Ataki na krypto w 2025 i na początku 2026 roku przewyższyły wszystkie wcześniejsze roczne rekordy pod względem wartości w dolarach, a straty sięgnęły nawet 3,4 mld dol. w krajobrazie błędów w smart kontraktach, kompromitacji łańcucha dostaw, manipulacji oraklami, kradzieży kluczy oraz politycznie motywowanego sabotażu, które razem ujawniły, że skoncentrowane punkty zaufania — nie tylko zły kod — pozostają najgroźniejszą podatnością branży.
Stan ataków na krypto w latach 2025–2026
Liczby trudno podważyć, choć różnią się w zależności od metodologii.
Chainalysis oszacował, że całkowita kradzież krypto w 2025 r. osiągnęła 3,4 mld dol., co czyni ten rok najgorszym w historii. TRM Labs i TechCrunch osobno podały kwotę 2,7 mld dol. CertiK opublikował swój wynik za pierwszą połowę 2025 r. na poziomie 2,47 mld dol. w 344 incydentach, co już przewyższyło pełnorynkową wartość netto strat za 2024 r. wynoszącą 1,98 mld dol.
Dla kontekstu: TRM Labs wyliczył, że w całym 2024 r. skradziono 2,2 mld dol. Oznacza to, że same pierwsze sześć miesięcy 2025 r. przekroczyło cały poprzedni rok.
To, co wyróżnia ten okres, to nie liczba incydentów. To koncentracja.
Immunefi poinformował, że pierwszy kwartał 2025 r. był najgorszym kwartałem w historii ataków na krypto, z 1,64 mld dol. strat w zaledwie 40 zdarzeniach — 4,7 razy więcej niż w Q1 2024. Dwa incydenty, Bybit i Cetus, odpowiadały za około 1,78 mld dol., czyli 72 proc. łącznej kwoty za H1 według CertiK.
Kategorie ataków nie zmieniły się znacząco. Wciąż występują exploity smart kontraktów, manipulacja oraklami, kompromitacja kluczy prywatnych, operacyjne porażki giełd oraz cyberataki sponsorowane przez państwa. Zmieniła się skala. Średnia wielkość pojedynczego włamania w H1 2025 r. podwoiła się względem tego samego okresu poprzedniego roku, a szkody skoncentrowały się w kilku katastrofalnych zdarzeniach.
Wspólnym wątkiem łączącym najgorsze przypadki poniżej nie jest złożoność. Jest nim zaufanie — skoncentrowane w pojedynczych kluczach, pojedynczych dostawcach, pojedynczych strukturach zarządzania lub pojedynczych ośrodkach płynności.
Zobacz także: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: jak niepokryty mint zamienił stablecoina w kryzys bilansowy
22 marca 2026 r. atakujący skompromitował uprzywilejowany klucz prywatny przechowywany w AWS Key Management Service projektu Resolv, a następnie użył go do autoryzacji dwóch mocno zawyżonych operacji mintowania stablecoina USR w tym protokole.
Pierwsza utworzyła 50 mln USR przy depozycie około 100 000 dol. w USDC (USDC). Druga wyemitowała kolejne 30 mln.
Łącznie do obiegu trafiło około 80 mln niepokrytych tokenów. Klucz mintowania był pojedynczym zewnętrznie zarządzanym kontem (EOA) — nie multisigiem — a kontrakt nie miał limitów maksymalnego mintu, sprawdzeń orakla ani walidacji kwoty.
Atakujący skonwertował wybite USR przez wstUSR i stablecoiny na około 11 400 Etheru (ETH), wartych ok. 24–25 mln dol. Cena USR załamała się do poziomu 0,025 dol. na Curve Finance w ciągu 17 minut — spadek o 97,5 proc.
To, co czyni exploity na stablecoinach szczególnie destrukcyjnymi, to fakt, że natychmiast ujawniają, czy zabezpieczenie jest realne, czy kruche.
Pierwotna pula zabezpieczeń protokołu, warta ok. 95 mln dol., pozostała technicznie nienaruszona, ale przy 80 mln nowych, niepokrytych tokenów w obiegu Resolv został z ok. 95 mln dol. aktywów wobec ok. 173 mln dol. zobowiązań. Protokoły DeFi, w tym Aave, Morpho, Euler, Venus i Fluid, podjęły ostrożnościowe działania w celu odizolowania swojej ekspozycji.
