Главные криптовалютные взломы 2025 года: инциденты, которые выявили слабые места индустрии

2025 год стал важным для криптоиндустрии, но при рассмотрении общей картины он оказался палкой о двух концах.

С одной стороны, отрасль созрела с точки зрения институционального внедрения, с рекордным количеством слияний и поглощений.

Было заключено 267 сделок на общую сумму 8,6 млрд $, что сделало год прибыльным для тех, кто занял правильную позицию в торговле. 

С другой стороны, потери от взломов и эксплойтов достигли рекордного уровня, показав, как далеко еще нужно пройти отрасли на фронте безопасности аккаунта.

Данные от компаний по безопасности, таких как SlowMist и CertiK, показали, что количество инцидентов безопасности снизилось на 50% в годовом исчислении, с более чем 400 в 2024 году до примерно 200 в 2025 году. 

Но масштаб финансовых потерь рассказывает другую историю. Общая сумма украденных средств выросла на 55% по сравнению с предыдущим годом, поднявшись до более чем 3,4 млрд $.

В то время как базовая гигиена безопасности, такая как регулярный аудит смарт-контракта и автоматическое обнаружение ошибок, успешно устраняет легкие цели, на которые нацеливались хакеры-любители, характер атак принципиально изменился.

Современные атакующие больше не забрасывают широкую сеть в поисках небольших уязвимостей протокола.

Вместо этого профессиональные группы, в первую очередь северокорейская группа Lazarus, тратят месяцы на разведку и проникновение в инфраструктуру для проведения единичных катастрофических ударов.

Отрасль сейчас сталкивается с кризисом качества над количеством, когда происходит меньше атак, но те, которые случаются, наносят гораздо больший ущерб.

С началом 2026 года предлагаем взглянуть на четыре крупнейших инцидента безопасности 2025 года, которые выявили многие слабые места отрасли.

Биржа Bybit: 1,5 млрд $

Крупнейший инцидент года произошел на базирующейся в Дубае криптобирже Bybit, которая стала крупнейшей подтвержденной кражей, когда-либо связанной с поддерживаемой Северной Кореей группой Lazarus.

Атакующие потратили месяцы на установление доверия с разработчиком Safe{Wallet}, ведущего провайдера инфраструктуры мультиподписи, прежде чем им удалось внедрить вредоносный проект Docker, который тихо установил постоянную лазейку.

Оказавшись внутри, атакующие внедрили вредоносный JavaScript в фронтенд-код интерфейса кошелька Safe, используемого внутренней командой подписания Bybit.

Когда руководители Bybit входили в систему для подписи того, что казалось рутинными внутренними транзакциями, пользовательский интерфейс отображал правильные адреса кошельков и суммы.

Однако на уровне кода адрес назначения тихо подменялся на кошельки, контролируемые атакующими.

Было выведено приблизительно от 1,46 млрд $ до 1,5 млрд $ в ETH, что затронуло большое количество пользователей, которые оказались подвержены одному из самых серьезных провалов безопасности, которые видела отрасль.

Инцидент выявил критическую слабую точку отрасли в области доверия к пользовательскому интерфейсу, подтвердив, что аппаратные кошельки и пороги мультиподписи предлагают мало защиты, если программный уровень, представляющий детали транзакции, был скомпрометирован.

OG Bitcoin-кит: 330 млн $

Еще в апреле Bitcoin-кит эры Сатоши, который держал свои монеты нетронутыми более десяти лет, стал жертвой разрушительной атаки социальной инженерии, которая привела к потере 3 520 BTC стоимостью приблизительно 330,7 млн $ на тот момент.

Инцидент вошел в историю как крупнейшая индивидуальная кража в истории отрасли, как это было сформулировано ончейн-детективом ZachXBT.

В отличие от атак, нацеленных на код, эта использовала дипфейки на базе ИИ-агента и клонирование голоса для обхода психологической защиты жертвы в течение нескольких месяцев.

