Криптохаки у 2025 році та на початку 2026‑го перевищили усі попередні річні рекорди за обсягом збитків у доларах: втрати сягнули близько 3,4 млрд доларів на тлі ландшафту багів у смартконтрактах, компрометацій ланцюгів постачання, маніпуляцій оракулами, викрадень ключів і політично вмотивованого саботажу, які разом оголили, що концентровані точки довіри — не лише поганий код — залишаються найнебезпечнішою вразливістю індустрії.
Стан криптохаків у 2025–2026 роках
Цифри складно заперечити, хоча вони відрізняються залежно від методології.
Chainalysis оцінює, що загальний обсяг криптокрадіжок у 2025 році досяг 3,4 млрд доларів, зробивши його найгіршим роком в історії. TRM Labs і TechCrunch окремо повідомляють про 2,7 млрд доларів. CertiK опублікувала підсумок за перше півріччя 2025 року: 2,47 млрд доларів втрат у 344 інцидентах, що вже перевищило показник за весь 2024 рік — 1,98 млрд доларів чистих збитків.
Для контексту, TRM Labs підрахували, що за весь 2024 рік було вкрадено 2,2 млрд доларів. Тобто лише перші шість місяців 2025‑го перевищили весь попередній рік.
Вирізняє цей період не кількість інцидентів, а їхня концентрація.
Immunefi повідомила, що перший квартал 2025 року став найгіршим кварталом за всю історію криптохаків: 1,64 млрд доларів втрат лише у 40 подіях — зростання у 4,7 раза порівняно з Q1 2024‑го. Два інциденти — Bybit і Cetus — разом дали близько 1,78 млрд доларів, або 72 відсотки від підсумку CertiK за перше півріччя.
Категорії атак майже не змінилися. Все ще присутні експлойти смартконтрактів, маніпуляції оракулами, компрометація приватних ключів, операційні збої бірж і кібератаки, спонсоровані державами. Змінився масштаб. Середній розмір зламу в першому півріччі 2025 року подвоївся порівняно з аналогічним періодом роком раніше, а збитки стали сильно сконцентрованими в кількох катастрофічних подіях.
Спільна нитка, що пов’язує найгірші кейси нижче, — це не складність. Це довіра, сконцентрована в одному ключі, одному вендорі, одній структурі управління або одному майданчику ліквідності.
Також читайте: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: як незабезпечений мінт перетворив стейблкоїн на кризу балансу
22 березня 2026 року зловмисник скомпрометував привілейований приватний ключ, збережений у AWS Key Management Service проєкту Resolv, а потім використав його для авторизації двох величезно завищених операцій карбування стейблкоїна протоколу — USR.
Перша операція створила 50 млн USR під заставу близько 100 000 доларів у USDC (USDC). Друга додатково накарбувала ще 30 млн.
Загалом в обіг надійшло приблизно 80 млн незабезпечених токенів. Мінтинг‑ключем був один зовнішній акаунт — не мульти‑сиг, а контракт не мав жорстких лімітів на карбування, перевірок оракулів чи валідації сум.
Зловмисник конвертував накарбуваний USR через wstUSR і стейблкоїни в приблизно 11 400 Ether (ETH) вартістю близько 24–25 млн доларів. Ціна USR обвалилася до 0,025 долара на Curve Finance менш ніж за 17 хвилин — падіння на 97,5 відсотка.
Особливо руйнівними експлойти стейблкоїнів робить те, що вони миттєво показують, чи є забезпечення реальним чи крихким.
Початковий пул забезпечення протоколу обсягом близько 95 млн доларів технічно залишився неушкодженим, але з появою в обігу 80 млн нових незабезпечених токенів у Resolv лишилося приблизно 95 млн доларів активів проти близько 173 млн доларів зобов’язань. DeFi‑протоколи Aave, Morpho, Euler, Venus та Fluid вжили запобіжних заходів, щоб ізолювати свою експозицію.
Ланцюгова реакція — експлойт, вимушений продаж, депег, розрив між активами та зобов’язаннями, паніка — розігралася менш ніж за добу.
Також читайте: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: мега‑злам на 1,5 млрд доларів, що визначив рік
Жодна подія в історії криптокрадіжок за сумою збитків не зрівняється з тим, що сталося з біржею Bybit 21 лютого 2025 року.
Ончейн‑дослідник ZachXBT першим помітив підозрілі виведення понад 1,46 млрд доларів з холодного гаманця біржі в мережі Ethereum (ETH). ФБР пізніше приписало цю крадіжку північнокорейському кластеру TraderTraitor, який є частиною Lazarus Group, і оцінило збитки приблизно в 1,5 млрд доларів.