Reakcja łańcuchowa — exploit, wymuszona sprzedaż, depeg, luka w zobowiązaniach, panika — rozegrała się w mniej niż dzień.
Zobacz także: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: mega‑włamanie na 1,5 mld dol., które zdefiniowało rok
Żadne pojedyncze zdarzenie w historii kradzieży kryptowalut nie może się pod względem dolara równać z tym, co stało się z Bybit 21 lutego 2025 r.
Analityk on‑chain ZachXBT jako pierwszy zauważył podejrzane wypływy ponad 1,46 mld dol. z cold walletu Ethereum (ETH) giełdy. FBI później przypisało kradzież północnokoreańskiemu klastrowi TraderTraitor, będącemu częścią Grupy Lazarus, i oszacowało jej wielkość na około 1,5 mld dol.
Skradziono około 401 347 ETH. To więcej niż łączna kwota hacków Ronin Network i Poly Network, dotąd dwóch największych w historii krypto.
Włamanie nie było skutkiem błędu w kodzie Bybit. Dochodzenia prowadzone przez Sygnia i Verichains prześledziły pierwotną przyczynę do kompromitacji łańcucha dostaw Safe{Wallet}, zewnętrznej platformy multisig. Atakujący włamali się na stację roboczą dewelopera Safe z systemem macOS najpóźniej 4 lutego, wykradli tokeny sesji AWS, a 19 lutego wstrzyknęli złośliwy kod JavaScript do interfejsu webowego Safe.
Kod aktywował się tylko wtedy, gdy konkretny cold wallet Ethereum Bybit inicjował transakcję. Trzech z sześciu sygnatariuszy multisiga zatwierdziło transakcję, nie wykrywając manipulacji.
CEO Bybit, Ben Zhou, potwierdził, że giełda pozostała wypłacalna, wsparta rezerwami sprzed ataku przekraczającymi 16 mld dol. W ciągu 72 godzin Bybit uzupełnił swoje rezerwy ETH dzięki awaryjnym pożyczkom od Galaxy Digital, FalconX, Wintermute i Bitget. Jednak do 20 marca około 86 proc. skradzionego ETH zostało zamienione na Bitcoina (BTC) na niemal 7000 portfeli.
Wniosek jest prosty. Jedno miejsce, jedno włamanie, jedno zdarzenie — i roczny profil strat całej branży ulega całkowitemu przesunięciu. Niektóre z najgorszych porażek w krypto mają miejsce tam, gdzie użytkownicy zakładają, że skala równa się bezpieczeństwu.
Zobacz także: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus na Sui: jak exploit na 223 mln dol. zamroził flagowy DEX
W maju 2025 r. Cetus, największa zdecentralizowana giełda w sieci Sui (SUI), została zaatakowana exploitem, który wyciągnął z jej pul płynności ok. 223 mln dol. Główną przyczyną był błąd przepełnienia licznika całkowitego (integer overflow) w bibliotece matematycznej skoncentrowanej płynności protokołu.
Funkcja porównywała wartości z progiem przesuniętym o jeden bit, co pozwoliło atakującemu zdeponować pojedynczy token, a otrzymać pozycje płynności warte miliony.
Walidatorzy Sui podjęli nadzwyczajny krok zamrożenia na łańcuchu około 162 mln dol. skradzionych środków, co zostało zatwierdzone w głosowaniu zarządzającym większością 90,9 proc. Około 60 mln dol. zostało już przetransferowane mostem na Ethereum przed zamrożeniem.
Cetus wznowił działalność po 17‑dniowej przerwie, uzupełniając pule odzyskanymi środkami, 7 mln dol. z własnych rezerw gotówkowych oraz pożyczką 30 mln USDC od Sui Foundation.
Gdy psuje się flagowe miejsce płynności, cierpi wiarygodność całego łańcucha. Ceny tokenów, reputacja sieci, zaufanie użytkowników i konieczność awaryjnej interwencji podmiotów ekosystemu — promień rażenia wykracza daleko poza sam protokół.
