В первом квартале 2025 года мир криптовалют столкнулся с беспрецедентным ростом кибератак и финансовых потерь, о чём подробно рассказывает отчёт CertiK «Hack3d: Web3 Security Report Q1 2025». За три месяца было зафиксировано 197 инцидентов, в результате которых злоумышленники украли около 1,67 миллиарда долларов — это более чем в три раза превышает показатели предыдущего квартала.
Главный удар — взлом Bybit
Самым масштабным событием стал взлом централизованной биржи Bybit, где было похищено около 1,45 миллиарда долларов. Хакеры использовали сложную атаку на холодный кошелёк Ethereum, воспользовавшись компрометацией машины разработчика Safe{Wallet} и подменой мультиподписного контракта. Эта атака стала крупнейшей в истории Web3 и вызвала серьёзные вопросы о безопасности централизованных платформ.
Основные векторы атак
- Взломы кошельков — всего три крупных инцидента, но с ущербом свыше 1,45 миллиарда долларов.
- Компрометация приватных ключей — 15 случаев, потери более 142 миллионов долларов.
- Фишинг — самый частый тип атак (81 случай), но с меньшими индивидуальными потерями (около 16 миллионов долларов всего).
Эти данные указывают на то, что злоумышленники всё активнее применяют социальную инженерию, искусственный интеллект и манипуляции с контрактами, чтобы обходить даже самые продвинутые системы защиты.
Ethereum — главный объект атак
Ethereum остаётся самой уязвимой блокчейн-сетью с 98 инцидентами и потерями порядка 1,54 миллиарда долларов. Это связано с её доминированием в сфере DeFi и смарт-контрактов, где миллиарды долларов остаются заблокированными и подвержены рискам эксплуатации уязвимостей и ошибок в управлении разрешениями.
Другие крупные инциденты
- Взлом Phemex на $71,7 млн, связанный с группой Lazarus, которая также участвовала в выводе средств из Bybit.
- Атака на 0xInfini с потерями около $49,5 млн из-за уязвимости в правах администратора смарт-контракта, позволившей злоумышленнику вывести все токены Vault.
Регуляторные инициативы и перспективы
Несмотря на рост угроз, в первом квартале 2025 года наблюдаются важные шаги в регулировании криптоиндустрии: США создали Стратегический криптовалютный резерв и запустили Крипто-рабочую группу SEC для улучшения нормативной базы, а ЕС завершил работу над техническими стандартами в рамках MiCA. Эти меры направлены на повышение прозрачности и безопасности, однако пока не решают проблему немедленных рисков.
Итоги и рекомендации
- Общие потери в первом квартале составили более двух третей от всех потерь 2024 года.
- Возврат украденных средств резко снизился — всего 0,38% против 42% в прошлом квартале, что усугубляет реальный ущерб.
- Для повышения безопасности необходимы более строгие протоколы, включая улучшенную защиту конечных точек, выделенные устройства для подписания транзакций и многоступенчатую проверку операций.
- Технологии zero-knowledge proofs, ончейн-форензика и мультиподписные кошельки могут стать ключом к снижению рисков в будущем.
Этот квартал стал серьёзным испытанием для криптоэкосистемы, показав, что инновации требуют не только технологического прогресса, но и усиленного внимания к безопасности на всех уровнях.