Взломы Web3 в 2025 году достигли неприятного рубежа. Почти 4 миллиарда долларов было потеряно из-за криптовалют, NFT и DeFi из-за сбоев в безопасности, мошенничества и простых человеческих ошибок. Данные взяты из Ежегодного отчета по безопасности за 2025 год. опубликовано Хакеноми это рисует картину, которую отрасль не может игнорировать.
Этот год не был отмечен непонятными ошибками, скрывающимися в экспериментальном коде. Большая часть ущерба была вызвана слабым контролем доступа, кражей учетных данных и социальной инженерией. Другими словами, те же проблемы, о которых службы безопасности предупреждали в течение многих лет, теперь проявляются в гораздо большем масштабе.
Если вы владеете NFT, торгуете на централизованных биржах или используете Web3, уроки 2025 года важны как никогда.
Проверка реальности на 4 миллиарда долларов для Web3
В отчете Хакена общие потери за 2025 год составят 4 миллиарда долларов. В это число входят взломы бирж, фишинговые атаки, взломанные кошельки, кражи ковров и эксплойты протоколов.
Другие фирмы, в том числе CertiK и Chainaанализ, оценили меньшую сумму — от 2,5 до 3,2 миллиарда долларов — в зависимости от своих моделей атрибуции. Однако все основные источники сходятся во мнении, что в 2025 году произошел всплеск масштабов и сложности атак.
Обращает на себя внимание не только размер потерь. Его где они пришли откуда.
Ранее в криптоциклах преобладали ошибки смарт-контрактов. В 2025 году баланс изменился. Операционные сбои и социальные атаки причинили больше вреда, чем сломанный код. По мере того как все больше капитала притекало в Веб3Злоумышленники следили за деньгами и сосредоточились на самых простых путях проникновения.
Для пользователей NFT этот сдвиг полностью меняет профиль риска. Идеальный контракт не поможет, если запрос на одобрение или подпись кошелька будет нарушен.
Как прошел год
Первый квартал изменил все
Год начался плохо. К концу первого квартала уже было потеряно более 2 миллиардов долларов. Это сделало первый квартал худшим кварталом для безопасности Web3 за всю историю.
Самым большим драйвером был Нарушение байта. Злоумышленники не воспользовались смарт-контрактом. Они скомпрометировали цепочку поставок и вмешались в интерфейсную инфраструктуру. Это было напоминанием о том, что безопасность блокчейна не ограничивается самой цепочкой.
После этого инцидента представления о безопасности быстро изменились.
Темп замедлился, но угроза не исчезла
Убытки снизились до конца года. К четвертому кварталу общий ущерб за квартал составил около 350 миллионов долларов. Это снижение отражает лучшую осведомленность и более быстрое реагирование.
Тем не менее, ранний ущерб не мог быть исправлен. Злоумышленники скорректировали свою стратегию, но не отступили. Меньше атак. Больший эффект.
Где были потеряны деньги
Контроль доступа оказался самым большим провалом
Более половины всех потерь в 2025 году пришлось на проблемы контроля доступа. Скомпрометированные приватные ключи. Неправильно настроенные мультиподписные кошельки. Внутренние учетные данные были нарушены или утекли.
Ничто из этого не требовало передовых эксплойтов. В большинстве случаев злоумышленники просто получили доступ, которого у них не должно было быть.
Данные Хакена показывают, что 2,12 миллиарда долларов — или 53% всех потерь — вызваны сбоями в управлении доступом, что делает их основной причиной кражи криптовалют в 2025 году.
Один ключевой вывод: кошельки с мультиподписью оказались уязвимыми, когда подписывающие лица использовали повседневные устройства. Эксплойт UXLINK привел к тому, что скомпрометированные подписанты выпустили триллионы токенов, истощили активы и выбросили их на рынок.
Неприятно это признавать, но это тоже полезно. Это проблемные команды может исправить с помощью лучших процессов.
Фишинг стало труднее обнаружить
Убытки от фишинга и социальной инженерии составили почти 1 миллиард долларов. Отравление кошельков, фальшивые сообщения службы поддержки и мошенничество с выдачей себя за другое лицо продолжали развиваться.
ИИ сделал эти атаки более убедительными. Фейковые собеседования. Дипфейковые видеозвонки. Сообщения, которые выглядели точно так же, как и сообщения реального проекта.
Один пользователь потерялся 50 миллионов долларов за одну транзакцию из-за отравления адреса — принятия кошелька мошенника за знакомый. Другой потерял 330 миллионов долларов в биткойнах после длительной атаки с помощью социальной инженерии.
Трейдеры NFT часто становились мишенью, особенно те, кто активен в сообществах Discord и Telegram.
Эксплойты смарт-контрактов не исчезли
Ошибки в контрактах по-прежнему причиняли ущерб, в результате чего убытки составили около 512 миллионов долларов. Большую часть этого удара приняли на себя протоколы DeFi, при этом наибольшая концентрация наблюдалась в проектах на базе Ethereum.
Известные подвиги включали: Балансировщик v2 (128 миллионов долларов из-за ошибки округления), GMX v1 (42 миллиона долларов из-за ошибки повторного входа) и Yearn yETH (9 миллионов долларов из-за бесконечной чеканки).
Аудиты помогли снизить частоту, но крайние случаи и интеграции продолжали создавать риски. Улучшена безопасность кода. Этого просто было недостаточно.
Биржи против DeFi: разные слабые места
Централизованные платформы понесли наибольший урон
На централизованные биржи пришлось более половины всех потерь. Наиболее заметный случай связан с Bybit, где злоумышленники использовали внешний доступ, а не логику блокчейна.
