Криптоіндустрія продовжує стикатися з безпрецедентною хвилею порушень безпеки в 2025 році, втративши понад $3,1 млрд в цифрових активах лише в першій половині року, згідно з новим звітом фірми Hacken, що займається безпекою блокчейну.
Втрати, які спричинені головним чином вразливостями контролю доступу, застарілими кодовими базами та зростаючою хвилею експлойтів на основі штучного інтелекту, вже перевищили річну загальну суму $2,85 млрд у 2024 році, що свідчить про кризу безпеки, що погіршується, оскільки Web3 приймається у глобальному масштабі.
Виявлення Hacken підкреслює постійні структурні слабкості в системах DeFi і CeFi, особливо в частині людської безпеки та процесів, які зараз випередили криптографічні недоліки як основний вектор атаки. Хоча основні інциденти, такі як хакання Bybit на $1,5 млрд у лютому, можуть бути статистичними винятками, звіт підкреслює, що більшість втрат спричинені запобіжними недоліками, часто пов'язаними із застарілим кодом, неправильно налаштованими дозволами чи незахищеними API.
Вразливості контролю доступу - які виникають, коли несанкціоновані учасники отримують контроль над привілейованими функціями через слабкі налаштування дозволів - становили приблизно 59% всіх вкрадених коштів у 2025 році, повідомляє Hacken. Це еквівалентно приблизно $1,83 млрд у втраченій вартості в десятках інцидентів.
Ця тенденція відображає 2024 рік, коли подібні слабкості контрольного рівня переважали в даних про експлойти. Однак, масштаб і складність атак зросли в 2025 році, з кількома широкомасштабними вторгненнями, що націлюються на спадкові смарт-контракти і застарілу логіку адміністрування в децентралізованих протоколах. “Проекти повинні дбати про свій старий чи спадковий код, якщо він не був повністю зупинений від роботи”, сказав Єгор Рудиця, Глава з питань криміналістики та реагування на інциденти в Hacken. “Багато протоколів все ще виставляють адміністративні функції з версій, які вважалися застарілими.”
Рудиця навів приклад GMX v1, де вразливості у спадковій архітектурі контракту активно використовувалися у третьому кварталі 2025 року - задовго після того, як протокол перейшов до нових ітерацій.
Платформи DeFi та CeFi продовжують страждати
Разом децентралізовані фінанси (DeFi) та централізовані фінанси (CeFi) зазнали понад $1,83 млрд втрат цього року через операційні та безпекові недоліки. Найзначнішою подією у другому кварталі була експлуатація протоколу Cetus, що призвела до втрати $223 млн лише за 15 хвилин, зробивши його найгіршим кварталом DeFi з початку 2023 року і закінчивши п’яти квартальний тренд зменшення обсягів хакерських атак.
За аналізом Hacken, атакуючий використав експлойт флеш-кредиту, який скористався некоректною перевіркою перевантаження в розрахунках басейну ліквідності. Відкривши серію мікро-позицій у 264 басейнах, атакуючий перегрузив систему і виснажив масивну ліквідність без виклику механізмів забезпечення.
“Якщо Cetus реалізував систему динамічного моніторингу TVL із порогами автозупинки, ми оцінюємо, що 90% вкрадених коштів можна було б зберегти”, написав Hacken у звіті.
Цей інцидент також змінив розподіл видів експлойтів у другому кварталі. У той час як невдачі контролю доступу знизилися до $14 млн - найнижчий рівень з другого кварталу 2024 року - помилки смарт-контрактів піднялися, вказуючи на те, що хоч недоліки дозволу залишаються домінуючими в довгостроковій перспективі, питання на рівні коду все ще є критичними ризиками.
ІІ та LLM створюють нові вектори атаки
Одним із найбільш тривожних відкриттів в звіті Hacken за 2025 рік є драматичне зростання інцидентів криптобезпеки, пов'язаних з ІІ. Експлойти, пов'язані з великими мовними моделями (LLM) та інфраструктурою Web3 зі вбудованою AI, зросли на вражаючі 1025% порівняно з 2023 роком, причому більшість атак націлені на незахищені API, що використовувалися для з'єднання з логікою на ланцюгу і поза нею.
