Криптовзломы в 2025 году и начале 2026-го превысили все предыдущие годовые рекорды по объёму потерь в долларах: убытки достигли примерно $3,4 млрд на фоне уязвимостей смарт‑контрактов, компрометации цепочек поставок, манипуляций оракулами, краж ключей и политически мотивированного саботажа, вместе показав, что наиболее опасной уязвимостью отрасли остаются сконцентрированные точки доверия — а не только плохой код.
Состояние криптовзломов в 2025–2026 годах
Цифры сложно оспорить, хотя оценки различаются по методологии.
Chainalysis оценил, что общий объём похищенных криптоактивов в 2025 году достиг $3,4 млрд, сделав его худшим годом в истории. TRM Labs и TechCrunch отдельно сообщили о $2,7 млрд. CertiK опубликовал данные за первое полугодие 2025 года: $2,47 млрд потерь в 344 инцидентах — уже больше, чем $1,98 млрд за весь 2024 год.
Для сравнения, TRM Labs ранее подсчитал, что за весь 2024 год было похищено $2,2 млрд. Это значит, что только первые шесть месяцев 2025 года превзошли весь предыдущий год.
Отличительная черта этого периода — не количество инцидентов, а их концентрация.
Immunefi сообщил, что первый квартал 2025-го стал худшим кварталом по взломам в истории криптоиндустрии: $1,64 млрд потерь всего в 40 событиях — в 4,7 раза больше, чем в первом квартале 2024-го. Лишь два инцидента — Bybit и Cetus — дали около $1,78 млрд, или 72 % полугодового итога CertiK.
Категории атак почти не изменились. Это эксплойты смарт‑контрактов, манипуляции оракулами, компрометация приватных ключей, операционные сбои бирж и кибератаки со стороны государств. Изменилась масштабность. Средний размер взлома в первом полугодии 2025-го удвоился по сравнению с тем же периодом годом ранее, а основная масса ущерба пришлась на несколько катастрофических инцидентов.
Общая нить, связывающая худшие случаи ниже, — не сложность. Это доверие, сконцентрированное в одном ключе, одном поставщике, одной модели управления или одном центре ликвидности.
Также читайте: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: как необеспеченный минт превратил стейблкоин в кризис баланса
22 марта 2026 года злоумышленник скомпрометировал привилегированный приватный ключ, хранившийся в AWS Key Management Service проекта Resolv, и использовал его для авторизации двух сильно завышенных операций минтинга стейблкоина протокола — USR.
В первой операции было создано 50 млн USR под залог примерно $100 000 в USDC (USDC). Вторая добавила ещё 30 млн.
В сумме в обращение попало порядка 80 млн необеспеченных токенов. Минт‑ключем владел один внешне управляемый аккаунт (EOA), а не мультисиг; контракт не имел ни лимита максимального выпуска, ни проверок оракула, ни валидации суммы.
Злоумышленник конвертировал выпущенные USR через wstUSR и стейблкоины примерно в 11 400 Ether (ETH) — около $24–25 млн. Цена USR обрушилась на Curve Finance до $0,025 всего за 17 минут — падение на 97,5 %.
Особая опасность эксплойтов стейблкоинов в том, что они мгновенно показывают, насколько их обеспечение реально или хрупко.
Первоначальный пул залога протокола в размере около $95 млн формально остался нетронутым, но с появлением 80 млн новых необеспеченных токенов у Resolv оказалось примерно $95 млн активов против ~ $173 млн обязательств. DeFi‑протоколы Aave, Morpho, Euler, Venus и Fluid предприняли шаги для изоляции своей экспозиции.
Цепочка событий — эксплойт, вынужденные продажи, отвязка курса, разрыв по обязательствам, паника — развернулась меньше чем за сутки.
Также читайте: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: мегавзлом на $1,5 млрд, который определил год
Ни одно событие в истории криптовалютных краж не сопоставимо по объёму с тем, что случилось с биржей Bybit 21 февраля 2025 года.
Ончейн‑исследователь ZachXBT первым заметил подозрительные выводы более чем на $1,46 млрд из холодного кошелька биржи в сети Ethereum (ETH). Позже ФБР приписало кражу северокорейскому кластеру TraderTraitor, входящему в Lazarus Group, и оценило ущерб примерно в $1,5 млрд.
Было похищено около 401 347 ETH. Это превысило совокупные объёмы взломов Ronin Network и Poly Network, ранее бывших двумя крупнейшими инцидентами в истории крипто.
