بالاترین هک‌های کریپتو در سال ۲۰۲۵: حوادثی که نقاط ضعف صنعت را آشکار کردند

سال ۲۰۲۵ سال بزرگی برای صنعت ارز دیجیتال بود، اما با نگاهی به تصویر بزرگ‌تر، مانند یک شمشیر دو لبه عمل کرد.

از یک طرف، صنعت از نظر پذیرش نهادی بالغ شد و تعداد رکوردی از ادغام‌ها و اکتساب‌ها را به ثبت رساند.

۲۶۷ معامله به ارزش کل ۸.۶ میلیارد دلار انجام شد که سال سودآوری را برای کسانی که در طرف درست معامله قرار داشتند، رقم زد. 

از طرف دیگر، زیان‌های ناشی از هک‌ها و سوءاستفاده‌ها به بالاترین حد رکورد رسید و نشان داد که این فضا در جبهه امنیتی چقدر راه دارد.

داده‌های شرکت‌های امنیتی مانند SlowMist و CertiK گزارش دادند که تعداد حوادث امنیتی به صورت سال به سال ۵۰٪ کاهش یافت و از بیش از ۴۰۰ مورد در سال ۲۰۲۴ به تقریباً ۲۰۰ مورد در سال ۲۰۲۵ رسید. 

اما میزان زیان‌های مالی داستان متفاوتی را روایت می‌کند. کل وجوه سرقت شده در مقایسه با سال قبل ۵۵٪ افزایش یافت و به بیش از ۳.۴ میلیارد دلار رسید.

در حالی که بهداشت امنیتی پایه، مانند حسابرسی قرارداد هوشمند معمول و تشخیص خودکار باگ، با موفقیت اهداف آسان را که هکرهای آماتور هدف قرار می‌دادند، از بین می‌برد، ماهیت حملات به طور اساسی تغییر کرده است.

مهاجمان مدرن دیگر برای آسیب‌پذیری‌های کوچک پروتکل تور گسترده‌ای را پهن نمی‌کنند.

در عوض، گروه‌های حرفه‌ای، به ویژه گروه Lazarus کره شمالی، ماه‌ها را صرف شناسایی و نفوذ به زیرساخت می‌کنند تا حملات یکباره و فاجعه‌باری را اجرا کنند.

این صنعت اکنون با بحران کیفیت بر کمیت روبرو است، جایی که حملات کمتری رخ می‌دهد، اما حملاتی که اتفاق می‌افتند، بسیار مخرب‌تر هستند.

با شروع سال ۲۰۲۶، نگاهی به چهار مورد از بزرگ‌ترین حوادث امنیتی سال ۲۰۲۵ می‌اندازیم که بسیاری از نقاط ضعف این صنعت را آشکار کرد.

صرافی Bybit: ۱.۵ میلیارد دلار

بزرگ‌ترین حادثه سال در صرافی ارز دیجیتال Bybit مستقر در دبی رخ داد که به بزرگ‌ترین سرقت تایید شده مرتبط با گروه Lazarus تحت حمایت دولت کره شمالی تبدیل شد.

مهاجمان ماه‌ها صرف ایجاد اعتماد با یک توسعه‌دهنده در Safe{Wallet}، یکی از ارائه‌دهندگان پیشرو زیرساخت چند امضایی، کردند، قبل از اینکه موفق به معرفی یک پروژه مخرب Docker شوند که به آرامی یک درب پشتی پایدار ایجاد کرد.

پس از ورود به سیستم، مهاجمان جاوا اسکریپت مخربی را به کد frontend رابط کیف پول Safe که توسط تیم امضای داخلی Bybit استفاده می‌شد، تزریق کردند.

وقتی مدیران Bybit وارد سیستم شدند تا آنچه را که به نظر تراکنش‌های داخلی معمول می‌رسید امضا کنند، رابط کاربری آدرس‌های کیف پول و مبالغ صحیح را نمایش داد.

با این حال، در سطح کد، آدرس مقصد به طور خاموش با کیف پول‌های تحت کنترل مهاجمان تعویض شد.