Серед аналізованих інцидентів, пов'язаних з ІІ:
- 98.9% зломів, пов'язаних з ІІ, включали викриті або некоректно налаштовані API.
- П'ять нових загальних вразливостей і експлойтів (CVE), пов'язаних з LLM, були додані в 2025 році.
- 34% проектів Web3 тепер розгортають агентів ІІ у виробничих середовищах, що робить їх все більш привабливими цілями.
Ці атаки підкреслюють зростаючий збіг між вразливостями Web2 і інфраструктурою Web3, особливо у той час, як крипто-платформи поспішно інтегрують машинне навчання у торгові боти, DAO, системи підтримки клієнтів та автономних агентів.
“Традиційні рамки безпеки відстають”, написав Hacken, посилаючись на стандарти, такі як ISO/IEC 27001 і рамка кібербезпеки NIST, які ще не адаптовані до вирішення специфічних загроз ІІ, таких як ін'єкція підказок, галюцинація моделей і отруєння даних.
"Раг Пули" та шахрайства залишаються великою проблемою
Поза технічними експлойтами, криптопростір продовжує страждати від соціальних інженерних атак, шахрайських схем і так званих "раг пулів" - проектів, що зникають після залучення коштів інвесторів.
Хоча ці інциденти важче охарактеризувати в технічних термінах, Hacken оцінив, що нетехнічні втрати, включаючи шахрайства, привели до приблизно $750 млн додаткового відтоку капіталу від роздрібних та інституційних інвесторів у 2025 році.
Найбільший одиночний "раг пул" цього року стосувався агрегатора дохідності DeFi на ланцюгу BNB, де розробники вивели $62 млн коштів користувачів через маніпульовану логіку контракту, перш ніж видалити всі канали зв'язку проекту і піти офлайн.
Основні уроки та рекомендації
Звіт Hacken завершується рядом рекомендацій, спрямованих на допомогу проектам знизити їхню ризикованість у швидко мінливому середовищі загроз:
- Огляд застарілих кодових баз: Проекти мають перевіряти та відключати застаріли смарт-контракти, що утримують підвищені права або адміністративні функції. Hacken зазначив, що понад 20% експлуатованих протоколів цього року мали вразливі застарілі модулі, які все ще були активними.
- Динамічний контроль доступу: Жорсткі білі списки або тільки-адмін функції повинні бути замінені багатопідписними, часовими затримками і системами на основі ролей, які адаптуються до зміни рівнів загрози.
- Моніторинг у режимі реального часу та системи автозупинки: Реалізація телеметрії на ланцюгу та попередження про рух TVL в реальному часі, щоб завадити швидкому викачанню коштів під час атак флеш-кредиту.
- Контроль ризику ІІ: Проекти, що використовують LLM, повинні встановити санітарію входу, аудиторські журнали і обмежити доступ до чутливих функцій на ланцюгу. Відкритотекстові фреймворки агентів не повинні розгортатися без строгого білого списку API і валідації відповідей.
- Освітня робота з користувачами: Рівень безпеки на рівні гаманця залишається слабким. Просування використання апаратних гаманців, відключення "сліпого" підписування та реалізація симуляції транзакцій можутьзменшити компрометацію приватних ключів від фішингових кампаній.
Безпека більше не є опцією
Із зростанням прийняття криптовалют у основних фінансових системах та інституційній інфраструктурі, безпека перестає бути другорядним питанням - вона стає основою для довгострокової життєздатності Web3.
У міру того, як атакуючі переходять від технічних експлойтів до маніпуляцій на рівні процесів та експлуатації ІІ, потреба в проактивних, адаптивних и всеосяжних стандартах безпеки стає більш ніж коли-небудь актуальною.
Якщо поточна тенденція продовжиться, рік 2025 на курсі, щоб стати найдорожчим роком в історії криптобезпеки, і галузь повинна буде вирішувати свої найслабкіші ланки - від застарілих смарт-контрактів до незахищених інтеграцій машинного навчання.
“Криптовалюти вступають у нову еру, де людська помилка, поганий дизайн та експлуатація ІІ мають значення більше, ніж коли-небудь», завершив Рудиця. “Ті протоколи, які переживуть цю еру, будуть тими, хто ставиться до безпеки як до основного продукту, а не як до пост-фактум міркування”.