Платформы на основе криптовалют потеряли $127 миллионов из-за хакеров в сентябре 2025 года, что знаменует собой снижение на 22% по сравнению с предыдущим месяцем, но продолжает то, что исследователи безопасности описали как один из худших годов для цифровых краж в индустрии.
Что нужно знать:
- В сентябре произошло около 20 крупных крипто-эксплойтов на сумму $127 миллионов, что ниже $163 миллионов в августе, но все еще представляет значительные уязвимости сектора.
- Крупнейшее единичное нарушение было связано с UXLINK, который потерял $44 миллиона через манипуляцию с кошельками и атаками на Арбитруме.
- Более $3,1 миллиарда было украдено в первой половине 2025 года, превысив потери всего 2024 года, подчеркивая постоянные проблемы безопасности.
Крупные взломы нацелены на несколько платформ
PeckShield, фирма по безопасности блокчейна, выявила около 20 значительных крипто-эксплойтов в прошлом месяце. Падение по сравнению с показателями августа мало утешило аналитиков, отслеживающих нарастающие потери сектора.
UXLINK понес крупнейшее нарушение месяца на сумму $44 миллиона. Нападающие впервые атаковали социальный проект Web3 22 сентября, нацелившись на его кошелек с мультиподписью, чтобы лишить административного контроля и вывести $11,3 миллиона. Атака продолжалась, поскольку хакеры выпустили миллиарды новых токенов UXLINK в сети Арбитрум, почти удвоив количество в обращении. Цена токена обвалилась более чем на 70%. Биржи, включая Upbit, заморозили некоторые активы, но большинство украденных средств остаются в кошельках, контролируемых злоумышленниками.
SwissBorg, швейцарская платформа управления благосостоянием, зафиксировала потери около $41,5 миллиона из-за компрометации цепочки поставок. Хакеры использовали Kiln, стороннего поставщика услуг, управляющего операциями по ставке Solana.
Нарушение позволило злоумышленникам контролировать почти 193,000 SOL, скрывая вредоносный код в обычных транзакциях по отмене ставки.
Фишинговая операция нацелилась на платформу кредитования Venus 2 сентября, приведя к потерям примерно $13 миллионов. Жертва подключилась к тому, что, как они считали, было законной Zoom-встречей, что позволило злоумышленникам компрометировать их устройство и изменить учетные данные кошелька. Venus временно приостановила операции и ликвидировала позиции злоумышленника для восстановления украденных активов.
Дополнительные инциденты в сентябре включали эксплойт на $7,6 миллиона в протоколе стабильной монеты Yala и нарушение на $3 миллиона в GriffAI.
Понимание уязвимостей безопасности криптовалют
Кошельки с мультиподписью требуют нескольких закрытых ключей для авторизации транзакций, теоретически распределяя ответственность за безопасность среди нескольких сторон. Когда злоумышленники компрометируют эти системы, они обычно получают контроль через социальную инженерию или используя недостатки в структуре административных разрешений.
Атаки на цепочку поставок нацелены на доверенных сторонних поставщиков услуг, а не на основную платформу. Эти нарушения оказываются особенно разрушительными, поскольку пользователи предполагают, что их средства остаются в безопасности при работе с проверенными посредниками. Фишинговые схемы полагаются на обман пользователей, чтобы получить учетные данные или доступ через поддельные коммуникации, имитирующие легитимные бизнес-взаимодействия.
Атаки на чеканку токенов используют уязвимости в коде смарт-контрактов для создания несанкционированных новых токенов, размывая существующие запасы и обрушивая рыночные цены. Эта техника становится все более распространенной, поскольку злоумышленники идентифицируют платформы с недостаточными процессами проверки кода.
Год характеризуется рекордной преступной активностью
Снижение в сентябре предоставило минимальное облегчение в году, который исследователи безопасности уже причисляют к худшему в индустрии. Hacken, другая фирма по безопасности блокчейна, сообщила, что в первые шесть месяцев 2025 года злоумышленники похитили более $3,1 миллиарда в криптовалюте. Эта цифра превысила общую сумму потерь в 2024 году на $2,85 миллиарда. Взлом биржи Bybit в первом квартале составил $1,5 миллиарда этих потерь через то, что аналитики окрестили массивными сбоями системы контроля доступа.
Эксперты по безопасности выявили две постоянные проблемы, приводящие к потерям. Злоумышленники продолжают эксплуатировать бэкдоры и привилегированные точки доступа, которые команды разработчиков упускают из виду во время проверок безопасности. Пользователи остаются уязвимыми к тактике социальной инженерии, полностью обходящей технические защитные меры. Аналитики отрасли предупредили, что без значительных инвестиций в системы контроля доступа, независимые аудиты безопасности и программы обучения пользователей, временное снижение краж в сентябре может оказаться бессмысленным. Траектория года свидетельствует о том, что преступная активность, нацеленная на платформы криптовалют, продолжит ставить рекорды.
Заключительные мысли
Сектор криптовалют сталкивается с растущими проблемами безопасности, несмотря на умеренное снижение краж в сентябре. Постоянные уязвимости в контроле доступа и продолжающийся успех атак социальной инженерии указывают на системные проблемы, которые временные улучшения не могут скрыть.