Причиной стал не сбой кода самой Bybit. Судебная экспертиза компаний Sygnia и Verichains отследила корень проблемы до компрометации цепочки поставок Safe{Wallet}, сторонней мультисиг‑платформы. Злоумышленники взломали рабочую станцию разработчика Safe на macOS ещё 4 февраля, похитили AWS‑сессионные токены и 19 февраля внедрили вредоносный JavaScript в веб‑интерфейс Safe.
Код активировался только тогда, когда конкретный холодный кошелёк Ethereum биржи Bybit инициировал транзакцию. Трое из шести подписантов мультисига одобрили её, не заметив подмены.
Гендиректор Bybit Бен Чжоу подтвердил, что биржа осталась платёжеспособной, опираясь на докризисные резервы свыше $16 млрд. В течение 72 часов Bybit восстановила резервы ETH за счёт экстренных займов от Galaxy Digital, FalconX, Wintermute и Bitget. Но к 20 марта около 86 % украденного ETH было конвертировано в Bitcoin (BTC) через почти 7 000 кошельков.
Вывод очевиден: одна площадка, один взлом, одно событие — и годовой профиль потерь всей отрасли меняется радикально. Некоторые из худших крахов в крипто происходят там, где пользователи считают масштаб синонимом безопасности.
Также читайте: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus в сети Sui: как эксплойт на $223 млн заморозил флагманскую DEX
В мае 2025 года Cetus, крупнейшая децентрализованная биржа в сети Sui (SUI), стала жертвой эксплойта, который вывел около $223 млн из её пулов ликвидности. Корнем проблемы стала ошибка переполнения целого типа в библиотеке математических функций концентрированной ликвидности протокола.
Одна из функций сравнивала значения с порогом, ошибочно смещённым на один бит, что позволило злоумышленнику вносить один токен и получать позиции ликвидности на миллионы.
Валидаторы Sui предприняли беспрецедентный шаг — заморозили на блокчейне примерно $162 млн украденных средств; это решение было утверждено голосованием по управлению с поддержкой 90,9 %. Около $60 млн к моменту заморозки уже было перебриджено в Ethereum.
Cetus возобновил работу после 17‑дневного простоя, пополнив пулы за счёт возвращённых средств, $7 млн из собственных резервов и займа в $30 млн USDC от Sui Foundation.
Когда ломается флагманская площадка ликвидности, удар приходится по всей сети: по ценам токенов, репутации блокчейна, доверию пользователей и необходимости экстренного вмешательства экосистемных игроков — зона поражения простирается далеко за пределы одного протокола.
Также читайте: Brazil Freezes Crypto Tax Rules
GMX: почему топовая площадка перпетуалов всё же потеряла более $42 млн
В июле 2025 года GMX был взломан более чем на $42 млн через уязвимость перекрёстного реентранси‑вызова в его развёртывании V1 на Arbitrum. Функция, отвечавшая за исполнение ордеров на уменьшение позиции, принимала в качестве параметра адрес смарт‑контракта вместо того, чтобы требовать стандартный кошелёк.
На этапе возврата ETH выполнение передавалось вредоносному контракту атакующего, что позволяло осуществить повторный вход (reentrancy) и манипулировать внутренними ценовыми данными до уровней примерно в 57 раз ниже реиного рыночного курса.
GMX предложил «белому хакеру» вознаграждение в 10 % от суммы, около $5 млн, с дедлайном в 48 часов и угрозой судебного преследования. Злоумышленник вернул примерно от 37,5 млн до 40,5 млн долларов траншами, оставив себе баунти. Позже GMX завершила план компенсаций на 44 млн долларов для пострадавших держателей GLP.
Тот факт, что средства были возвращены, не означает, что система сработала. Обрамление в стиле «white-hat», предложения баунти и частичное возмещение могут смягчить реакцию рынка, не устраняя при этом базовый сбой в безопасности.
Уязвимость была иронично внесена в ходе исправления предыдущего бага в 2022 году. GMX V2 не пострадал.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: когда криптовзлом превращается в геополитическую войну
В июне 2025 года крупнейшая иранская криптобиржа Nobitex была взломана примерно на 90 млн долларов на нескольких блокчейнах, включая Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) и TON (TON).
Произраильская хакерская группа Gonjeshke Darande, также известная как Predatory Sparrow, взяла на себя ответственность.
Атака произошла на фоне активных военных действий между Израилем и Ираном.