Опека концентрирует риск. Внутренние инструменты, сторонние поставщики и доступ сотрудников расширяют поверхность атаки. Когда что-то идет не так, цифры быстро растут.
Инфраструктура DeFi и NFT остается открытой
DeFi Эксплойты превысили 500 миллионов долларов в результате десятков инцидентов. Утечка ликвидности, отказы мостов и математические ошибки проявлялись снова и снова.
Ethereum был самой целевой цепочкой, во многом потому, что там наблюдается очень большая активность. NFT-платформы часто делились кошельками, разрешениями или серверными службами с протоколами DeFi, что приводило к распространению рисков.
Роль Северной Кореи резко возросла
Одна из наиболее ярких закономерностей 2025 года касалась злоумышленников, связанных с государством. Группы, связанные с Северной Кореей, ответственны за около 52% общих убытков, похитив за год более 2 миллиардов долларов.
Фактически, 9 из 10 атак на контроль доступа были связаны с группами КНДР с использованием таких тактик, как поддельные профили рекрутеров, зараженные вредоносным ПО репозитории GitHub и дипфейк интервью.
Следователи связали большую часть этой деятельности с участниками, связанными с Lazarus Group и кластером TraderTraitor. Их подход был сосредоточен на фишинге, выдаче себя за другое лицо и инсайдерском доступе, а не на технических эксплойтах.
По сравнению с 2024 годом стоимость украденного этими группировками подскочила более чем на 50%. Масштаб и координация были поразительными.
Почему держатели NFT ощутили влияние
NFT не приносили больших долларовых доходов, но коллекционеры подвергались серьезной атаке. Поддельные мятные ссылки. Злонамеренные одобрения. Скомпрометированные учетные записи Discord, выдающие себя за администраторов проекта.
Как только кошелек взломан, NFT перемещаются мгновенно. Никакого отката нет. Разрешения Marketplace часто остаются активными еще долгое время после того, как пользователи о них забывают.
Для NFT-безопасностьпривычки кошелька имеют такое же значение, как и меры безопасности платформы.
ИИ изменил уравнение безопасности
AI играла за обе стороны в 2025 году.
Злоумышленники использовали автоматизацию, фейковые медиа и адаптивные сообщения, чтобы масштабировать мошенничество быстрее, чем раньше. Защитники ответили улучшением мониторинга, обнаружением аномалий и более быстрой сортировкой инцидентов.
Платформы вознаграждения за обнаружение ошибок, такие как Immunefi, помогли выявить проблемы на ранней стадии, показав, что стимулы по-прежнему имеют значение.
Разрыв между нападением и защитой не сократился. Оно сдвинулось.
Регулирование начало догонять
Ожидания в области безопасности ужесточились в основных юрисдикциях.
В США системы лицензирования все чаще требуют тестирования на проникновение и аппаратно защищенного управления ключами. В Европе MiCA делает упор на сегрегацию хранения и независимый аудит.
Эти правила не устранят нарушений. Они действительно повышают базовый уровень и усложняют оправдание сокращений.
Что на самом деле помогает идти вперед
Для пользователей:
Аппаратные кошельки снижают риски. Специальные устройства помогают еще больше. Адресные книги и предварительный просмотр транзакций предотвращают распространенные ошибки.
Для команд NFT и Web3:
Одного аудита недостаточно. Многоуровневые обзоры выявляют больше проблем. Настройки Multisig и MPC уменьшают количество единых точек отказа. Мониторинг необходимо продолжить после запуска.
Для промышленности:
Четкие стандарты укрепляют доверие. Зрелость безопасности теперь влияет на внедрение и поток капитала.
Дорогостоящий год, но ясный сигнал
4 миллиарда долларов, потерянные в результате хакерских атак на Web3 в 2025 году, отражают экономический рост, находящийся под давлением. Злоумышленники усовершенствовали свои схемы действий. Защитники узнали об этом публично. Прозрачность выявила слабые стороны, но также способствовала улучшению.
Безопасность стала доверием. Для NFT, DeFi и криптовалюты в целом следующий этап зависит не столько от скорости, сколько от дисциплины.
Часто задаваемые вопросы
Вот некоторые часто задаваемые вопросы по этой теме:
1. Сколько было потеряно из-за взлома Web3 в 2025 году?
Хакен сообщил об общих убытках в размере 4,004 миллиарда долларов. Другие фирмы, такие как CertiK и Chainaанализ, оценивают его в 2,5–3,2 миллиарда долларов, в зависимости от методологии.
2. Каковы были самые крупные источники потерь криптовалют в 2025 году?
Большинство из них произошло из-за сбоев контроля доступа (53%), за которыми следовали фишинг (24%) и уязвимости смарт-контрактов (13%).
3. Была ли Северная Корея действительно ответственна за большинство взломов Web3?
Да. Группы, связанные с Северной Кореей, ответственны за около 52% потерь 2025 года, часто используя тактику фишинга и социальной инженерии.
4. Эффективен ли аудит смарт-контрактов?
Аудиты помогают снизить риск, но не являются надежными. Многие эксплойты 2025 года произошли в проверенных или проверенных в боевых условиях протоколах из-за упущенных из виду крайних случаев.
5. Как ИИ повлияет на безопасность Web3 в 2025 году?
ИИ использовался как для защиты (для мониторинга), так и для нападения (дипфейки, автоматизация мошенничества), создавая новые риски, такие как атаки с быстрым внедрением.
6. Что могут сделать пользователи для защиты своих активов?
Используйте аппаратные кошельки, избегайте подписания неизвестных транзакций, проверяйте адреса и соблюдайте строгую цифровую гигиену, особенно на социальных платформах.