تقریباً ۱.۴۶ میلیارد تا ۱.۵ میلیارد دلار ETH تخلیه شد و تعداد زیادی از کاربران را تحت تأثیر قرار داد که در معرض یکی از شدیدترین شکست‌های امنیتی که این صنعت دیده قرار گرفتند.

این حادثه یک نقطه ضعف حیاتی صنعت را در مورد اعتماد به رابط کاربری آشکار کرد و تأکید کرد که کیف پول سخت‌افزاری و آستانه‌های چند امضایی محافظت کمی ارائه می‌دهند اگر لایه نرم‌افزاری که جزئیات تراکنش را ارائه می‌دهد، به خطر افتاده باشد.

نهنگ Bitcoin اولیه: ۳۳۰ میلیون دلار

در آوریل، یک نهنگ Bitcoin دوران ساتوشی که سکه‌های خود را بیش از یک دهه دست نخورده نگه داشته بود، قربانی یک حمله ویرانگر مهندسی اجتماعی شد که منجر به از دست دادن ۳,۵۲۰ BTC به ارزش تقریباً ۳۳۰.۷ میلیون دلار در آن زمان شد.

این حادثه به عنوان بزرگ‌ترین سرقت فردی در تاریخ این صنعت در تاریخ حک شد، همانطور که توسط کارآگاه زنجیره‌ای ZachXBT تشریح شد.

برخلاف حملاتی که کد را هدف قرار می‌دهند، این حمله از دیپ‌فیک‌های مبتنی بر AI Agent و شبیه‌سازی صدا برای دور زدن دفاع‌های روانی قربانی در طول چند ماه استفاده کرد.

مرتکبان، که مشکوک به یک سندیکای سازمان‌یافته هستند که از یک مرکز تماس پیچیده در کمدن، انگلستان عمل می‌کنند و از نام‌های مستعار مانند "نینا" و "مو" استفاده می‌کنند، با جعل هویت مشاوران قانونی و فنی مورد اعتماد، احساس امنیت کاذبی را با قربانی مسن ایجاد کردند.

در نهایت، مهاجمان قربانی را به یک پورتال جعلی "تایید امنیتی" هدایت کردند که سایت پشتیبانی رسمی یک ارائه‌دهنده معروف کیف پول را تقلید می‌کرد، جایی که قربانی تحت عنوان "ارتقای حساب" دستکاری شد تا اعتبارنامه‌های خصوصی خود را وارد کند یا یک تراکنش خاص را در دستگاه سخت‌افزاری خود امضا کند. وجوه فوراً منتقل شدند.

وجوه به سرعت از طریق "زنجیره‌های پوسته‌برداری" پول‌شویی شدند و به کوین حفظ حریم خصوصی Monero (XMR) تبدیل شدند، که باعث افزایش ۵۰٪ قیمت Monero به دلیل تقاضای ناگهانی و عظیم شد.

این حادثه در نهایت آسیب‌پذیری شدید افراد دارای ارزش خالص بالا را که فاقد خدمات نگهداری درجه نهادی هستند، آشکار کرد و نشان داد که هیچ مقدار رمزگشایی نمی‌تواند از دارایی‌ها محافظت کند اگر لایه انسانی به طور مؤثر دستکاری شود.

سوءاستفاده از پروتکل Cetus: ۲۲۳ میلیون دلار

پروتکل Cetus، که بزرگ‌ترین صرافی غیر متمرکز در شبکه Sui است، در ماه مه به دلیل نقص فنی در منطق قرارداد هوشمند خود مورد سوءاستفاده قرار گرفت.

سوءاستفاده‌کننده یک نقص حسابی حیاتی را در یک کتابخانه ریاضی متن‌باز مشترک که برای محاسبات نقدینگی استفاده می‌شد، شناسایی کرد که به آن‌ها اجازه داد تقریباً ۲۲۳ میلیون دلار دارایی نقدینگی را تخلیه کنند.