Злоумышленники, предположительно организованный синдикат, работающий из изощренного колл-центра в Камдене, Великобритания, использующие псевдонимы типа "Нина" и "Мо", создали ложное чувство безопасности у пожилой жертвы, выдавая себя за доверенных юридических и технических консультантов.

В конце концов атакующие направили жертву на фальшивый портал "проверки безопасности", имитирующий официальный сайт поддержки известного провайдера кошельков, где жертву заставили ввести свои приватные учетные данные или подписать конкретную транзакцию на своем аппаратном устройстве под видом "обновления аккаунта". Средства были мгновенно переведены.

Средства были быстро отмыты через "цепочки отслаивания" и конвертированы в монету конфиденциальности Monero (XMR), что вызвало 50% скачок цены Monero из-за внезапного массового спроса.

Инцидент в конечном итоге выявил крайнюю уязвимость состоятельных лиц, у которых нет услуг хранения институционального уровня, показав, что никакое количество шифрования не может защитить активы, если человеческий фактор эффективно манипулируется.

Эксплойт протокола Cetus: 223 млн $

Протокол Cetus, который является крупнейшей децентрализованной биржей в сети Sui, подвергся эксплойту в мае из-за технического сбоя в логике смарт-контракта.

Эксплуататор обнаружил критическую арифметическую ошибку в общей математической библиотеке с открытым исходным кодом, используемой для расчетов ликвидности, что позволило вывести примерно 223 млн $ ликвидных активов.

В частности, функция была разработана для безопасного масштабирования чисел с фиксированной точкой путем их побитового сдвига влево на 64 бита.

Однако она содержала логическую ошибку в проверке переполнения. Сравнение использовало маску, которая была слишком большой, что разрешило побитовые сдвиги, которые должны были быть отклонены.

Используя флеш-кредит для создания позиции провайдера ликвидности с чрезвычайно узким диапазоном тиков, атакующий вызвал арифметическое переполнение, точнее побитовое усечение, что привело к тому, что контракт рассчитал требуемый депозит всего в 1 единицу токена, при этом все еще кредитуя атакующего массивной ликвидностью.

Затем атакующий просто изъял ликвидность, забрав реальные резервы пула на основе ложно завышенного учета.

Хотя валидаторы Sui сумели скоординировать экстренную заморозку 162 млн $ активов до того, как они могли быть переведены через мост, чистая потеря все равно осталась одной из крупнейших в 2025 году.

Это доказало экосистеме децентрализованных финансов, что современные языки, ориентированные на безопасность, такие как Move, не являются по своей сути иммунными к математическим ошибкам, и подтвердило, что математическая строгость остается обязательным требованием в дизайне протокола.

Balancer V2: 128 млн $

Balancer пострадал от изощренного эксплойта экономической инженерии в нескольких сетях (Ethereum, Arbitrum и Base) в ноябре, когда атакующий сумел использовать крошечное расхождение в том, как протокол обрабатывал округление точности во время внутренних свопов.

Компонуемые стабильные пулы Balancer использовали разные направления округления для увеличения и уменьшения масштаба сумм токенов для защиты инварианта протокола, который служит математическим якорем для алгоритма StableSwap, обеспечивая поддержание пулом постоянной общей стоимости и равновесия во время обмена активами.

Атакующий обнаружил, что, доводя балансы пула до определенного диапазона от 8 до 9 Wei, они могли заставить целочисленное деление потерять до 10% стоимости через ошибки округления вниз.

Впоследствии, используя автоматизированный контракт, атакующий инициировал одну транзакцию, содержащую более 65 микро-свопов.

Каждый своп неоднократно срезал несколько Wei стоимости, усугубляя потерю точности, пока внутренний учет пула не был полностью искажен.

В результате они смогли воспользоваться накопленной потерей точности, пока внутренний учет пула не был полностью искажен, после чего они могли минтить LP-токены по заниженной цене и мгновенно выкупить их по полной стоимости, извлекая миллионы без срабатывания каких-либо проверок безопасности протокола.

Пост Основные криптовзломы 2025 года: инциденты, выявившие слабые места отрасли впервые появился на Invezz