Криптоиндустрия продолжает сталкиваться с беспрецедентной волной нарушений безопасности в 2025 году, с более чем $3.1 млрд украденных цифровых активов только за первую половину года, согласно новому всеобъемлющему отчету от компании по блокчейн-безопасности Hacken.
Потери, в основном вызванные уязвимостями контроля доступа, устаревшей кодовой базы и растущей волной эксплойтов на основе ИИ, уже превысили годовой итог $2.85 млрд в 2024 году, сигнализируя о нарастающем кризисе безопасности по мере глобального распространения Web3.
Выводы Hacken подчеркивают сохраняющиеся структурные слабости в системах DeFi и CeFi, особенно в области безопасности на уровне процессов и людей, которые теперь обогнали криптографические уязвимости как основной вектор атаки. Хотя крупные инциденты, такие как взлом Bybit на $1.5 млрд в феврале, могут быть статистическими выбросами, отчет подчеркивает, что большинство потерь происходит из-за предотвратимых уязвимостей, часто связанных с устаревшим кодом, неправильно настроенными разрешениями или незащищенными API.
Уязвимости контроля доступа - возникающие, когда несанкционированные лица получают контроль над привилегированными функциями из-за слабых настроек разрешений - составили, по оценкам Hacken, 59% от всех украденных средств в 2025 году. Это примерно $1.83 млрд в потерянной стоимости по десяткам инцидентов.
Эта тенденция отражает 2024 год, когда аналогичные слабости на уровне контроля доминировали в данных об эксплуатации. Однако масштабы и сложность атак резко возросли в 2025 году, с несколькими крупными вторжениями, нацеленными на устаревшие смарт-контракты и старую административную логику в децентрализованных протоколах. «Проекты должны заботиться о своей старой или устаревшей кодовой базе, если она не была полностью отключена», - сказал Егор Рудыця, Глава отдела судебной экспертизы и реагирования на инциденты в Hacken. «Многие протоколы все еще выставляют административные функции из версий, которые считались устаревшими».
Рудыця отметил пример GMX v1, где уязвимости в архитектуре устаревшего контракта были активно использованы в третьем квартале 2025 года - задолго после того, как разработка протокола перешла на новые версии.
Платформы DeFi и CeFi продолжают терять средства
В совокупности децентрализованные финансовые (DeFi) и централизованные финансовые (CeFi) платформы понесли более $1.83 млрд убытков в этом году из-за операционных и безопасных ошибок. Самым значительным инцидентом во втором квартале стала эксплуатация протокола Cetus, вызвавшая убытки в размере $223 млн за всего 15 минут, что сделало его худшим кварталом для DeFi с начала 2023 года и завершив пятилетнюю тенденцию снижения объемов взломов.
Согласно анализу Hacken, атакующие Cetus использовали эксплойт на основе флэш-займов, который воспользовался ошибкой проверки переполнения в расчетах пула ликвидности. Открыв серию микро-позиций в 264 пулах, атакующий перегрузил систему и исчерпал огромную ликвидность без срабатывания механизмов безопасности в реальном времени.
«Если бы Cetus внедрил динамическую систему мониторинга TVL с порогами автопаузы, мы оцениваем, что 90% украденных средств можно было бы сохранить», - написал Hacken в отчете.
Этот инцидент также изменил распределение типов эксплуатации за второй квартал. Хотя ошибки контроля доступа упали до $14 млн - самого низкого уровня с второго квартала 2024 года - ошибки в смарт-контрактах резко возросли, указывая на то, что ошибки разрешений остаются доминирующими в долгосрочной перспективе, но проблемы на уровне кода все еще представляют критические риски.
ИИ и LLM вводят новые векторы атак
Одно из наиболее тревожных открытий в отчете Hacken за 2025 год - резкий рост инцидентов криптобезопасности, связанных с ИИ. Эксплойты, связанные с большими языковыми моделями (LLM) и ИИ-интегрированной инфраструктурой Web3, взлетели на ошеломляющие 1 025% по сравнению с 2023 годом, большинство атак нацелено на небезопасные API, используемые для соединения логики в цепочке с интеллектуальными системами вне цепочки.