به طور خاص، این تابع برای مقیاس‌بندی ایمن اعداد نقطه ثابت با جابجایی آن‌ها به سمت چپ به اندازه ۶۴ بیت طراحی شده بود.

با این حال، حاوی یک خطای منطقی در بررسی سرریز خود بود. مقایسه از ماسکی استفاده کرد که بسیار بزرگ بود، که اجازه جابجایی‌های بیتی را می‌داد که باید رد می‌شدند.

با استفاده از وام فلش برای ایجاد یک موقعیت تامین کننده نقدینگی با محدوده تیک بسیار باریک، مهاجم یک سرریز حسابی را راه‌اندازی کرد، دقیق‌تر بگوییم یک قطع بیتی، که باعث شد قرارداد یک سپرده مورد نیاز فقط ۱ واحد توکن را محاسبه کند در حالی که همچنان به مهاجم نقدینگی عظیمی اعتبار می‌داد.

سپس مهاجم به سادگی نقدینگی را حذف کرد و ذخایر واقعی استخر را بر اساس حسابداری تورمی جعلی ادعا کرد.

در حالی که اعتبارسنجان Sui موفق شدند یک مسدودسازی اضطراری بر روی ۱۶۲ میلیون دلار از دارایی‌ها قبل از اینکه بتوانند پل شوند، هماهنگ کنند، زیان خالص هنوز یکی از بزرگ‌ترین‌ها در سال ۲۰۲۵ باقی ماند.

این امر به اکوسیستم امور مالی غیر متمرکز با نام اختصاری دیفای ثابت کرد که زبان‌های مدرن امنیت‌محور مانند Move ذاتاً مصون از باگ‌های ریاضی نیستند و تأکید کرد که دقت ریاضی یک الزام غیرقابل مذاکره در طراحی پروتکل باقی می‌ماند.

Balancer V2: ۱۲۸ میلیون دلار

Balancer در نوامبر از یک سوءاستفاده پیچیده مهندسی اقتصادی در چندین زنجیره (اتریوم، Arbitrum و Base) رنج برد، زیرا یک مهاجم موفق شد یک اختلاف کوچک در نحوه مدیریت گرد کردن دقت توسط پروتکل در طول مبادلات داخلی را به سلاح تبدیل کند.

استخرهای پایدار قابل ترکیب Balancer از جهات مختلف گرد کردن برای افزایش و کاهش مقادیر توکن استفاده کردند تا از تغییرناپذیر پروتکل محافظت کنند، که به عنوان لنگر ریاضی برای الگوریتم StableSwap عمل می‌کند و اطمینان می‌دهد که استخر در طول مبادلات دارایی ارزش کل ثابت و تعادل را حفظ می‌کند.

مهاجم کشف کرد که با فشار دادن موجودی استخر به یک محدوده خاص ۸ تا ۹ Wei، می‌توانند باعث شوند تقسیم عدد صحیح تا ۱۰٪ از ارزش را از طریق خطاهای گرد کردن به سمت پایین کاهش دهد.

متعاقباً، با استفاده از یک قرارداد خودکار، مهاجم یک تراکنش واحد حاوی بیش از ۶۵ مبادله خرد را آغاز کرد.

هر مبادله به طور مکرر چند Wei از ارزش را تراشید، و از دست دادن دقت را تا زمانی که حسابداری داخلی استخر کاملاً تحریف شد، ترکیب کرد.

در نتیجه، آن‌ها توانستند از از دست دادن دقت ترکیبی استفاده کنند تا زمانی که حسابداری داخلی استخر کاملاً تحریف شد، پس از آن توانستند توکن‌های LP را با قیمت سرکوب شده ضرب کنند و آن‌ها را فوراً برای ارزش کامل خود بازخرید کنند و میلیون‌ها را بدون راه‌اندازی هیچ یک از بررسی‌های ایمنی پروتکل استخراج کنند.

پست هک‌های برتر ارز دیجیتال سال ۲۰۲۵: حوادثی که نقاط ضعف صنعت را آشکار کردند، ابتدا در Invezz ظاهر شد