Это была не кража с финансовой мотивацией. Похищенные средства были отправлены на vanity-адреса-сжигатели с антииранскими (анти-IRGC) сообщениями и без восстановимых приватных ключей — фактически сжигая 90 млн долларов в качестве политического заявления.
На следующий день злоумышленники публично выложили весь исходный код Nobitex, документацию по инфраструктуре и внутренние наработки по приватности.
Некоторые криптовзломы вообще не являются атаками ради максимизации прибыли. Это саботаж, сигнал или кибервойна. Это делает их принципиально иными, чем протокольные эксплойты, практически по всем измерениям: мотивация, методы, последствия и невозможность восстановления. Позже Nobitex сообщила о частичном возобновлении работы, но входящие объемы транзакций в начале июля упали более чем на 70 % в годовом выражении.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: эксплойт, ударивший по DeFi‑кредитованию через привязанные к GMX котлы (cauldrons)
25 марта 2025 года злоумышленник вывел примерно 6 260 ETH — около 13 млн долларов — из кредитных рынков Abracadabra Finance, известных как cauldrons (котлы). Целевые котлы использовали токены пулов ликвидности GMX V2 в качестве залога, а эксплойт опирался на технику самоликвидации с флеш‑кредитом, которая эксплуатировала ошибки отслеживания состояния в контрактах gmCauldron.
Похищенные средства были перебриджены с Arbitrum в Ethereum. PeckShield была одной из первых фирм, зафиксировавших инцидент. GMX подтвердила, что ее собственные контракты не пострадали.
Abracadabra предложила баг-баунти в размере 20 %. Это был второй крупный взлом протокола; в январе 2024 года Abracadabra уже пострадала от эксплойта на 6,49 млн долларов.
Этот эпизод иллюстрирует риск композиционности. Протокол может выглядеть безопасным сам по себе, но становится уязвимым через интеграции и зависимости.
Для пользователей DeFi важнее то, что скрыто «под капотом» — какие типы залога протокол принимает, какие внешние контракты вызывает, — чем бренд, под который они вносят депозит.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid и JELLY: драма рыночной структуры и вопросы централизации
26 марта 2025 года злоумышленник открыл шорт по неликвидному мемкоину JELLY на Hyperliquid на 4,1 млн долларов вместе с двумя компенсирующими лонг‑позициями, а затем разогнал спотовую цену токена более чем на 400 %.
Когда шорт ликвидировали, автоматический HLP‑вклад Hyperliquid унаследовал убыточную позицию, и нереализованный убыток хранилища достиг примерно 13,5 млн долларов.
Затем валидаторы Hyperliquid принудительно закрыли все позиции по JELLY, рассчитав их по первоначальной шорт‑цене атакующего в 0,0095 доллара, а не по 0,50 доллара, которые показывали внешние оракулы.
Маневр был выполнен менее чем за две минуты и показал, что протокол опирался всего на четырех валидаторов в каждом наборе.
Скандал здесь не только в потере средств.
Генеральный директор Bitget Грейси Чен публично назвала Hyperliquid «FTX 2.0». Общая заблокированная стоимость протокола за следующий месяц рухнула с 540 млн до 150 млн долларов, а токен HYPE упал на 20 %. Позже Hyperliquid перешел на ончейн‑голосование валидаторов по решениям о делистинге активов.
Что происходит, когда децентрализованная площадка в кризис ведет себя централизованно? Этот вопрос полезен для любой исследовательской аудитории, даже если долларовый ущерб меньше, чем у крупнейших взломов. Он обнажил разлом в сфере доверия.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: риск бесконечного выпуска и почему низкая ликвидность может скрывать более серьезный баг
В июне 2025 года Meta Pool пострадал от эксплойта смарт‑контракта, который позволил злоумышленнику выпустить 9 705 mpETH — примерно на 27 млн долларов — не внося никакого ETH‑залога.
Уязвимость находилась в функции mint стандарта ERC‑4626. Злоумышленник обошел обычный период «остывания» (cooldown) через функцию быстрого анстейка в протоколе.
Однако фактический ущерб составил лишь около 132 000 долларов. Из‑за тонкой ликвидности в соответствующих пулах обмена на Uniswap злоумышленник смог вывести только 52,5 ETH.
MEV‑бот фронт‑ранил часть атаки, вытащив около 90 ETH ликвидности, которая позже была возвращена в протокол. 913 ETH, изначально застейканные пользователями, оставались в безопасности у операторов SSV Network.