Среди проанализированных инцидентов, связанных с ИИ:
- 98.9% нарушений безопасности, связанных с ИИ, включали открытые или неправильно настроенные API.
- В 2025 году добавлено пять новых уязвимостей (CVE), связанных с LLM.
- 34% проектов Web3 теперь развертывают ИИ-агентов в производственных средах, что делает их все более привлекательными целями.
Эти атаки подчеркивают растущее пересечение уязвимостей Web2 и инфраструктуры Web3, особенно по мере того как криптоплатформы спешат интегрировать машинное обучение в торговые боты, DAOs, системы поддержки клиентов и автономные агенты.
«Традиционные рамки безопасности отстают», - написал Hacken, ссылаясь на стандарты, такие как ISO/IEC 27001 и NIST Cybersecurity Framework, которые еще не адаптированы для решения специфических для ИИ угроз, таких как внедрение подсказок, галлюцинация моделей и отравление данных.
Rug Pull и мошенничества остаются серьезной проблемой
Помимо технических эксплойтов, криптопространство продолжает страдать от атак социальной инженерии, мошеннических схем и так называемых «rug pulls» - проектов, которые исчезают после привлечения средств инвесторов.
Хотя эти инциденты труднее количественно оценить в техническом плане, Hacken оценил, что нетехнические потери, включая мошенничества, внесли вклад в дополнительные $750 млн капитального оттока как от розничных, так и институциональных инвесторов в 2025 году.
Крупнейший jedino rug pull в этом году касался агрегатора доходности DeFi на BNB Chain, где разработчики вывели $62 млн из пользовательских средств с помощью манипуляции логикой контракта, прежде чем удалить все каналы связи проекта и уйти в офлайн.
Ключевые уроки и рекомендации
Отчет Hacken завершается серией рекомендаций, направленных на помощь проектам в снижении их рисков в быстро развивающемся окружении угроз:
- Обзоры устаревшей кодовой базы: проекты должны проводить аудит и отключать устаревшие смарт-контракты, которые сохраняют повышенные разрешения или административные функции. Hacken отметил, что более 20% эксплуатируемых протоколов в этом году имели активные уязвимые модули устаревших модулей.
- Динамический контроль доступа: жёсткие белые списки или функции только для администраторов должны быть заменены системами на основе мультиподписей, временной блокировки (timelock) и ролей, адаптирующимися к меняющимся уровням угроз.
- Мониторинг в реальном времени и системы автопаузы: внедрение телеметрии на цепи и предупреждений о перемещении TVL в реальном времени для предотвращения быстрого исчерпания средств во время атак с флэш-займом.
- Контроль рисков ИИ: проекты, использующие LLM, должны установить проверку вводимых данных, журналы аудитора и ограничить доступ к чувствительным функциям на цепи. Открытые фреймворки агентов не должны развертываться без строгого белого списка API и проверки ответов.
- Обучение пользователей: безопасность на уровне кошелька остается слабой. Продвижение использования аппаратных кошельков, отключение слепого подписания и внедрение симуляции транзакций могут снизить компрометацию частных ключей от фишинговых кампаний.
Безопасность больше не является опцией
С учетом того, что криптоактивы проникают в массовые финансовые системы и институциональную инфраструктуру, безопасность больше не второстепенная задача - это основа для долгосрочной жизнеспособности Web3.
По мере того как атакующие развиваются от технических эксплойтов до манипуляций на уровне процессов и эксплуатации ИИ, потребность в проактивных, адаптивных и всеобъемлющих стандартах безопасности никогда не была столь остра.
Если текущая тенденция продолжится, 2025 год может стать самым дорогостоящим годом в истории криптозащиты, и индустрии придется противостоять своим самым слабым звеньям - от устаревших смарт-контрактов до небезопасных интеграций машинного обучения.
«Крипто входит в новую эру, где человеческие ошибки, плохой дизайн и эксплуатация ИИ имеют большее значение, чем когда-либо», - резюмировал Рудыця. «Протоколы, которые выживут в этой эре, будут те, которые рассматривают безопасность как основной продукт, а не как вопрос после запуска».