Zobacz także: Brazil Freezes Crypto Tax Rules
GMX: dlaczego czołowy rynek perpetuali stracił ponad 42 mln dol.
W lipcu 2025 r. GMX został zexploatowany na ponad 42 mln dol. poprzez podatność typu cross‑contract reentrancy w wdrożeniu V1 na Arbitrum. Funkcja odpowiedzialna za realizację zleceń zmniejszenia pozycji akceptowała jako parametr adres smart kontraktu zamiast wymagać standardowego portfela.
Podczas kroku zwrotu ETH wykonanie przechodziło do złośliwego kontraktu atakującego, umożliwiając reentrancy, które manipulowało wewnętrznymi danymi cenowymi do poziomów około 57 razy niższych od faktycznej ceny rynkowej.
GMX zaoferował 10‑procentową nagrodę typu white‑hat, wartą około 5 mln dol., z 48‑godzinnym terminem i groźba podjęcia kroków prawnych. Atakujący zwrócił w transzach około 37,5–40,5 mln dolarów, zachowując bounty. GMX później completed plan kompensacyjny o wartości 44 mln dolarów dla poszkodowanych posiadaczy GLP.
Fakt, że środki zostały zwrócone, nie oznacza, że system zadziałał. Narracja „white-hat”, oferty bounty i częściowe odzyskanie środków mogą złagodzić reakcję rynku, nie usuwając przy tym leżącej u podstaw porażki bezpieczeństwa.
Luka została ironicznie wprowadzona w trakcie poprawki z 2022 r. dla poprzedniego błędu. GMX V2 nie został dotknięty problemem.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: kiedy atak na krypto staje się wojną geopolityczną
W czerwcu 2025 r. największa irańska giełda kryptowalut, Nobitex, została hacked na około 90 mln dolarów na wielu blockchainach, w tym Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) i TON (TON).
Proizraelska grupa hakerska Gonjeshke Darande, znana także jako Predatory Sparrow, claimed odpowiedzialność za atak.
Do ataku doszło w trakcie aktywnych działań wojennych między Izraelem a Iranem.
Nie był to kradzież motywowana finansowo. Skradzione środki zostały sent na specjalne adresy spalające z anty-IRGC komunikatami, bez możliwych do odzyskania kluczy prywatnych — w praktyce spalając 90 mln dolarów jako manifest polityczny.
Następnego dnia atakujący publicznie released cały kod źródłowy Nobitexu, dokumentację infrastruktury i wewnętrzne prace badawczo-rozwojowe dotyczące prywatności.
Niektóre ataki na krypto wcale nie są nastawione na maksymalizację zysku. To sabotaż, sygnalizacja lub cyberwojna. To sprawia, że różnią się od klasycznych exploitów protokołów praktycznie pod każdym względem: motywacji, metody, skutków i niemożności odzyskania środków. Nobitex reported częściowe wznowienie działalności, ale wolumeny transakcji przychodzących spadły o ponad 70 procent rok do roku na początku lipca.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: exploit, który uderzył w pożyczki DeFi przez kociołki powiązane z GMX
25 marca 2025 r. atakujący drained około 6 260 ETH — wówczas około 13 mln dolarów — z rynków pożyczkowych Abracadabra Finance, znanych jako cauldrons (kociołki). Celem były kociołki wykorzystujące tokeny puli płynności GMX V2 jako zabezpieczenie, a exploit opierał się na technice samolikwidacji wspomaganej flash loanem, która wykorzystywała błędy śledzenia stanu w kontraktach gmCauldron.
Skradzione środki zostały przebrane z Arbitrum na Ethereum. Wśród pierwszych firm bezpieczeństwa, które zasygnalizowały incydent, była PeckShield. GMX potwierdził, że jego własne kontrakty nie zostały naruszone.
Abracadabra zaoferowała 20‑procentowe bug bounty. Był to drugi duży hack tego protokołu; w styczniu 2024 r. atak o wartości 6,49 mln dolarów hit Abracadabra.