Иногда баг намного серьезнее, чем реализованный убыток. В данном случае маршрут эксплойта подразумевал катастрофический теоретический ущерб, но слабая ликвидность ограничила извлечение. Это различие важно для оценки рисков DeFi и придает этому кейсу больше глубины, чем простая ранжировка по объему долларовых потерь.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: поддержка a16z — и все равно взлом
28 мая 2025 года Cork Protocol был взломан примерно на 12 млн долларов. Злоумышленник вывел 3 761 wstETH, эксплуатируя изъяны в логике beforeSwap хука Cork и отсутствие должных механизмов контроля доступа.
Корневая причина заключалась в отсутствии валидации входных данных в сочетании с разрешением на создание рынков в permissionless‑режиме без защитных ограничений, что позволило атакующему создать фейковый рынок, используя легитимный DS‑токен как актив для погашения.
Cork привлек инвестиции от a16z crypto и OrangeDAO в сентябре 2024 года.
Вывод прост. Институциональные инвесторы, топ‑уровневые венчурные фонды и отполированный бренд не устраняют технические риски. Читателям не следует путать качество фондрайзинга с безопасностью протокола, а аудиты — какими бы тщательными они ни были — не являются гарантиями. Все контракты были немедленно приостановлены после обнаружения, но деньги были утрачены.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: манипуляция оракулами как постоянная слабость DeFi
В апреле 2025 года KiloEx потерял примерно от 7 до 7,5 млн долларов в сетях Base, opBNB и BNB Smart Chain после того, как злоумышленник использовал уязвимость контроля доступа в контракте MinimalForwarder платформы. Из‑за уязвимости любой мог вызывать функции установки цен.
Атакующий манипулировал оракулом, чтобы тот показывал абсурдно низкую цену ETH — 100 долларов — при открытии маржинальных позиций, а затем закрывал их по 10 000 долларов.
KiloEx предложил 10‑процентное white-hat‑баунти в размере 750 000 долларов. Через четыре дня злоумышленник вернул все похищенные средства, и KiloEx объявил, что не будет инициировать судебное преследование.
Платформа возобновила работу после 10‑дневной паузы и опубликовала план компенсаций для пользователей, чьи сделки оставались открытыми во время простоя.
Это самый наглядный кейс для объяснения риска оракулов. Неверные ценовые данные могут позволить злоумышленникам открывать и закрывать позиции по ложным значениям. Многие эксплойты, подаваемые как «сложные», по‑прежнему строятся на старых примитивах — плохих ценовых фидах, предсказуемых предположениях, слабой валидации. Манипуляция оракулами остается одной из самых устойчивых слабостей DeFi.
Also Read: Gold's Worst Week Since 1983
Что показывает этот паттерн
10 описанных выше кейсов различаются по механизму, масштабу и мотивации. Но у них общий структурный паттерн.
Наиболее финансово разрушительные инциденты — Bybit и Resolv — вообще не были вызваны ончейн-багами. Это были сбои на уровне инфраструктуры: взломанная машина разработчика в одном случае и один-единственный незащищённый минтинг-ключ, хранившийся в облачной инфраструктуре, в другом. Ущерб в обоих случаях стал катастрофическим именно потому, что существовали централизованные точки доверия там, где пользователи считали, что их нет.
Эксплойты на уровне протокола, такие как Cetus и GMX, действительно были связаны с багами в коде, но масштаб последствий определялся уже реакцией управления — могли ли валидаторы заморозить средства, удалось ли договориться о баунти и вмешались ли участники экосистемы с экстренным финансированием.
Nobitex не был эксплойтом протокола в каком‑либо осмысленном смысле; это был акт геополитического саботажа.
Общая картина не обнадёживает. Меньшее количество инцидентов не означает меньший ущерб. Средняя тяжесть растёт. Одна только Северная Корея приходилась более чем на 2 млрд долларов краж в 2025 году, что на 51% больше год к году.
Критически важный для крипто периметр безопасности сместился с ончейн‑логики на оффчейн‑инфраструктуру, управление ключами и операционную безопасность людей.
Для розничных пользователей, инвесторов в токены и команд протоколов данные указывают на один и тот же вывод. Вопрос больше не в том, прошёл ли смарт‑контракт протокола аудит. Вопрос в том, где сконцентрировано доверие — и что произойдёт, когда оно сломается.
Читайте далее: Bitcoin Mining Difficulty Falls 7.76%