Було викрадено близько 401 347 ETH. Це перевищило сумарні обсяги хаків Ronin Network і Poly Network — двох попередніх найбільших зламів в історії криптоіндустрії.
Причиною став не збій власного коду Bybit. Судячи з форензики, Sygnia та Verichains відстежили першоджерело до компрометації ланцюга постачання Safe{Wallet}, сторонньої мульти‑сиг платформи. Атакувальники зламали робочу станцію розробника Safe на macOS ще 4 лютого, викрали AWS‑токени сесій і 19 лютого впровадили шкідливий JavaScript в інтерфейс Safe.
Код активувався лише тоді, коли саме холодний гаманець Bybit в Ethereum ініціював транзакцію. Троє з шести підписантів мульти‑сигу схвалили операцію, не помітивши маніпуляції.
CEO Bybit Бен Чжоу підтвердив, що біржа залишилася платоспроможною, маючи довзламові резерви понад 16 млрд доларів. Протягом 72 годин Bybit відновила резерви ETH за рахунок екстрених позик від Galaxy Digital, FalconX, Wintermute та Bitget. Але вже до 20 березня близько 86 відсотків викраденого ETH було конвертовано в Bitcoin (BTC) через майже 7 000 гаманців.
Висновок простий. Один майданчик, один злам, одна подія — і річний профіль втрат індустрії змінюється повністю. Деякі з найгірших провалів у крипто відбуваються там, де користувачі вважають, що масштаб дорівнює безпеці.
Також читайте: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus у Sui: як експлойт на 223 млн доларів заморозив флагманську DEX
У травні 2025 року Cetus, найбільша децентралізована біржа в мережі Sui (SUI), стала жертвою експлойту, який вивів із її пулів ліквідності близько 223 млн доларів. Кореневою причиною була помилка переповнення цілого числа в бібліотеці математичних функцій для концентрованої ліквідності протоколу.
Одна функція порівнювала значення з порогом, зміщеним на один біт, що дозволило атакувальнику внести один токен і натомість отримати позиції ліквідності на мільйони.
Валідатори Sui вжили надзвичайного заходу, заморозивши на ланцюгу приблизно 162 млн доларів викрадених коштів — крок, затверджений голосуванням управління з підтримкою 90,9 відсотка. Приблизно 60 млн доларів уже було перекинуто в мережу Ethereum до моменту заморозки.
Cetus відновила роботу після 17‑денної зупинки, поповнивши пули за рахунок повернутих коштів, 7 млн доларів із власних резервів і позики в 30 млн USDC від Sui Foundation.
Коли ламається флагманський майданчик ліквідності, страждає репутація всієї мережі. Ціни токенів, імідж ланцюга, довіра користувачів і потреба в екстреному втручанні інших учасників екосистеми — зона ураження значно виходить за межі самого протоколу.
Також читайте: Brazil Freezes Crypto Tax Rules
GMX: чому топовий перпетуал‑майданчик усе ж втратив понад 42 млн доларів
У липні 2025 року GMX став жертвою експлойту на понад 42 млн доларів через міжконтрактну вразливість повторного входу (reentrancy) у його версії V1 на Arbitrum. Функція, відповідальна за виконання ордерів на зменшення позицій, приймала як параметр адресу смартконтракту, а не вимагала стандартний гаманець.
Під час кроку повернення ETH виконання передавалося в шкідливий контракт атакувальника, що дозволило провести reentrancy й маніпулювати внутрішніми ціновими даними приблизно до 57 разів нижче за реальну ринкову ціну.
GMX запропонував винагороду white‑hat у 10 відсотків, близько 5 млн доларів, зі строком у 48 годин… загроза судового переслідування. Зловмисник повернув приблизно від 37,5 млн до 40,5 млн доларів траншами, залишивши собі «баунті». Згодом GMX завершила компенсаційну програму на 44 млн доларів для постраждалих власників GLP.
Той факт, що кошти були повернуті, не означає, що система спрацювала. Подача інциденту як «вайт-хет» акції, пропозиції винагород і часткове відшкодування можуть пом’якшити ринкову реакцію, не усуваючи при цьому базову проблему безпеки.
Уразливість була іронічно внесена під час виправлення попереднього бага у 2022 році. GMX V2 не постраждав.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: коли криптовалютний злам перетворюється на геополітичну війну
У червні 2025 року найбільша криптовалютна біржа Ірану Nobitex була зламана на приблизно 90 млн доларів у різних блокчейнах, зокрема Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) та TON (TON).