Ten epizod ilustruje ryzyko kompozycyjności. Protokół może wydawać się bezpieczny sam w sobie, ale stać się podatny poprzez integracje i zależności.
Dla użytkowników DeFi ważniejsze od marki na wierzchu jest to, co jest „pod maską” — jakie typy zabezpieczeń protokół akceptuje i jakie zewnętrzne kontrakty wywołuje.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid i JELLY: spór o strukturę rynku i pytania o centralizację
26 marca 2025 r. atakujący opened krótką pozycję o wartości 4,1 mln dolarów na mało płynnym memecoinie JELLY na platformie Hyperliquid, razem z dwiema kompensującymi pozycjami długimi, po czym wypompował cenę spot tokena o ponad 400 procent.
Gdy short został zlikwidowany, automatyczny skarbiec HLP Hyperliquid odziedziczył podwodną pozycję, a niezrealizowane straty skarbca sięgnęły około 13,5 mln dolarów.
Walidatorzy Hyperliquid następnie force-closed wszystkie pozycje na JELLY, rozliczając je po pierwotnej cenie wejścia shorta atakującego — 0,0095 dolara — zamiast 0,50 dolara raportowanych przez zewnętrzne orakle.
Manewr wykonano w ciągu dwóch minut i revealed, że protokół opiera się na zaledwie czterech walidatorach w każdym secie.
Skandalem nie jest tu tylko strata.
CEO Bitget, Gracy Chen, publicznie nazwała Hyperliquid „FTX 2.0”. Całkowita wartość zablokowana w protokole spadła z 540 mln do 150 mln dolarów w ciągu kolejnego miesiąca, a token HYPE stracił 20 procent. Hyperliquid później upgraded do modelu on‑chain głosowania walidatorów w sprawie decyzji o delistingu aktywów.
Co się dzieje, gdy zdecentralizowana platforma działa w kryzysie jak scentralizowana? To pytanie jest użyteczne dla każdej grupy badawczej, nawet jeśli strata w dolarach jest mniejsza niż w największych włamaniach. Ujawniło to linię pęknięcia wiarygodności.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: ryzyko nieskończonego mintu i dlaczego niska płynność może maskować większy błąd
W czerwcu 2025 r. Meta Pool suffered exploit smart kontraktu, który pozwolił atakującemu wybić 9 705 mpETH — warte około 27 mln dolarów — bez zdeponowania jakiegokolwiek zabezpieczenia w ETH.
Luka znajdowała się w funkcji mint standardu ERC‑4626. Atakujący ominął normalny okres cooldownu za pomocą funkcjonalności szybkiego unstake’u w protokole.
Zrealizowana strata wyniosła jednak tylko około 132 000 dolarów. Cienka płynność w odpowiednich pulach swapowych Uniswap sprawiła, że atakujący mógł wyciągnąć jedynie 52,5 ETH.
Bot MEV front‑runował część ataku, wyciągając około 90 ETH z płynności, które później zostały zwrócone do protokołu. 913 ETH pierwotnie stakowane przez użytkowników pozostało bezpieczne u operatorów sieci SSV.
Czasami błąd jest znacznie gorszy niż faktycznie poniesiona strata. Ścieżka exploitu w tym przypadku implikowała katastrofalne teoretyczne szkody, ale słaba płynność ograniczyła skalę wyciągniętych środków. To rozróżnienie ma znaczenie dla każdego, kto ocenia ryzyko DeFi, i nadaje tej sprawie większą wagę niż proste zestawienie według kwot dolarowych.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: wsparcie a16z, a mimo to zeksploitowany
28 maja 2025 r. Cork Protocol został exploited na około 12 mln dolarów. Atakujący wyciągnął 3 761 wstETH, wykorzystując luki w logice beforeSwap Hooka Cork oraz brakujące kontrolę dostępu.
Główną przyczyną była kombinacja braku walidacji danych wejściowych z bezpośrednio dostępnym tworzeniem rynków bez zabezpieczeń, co pozwoliło atakującemu stworzyć fałszywy rynek z użyciem legalnego tokena DS jako aktywa do wykupu.
Cork otrzymał inwestycje od a16z crypto i OrangeDAO we wrześniu 2024 r.
