истощать свои ресурсы и выбрасывать их на рынок.
Тяжело признаться, но это тоже полезно. Это проблемные команды Власть исправить с помощью лучших процессов.
Фишинг стало сложнее обнаружить
Фишинг и социальная инженерия нанесли ущерб почти в 1 миллиард долларов. Отравление кошельков, фальшивые сообщения поддержки и мошенничество с выдачей себя за другое лицо продолжают развиваться.
Искусственный интеллект сделал эти атаки более убедительными. Фейковые собеседования. Глубокие фейковые видеозвонки. Сообщения, которые выглядели точно так же, как сообщения, отправленные реальным проектом.
Потерял одного пользователя 50 миллионов долларов в одной сделке из-за отравления адреса – перепутав кошелек мошенника с кошельком друга. Другой потерял 330 миллионов долларов в биткойнах после длительной атаки с помощью социальной инженерии.
Трейдеры NFT часто становились мишенью, особенно те, кто активен в сообществах Discord и Telegram.
Эксплойты смарт-контрактов никуда не делись
Ошибки в контрактах продолжали причинять ущерб, в результате чего убытки составили 512 миллионов долларов. Большую часть этого удара ощутили протоколы DeFi, причем наибольшая концентрация наблюдалась в проектах на базе Ethereum.
Известные подвиги включали: Балансировщик v2 (128 миллионов долларов из-за ошибки округления), GMX v1 (42 миллиона долларов из-за ошибки повторного ввода) и Yearn yETH (9 миллионов долларов из-за бесконечной чеканки).
Аудиты помогли снизить частоту, но крайние случаи и интеграции по-прежнему представляли риски. Улучшена безопасность кода. Одного этого было недостаточно.
Акции против DeFi: различные уязвимости
Централизованные платформы оказались наиболее успешными.
На централизованные биржи пришлось более половины всех потерь. Наиболее заметный случай связан с Bybit, где злоумышленники использовали внешний доступ вместо логики блокчейна.
Уход концентрирует риск. Внутренние инструменты, внешние поставщики и доступ сотрудников увеличивают поверхность атаки. Когда что-то идет не так, цифры быстро растут.
Инфраструктура DeFi и NFT осталась незащищенной
DeFi В результате нескольких десятков инцидентов стоимость эксплойтов превысила $500 млн. Утечка ликвидности, отказы мостов и математические ошибки возникали снова и снова.
Ethereum был самой целевой сетью, главным образом из-за ее высокой активности. NFT-платформы кошельки, разрешения или серверные службы часто использовались совместно с протоколами DeFi, что способствовало распространению риска.
Роль Северной Кореи быстро возросла.
Одна из наиболее ярких закономерностей 2025 года касалась злоумышленников, связанных с государством. На группы, связанные с Северной Кореей, пришлось около 52% общих потерь, похитив за год более 2 миллиардов долларов.
Фактически, 9 из 10 атак на контроль доступа были связаны с группами КНДР и использовали такие тактики, как поддельные профили рекрутеров, репозитории GitHub, содержащие вредоносное ПО, и глубокие фейки интервью.
Следователи связали большую часть этой деятельности с организациями, связанными с Lazarus Group и кластером TraderTraitor. Их подход был сосредоточен на фишинге, выдаче себя за другое лицо и доступе к конфиденциальной информации, а не на технических эксплойтах.
По сравнению с 2024 годом стоимость украденных этими группировками выросла более чем на 50%. Что выделялось, так это масштаб и координация.
Почему держатели NFT почувствовали влияние
NFT не принесли самой большой прибыли, но основной целью были коллекционеры. Поддельные мятные ссылки. Злонамеренные совершения. Взлом аккаунтов Discord, выдающих себя за администраторов проекта.
Как только кошелек будет скомпрометирован, транзакции NFT будут немедленно перенесены. Отзыва нет. Разрешения Marketplace часто остаются активными еще долгое время после того, как пользователи о них забывают.
Для NFT-безопасностьпривычки кошелька так же важны, как и безопасность платформы.
ИИ изменил уравнение безопасности
AI играла за обе команды в 2025 году.
Злоумышленники использовали автоматизацию, фейковые медиа и адаптивные сообщения, чтобы масштабировать мошенничество быстрее, чем раньше. Защитники ответили улучшением мониторинга, обнаружением аномалий и более быстрой сортировкой инцидентов.
Платформы вознаграждения за обнаружение ошибок, такие как Immunefi, помогли обнаружить проблемы на ранней стадии, показав, что стимулы по-прежнему имеют значение.
Разрыв между атакой и защитой не устранен. Оно сдвинулось.
Регулирование начало догонять
Ожидания в области безопасности были ужесточены в основных юрисдикциях.
В США системы лицензирования все чаще требуют тестирования на проникновение и аппаратно защищенного управления ключами. В Европе MiCA делает упор на сортировку пациентов и независимый аудит.
Эти правила не устранят нарушений. Они повышают базовый уровень и усложняют обоснование использования ярлыков.
Что на самом деле помогает вам двигаться вперед
Для пользователей:
Аппаратные кошельки снижают риск. Специальные устройства помогают еще больше. Адресные книги и предварительный просмотр транзакций предотвращают распространенные ошибки.
Для команд NFT и Web3:
Одной проверки недостаточно. Многоуровневые обзоры раскрывают больше проблем. Конфигурации Multisig и MPC уменьшают количество единых точек отказа. Мониторинг должен продолжаться после запуска.
Для промышленности:
Четкие стандарты укрепляют доверие. Зрелость ценных бумаг теперь влияет на принятие и движение капитала.
Дорогой год, но четкий сигнал
Убытки в 4 миллиарда долларов в 2025 году из-за взломов Web3 отражают экономический рост, находящийся под давлением. Злоумышленники усовершенствовали свои стратегии. Защитники узнали об этом публично. Прозрачность выявила слабые стороны, но в то же время способствовала улучшению.
Безопасность стала доверием. Для NFT, DeFi и криптовалют в целом следующий этап будет связан не столько со скоростью, сколько с дисциплиной.
Часто задаваемые вопросы
Вот некоторые часто задаваемые вопросы по этой теме:
1. Сколько вы потеряли из-за хаков Web3 в 2025 году?
Хакен сообщил, что общие убытки составили 4,004 миллиарда долларов. Другие компании, такие как CertiK и Chainalytic, оценили сумму от 2,5 до 3,2 миллиарда долларов, в зависимости от методологии.
2. Каковы были крупнейшие источники потерь криптовалют в 2025 году?
Большинство из них произошло из-за сбоев контроля доступа (53%), за которыми следовали фишинг (24%) и уязвимости смарт-контрактов (13%).
3. Была ли Северная Корея действительно ответственна за большинство взломов Web3?
Да. Группы, связанные с Северной Кореей, ответственны примерно за 52% потерь в 2025 году, часто используя тактику фишинга и социальной инженерии.
4. Эффективен ли аудит смарт-контрактов?
Аудиты помогают снизить риск, но они не являются надежными. Многие из эксплойтов 2025 года произошли в проверенных или протестированных протоколах из-за пропущенных крайних случаев.
5. Как искусственный интеллект повлияет на безопасность Web3 в 2025 году?
ИИ использовался как в обороне (для мониторинга), так и в нападении (дипфейки, автоматизация мошенничества), создавая новые угрозы, такие как атаки с мгновенным внедрением.
6. Что могут сделать пользователи для защиты своих активов?
Используйте аппаратные кошельки, избегайте подписания неизвестных транзакций, проверяйте адреса и соблюдайте строгую цифровую гигиену, особенно на платформах социальных сетей.