Про відповідальність заявила проізраїльська хакерська група Gonjeshke Darande, також відома як Predatory Sparrow, яка взяла на себе відповідальність.
Атака відбулася на тлі активних воєнних дій між Ізраїлем та Іраном.
Це не було фінансово вмотивоване викрадення. Викрадені кошти були спрямовані на «ваніті»-адреси-спалювачі з анти-IRGC повідомленнями та без відновлюваних приватних ключів — фактично спаливши 90 млн доларів як політичну заяву.
Наступного дня зловмисники публічно виклали увесь вихідний код Nobitex, документацію інфраструктури й внутрішні напрацювання з конфіденційності.
Деякі криптозлами взагалі не є атаками заради прибутку. Це саботаж, сигнал або кібервійна. Це відрізняє їх від експлойтів протоколів практично в усіх вимірах: мотивацією, методом, наслідками та неможливістю відновлення. Після інциденту Nobitex повідомила про часткове відновлення роботи, але обсяг вхідних транзакцій у липні на рік до року впав більш ніж на 70 відсотків.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: експлойт, який ударив по DeFi‑кредитуванню через прив’язані до GMX колдрони
25 березня 2025 року зловмисник вивів приблизно 6 260 ETH — на суму близько 13 млн доларів — із ринків кредитування Abracadabra Finance, відомих як колдрони (cauldrons). Цільові колдрони використовували токени пулів ліквідності GMX V2 як заставу, а експлойт базувався на флеш-кредиті та техніці самоліквідації, яка використала помилки відстеження стану в контрактах gmCauldron.
Викрадені кошти були перебриджені з Arbitrum в Ethereum. Серед перших фірм, що зафіксували інцидент, була PeckShield. GMX підтвердила, що її власні контракти не постраждали.
Abracadabra запропонувала баунті за баг у розмірі 20 відсотків. Це був уже другий серйозний злам протоколу; у січні 2024 року Abracadabra зазнала експлойту на 6,49 млн доларів, який уразив протокол.
Цей епізод ілюструє ризик композиційності. Протокол може виглядати безпечним сам по собі, але стати вразливим через інтеграції та залежності.
Для користувачів DeFi важливіше те, що «під капотом» — які типи застави приймає протокол, до яких зовнішніх контрактів звертається, — ніж бренд верхнього рівня, куди вони депонують кошти.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid та JELLY: драма ринкової структури й питання централізації
26 березня 2025 року зловмисник відкрив шорт-позицію обсягом 4,1 млн доларів у малоліквідному мемкоїні JELLY на Hyperliquid, паралельно із двома компенсуючими лонг-позиціями, а потім розігнав спотову ціну токена більш ніж на 400 відсотків.
Коли шорт було ліквідовано, автоматизований HLP-вольт Hyperliquid успадкував збиткову позицію, і нереалізовані втрати вольта досягли приблизно 13,5 млн доларів.
Валідатори Hyperliquid потім примусово закрили усі позиції в JELLY, розрахувавшись за початковою шорт-ціною зловмисника — 0,0095 долара, а не 0,50 долара, які показували зовнішні оракули.
Маневр було виконано менш ніж за дві хвилини й показав, що протокол покладається лише на чотири валідатори на сет.
Скандал тут не тільки в самих втратах.
CEO Bitget Ґрейсі Чен публічно назвала Hyperliquid «FTX 2.0». Загальна заблокована вартість протоколу впала з 540 млн до 150 млн доларів протягом наступного місяця, а токен HYPE просів на 20 відсотків. Згодом Hyperliquid оновив механізм до ончейн-голосування валідаторів щодо рішень про делістинг активів.
Що відбувається, коли децентралізований майданчик у кризі діє централізовано? Це питання корисне для будь-якої дослідницької аудиторії, навіть коли розмір збитків менший, ніж у найбільших зламів. Інцидент оголив розлом у сфері довіри.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: ризик безкінечної емісії й чому низька ліквідність може приховувати більший баг
У червні 2025 року Meta Pool постраждав від експлойту смарт-контракту, який дозволив зловмиснику накарбувати 9 705 mpETH — на суму близько 27 млн доларів — без внесення будь-якої ETH-застави.
Уразливість містилася у функції mint стандарту ERC-4626. Зловмисник обійшов звичайний період «охолодження» через функціонал швидкого анстейку протоколу.
Однак фактична втрата склала лише близько 132 000 доларів. Тонка ліквідність у відповідних пулах обміну Uniswap означала, що зловмисник зміг вилучити тільки 52,5 ETH.