Wniosek jest prosty. Inwestorzy instytucjonalni, topowy kapitał VC i dopracowany branding nie eliminują ryzyka technicznego. Czytelnicy nie powinni mylić jakości rundy finansowania z bezpieczeństwem protokołu, a audyty — choćby najbardziej szczegółowe — nie są gwarancją. Wszystkie kontrakty zostały natychmiast wstrzymane po wykryciu incydentu, ale pieniędzy już nie było.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: manipulacja oraklem jako nawracająca słabość DeFi
W kwietniu 2025 r. KiloEx lost około 7–7,5 mln dolarów na Base, opBNB i BNB Smart Chain po tym, jak atakujący wykorzystał lukę w kontrolach dostępu w kontrakcie MinimalForwarder platformy. Błąd pozwalał każdemu wywoływać funkcje ustawiające ceny.
Atakujący zmanipulował orakl, aby raportował absurdalnie niską cenę ETH — 100 dolarów — podczas otwierania lewarowanych pozycji, a następnie zamknął je przy 10 000 dolarów.
KiloEx offered 10‑procentowe white‑hat bounty w wysokości 750 000 dolarów. Cztery dni później atakujący zwrócił wszystkie skradzione środki, a KiloEx ogłosił, że nie będzie wszczynać kroków prawnych.
Platforma wznowiła działalność po 10‑dniowej przerwie i published plan kompensacji dla użytkowników, których transakcje pozostały otwarte podczas przestoju.
To najczystszy przypadek do wyjaśnienia ryzyka orakli. Złe dane cenowe mogą pozwolić atakującym otwierać i zamykać pozycje po fałszywych wartościach. Wiele exploitów sprzedawanych jako „wyrafinowane” nadal opiera się na starych prymitywach — złych feedach cenowych, przewidywalnych założeniach, słabej walidacji. Manipulacja oraklem pozostaje jedną z najbardziej uporczywych słabości DeFi.
Also Read: Gold's Worst Week Since 1983
Co ujawnia ten schemat
Powyższe 10 przypadków różni się mechanizmem, skalą i motywacją. Łączy je jednak wspólny wzorzec strukturalny.
Najbardziej wyniszczające finansowo incydenty — Bybit i Resolv — w ogóle nie zostały spowodowane błędami on-chain. Były to awarie na poziomie infrastruktury: w jednym przypadku skompromitowana maszyna deweloperska, w drugim jeden niechroniony klucz mintujący przechowywany w infrastrukturze chmurowej. Szkody w obu przypadkach były katastrofalne właśnie dlatego, że istniały scentralizowane punkty zaufania tam, gdzie użytkownicy zakładali, że ich nie ma.
Ataki na poziomie protokołu, takie jak w Cetus i GMX, faktycznie obejmowały błędy w kodzie, ale skala szkód była determinowana przez reakcje zarządzających protokołem — to, czy walidatorzy mogli zamrozić środki, czy negocjacje dotyczące bounty zakończyły się powodzeniem oraz czy podmioty z ekosystemu wkroczyły z awaryjnym finansowaniem.
Nobitex nie był exploitem protokołu w żadnym sensownym znaczeniu; był aktem sabotażu geopolitycznego.
Ogólny obraz nie napawa optymizmem. Mniejsza liczba incydentów nie oznacza mniejszych szkód. Średnia dotkliwość rośnie. Same tylko Korea Północna accounted za ponad 2 miliardy dolarów skradzionych środków w 2025 roku, co stanowi 51‑procentowy wzrost rok do roku.
Perimetr bezpieczeństwa, który ma dziś w krypto największe znaczenie, przesunął się z logiki on-chain na infrastrukturę off-chain, zarządzanie kluczami i ludzkie bezpieczeństwo operacyjne.
Dla użytkowników detalicznych, inwestorów tokenów i zespołów protokołów dane sugerują ten sam wniosek. Pytanie nie brzmi już, czy smart kontrakty protokołu zostały poddane audytowi. Pytanie brzmi, gdzie dokładnie skoncentrowane jest zaufanie — i co się stanie, gdy zawiedzie.
Czytaj dalej: Bitcoin Mining Difficulty Falls 7.76%