MEV-бот фронт-ранів частину атаки, вилучивши приблизно 90 ETH ліквідності, які потім були повернуті протоколу. 913 ETH, спочатку застейкані користувачами, залишилися в безпеці в операторів SSV Network.
Іноді баг набагато серйозніший за фактичні збитки. Шлях експлойту в цьому випадку передбачав катастрофічний теоретичний збиток, але слабка ліквідність обмежила масштаб вилучення. Ця відмінність важлива для тих, хто оцінює ризики DeFi, і надає цьому кейсу більшої аналітичної глибини, ніж проста класифікація за розміром втрат у доларах.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: підтримка від a16z — і все одно експлойт
28 травня 2025 року Cork Protocol було експлуатовано приблизно на 12 млн доларів. Зловмисник вилучив 3 761 wstETH, скориставшись вадами в логіці beforeSwap хука Cork і відсутністю контролю доступу.
Кореневою причиною була відсутність валідації вхідних даних у поєднанні з бездозвільним створенням ринків без запобіжників, що дозволило зловмиснику створити фейковий ринок, використовуючи легітимний DS-токен як актив викупу.
Cork у вересні 2024 року отримав інвестиції від a16z crypto та OrangeDAO.
Висновок простий. Інституційні інвестори, топовий венчурний капітал і відполірований бренд не усувають технічні ризики. Читачам не слід плутати якість раундів фінансування з безпекою протоколу, а аудити — якими б ґрунтовними вони не були — не є гарантією. Усі контракти були негайно призупинені після виявлення, але гроші вже були втрачені.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: маніпуляція оракулом як повторювана слабкість DeFi
У квітні 2025 року KiloEx втратив приблизно від 7 до 7,5 млн доларів у мережах Base, opBNB та BNB Smart Chain після того, як зловмисник експлуатував уразливість контролю доступу в контракті MinimalForwarder платформи. Недолік дозволяв будь-кому викликати функції встановлення ціни.
Зловмисник змусив оракул повідомляти абсурдно низьку ціну ETH — 100 доларів — під час відкриття кредитних позицій із плечем, а потім закрив їх за ціною 10 000 доларів.
KiloEx запропонував «вайт-хет» баунті в розмірі 10 відсотків — 750 000 доларів. За чотири дні зловмисник повернув усі викрадені кошти, і KiloEx оголосив, що не порушуватиме проти нього справу.
Платформа відновила роботу після 10-денної паузи й опублікувала план компенсацій для користувачів, чиї угоди залишалися відкритими під час збою.
Це найчистіший приклад для пояснення ризику оракулів. Некоректні цінові дані можуть дозволити зловмисникам відкривати й закривати позиції за фіктивними значеннями. Багато експлойтів, які подають як складні, усе ще ґрунтуються на старих примітивах — хибних цінових фідах, передбачуваних припущеннях, слабкій валідації. Маніпуляція оракулом залишається однією з найстійкіших слабкостей DeFi.
Also Read: Gold's WorstWeek Since 1983
Що показує ця модель
10 наведених вище випадків різняться за механізмом, масштабом і мотивами. Але вони мають спільну структурну модель.
Найбільш фінансово руйнівні інциденти — Bybit та Resolv — взагалі не були спричинені on-chain багами. Це були збої на рівні інфраструктури: у одному випадку скомпрометована машина розробника, в іншому — єдиний, належним чином не захищений ключ карбування, збережений у хмарній інфраструктурі. Збитки в обох випадках стали катастрофічними саме тому, що існували централізовані точки довіри там, де користувачі припускали, що їх немає.
Експлойти на рівні протоколу, як-от Cetus і GMX, дійсно були пов’язані з помилками в коді, але масштаб наслідків визначався реакцією управління — чи могли валідатори заморозити кошти, чи були успішними переговори щодо баунті, і чи втрутилися учасники екосистеми з екстреним фінансуванням.
Nobitex не був експлойтом протоколу в жодному суттєвому сенсі; це був акт геополітичної диверсії.
Загальна картина невтішна. Менша кількість інцидентів не означає менших збитків. Середня тяжкість зростає. Лише Північна Корея accounted більш ніж за $2 млрд крадіжок у 2025 році, що становить 51 відсоток зростання рік до року.
Найважливіший для крипто безпековий периметр змістився з on-chain логіки до off-chain інфраструктури, управління ключами та операційної безпеки людей.
Для роздрібних користувачів, інвесторів у токени й команд протоколів дані підказують один і той самий висновок. Питання більше не в тому, чи пройшли смартконтракти протоколу аудит. Питання в тому, де зосереджена довіра — і що станеться, коли вона дасть тріщину.
Читати далі: Bitcoin Mining Difficulty Falls 7.76%