2025 рік: Щорічний звіт з безпеки Web3 — атаки на ланцюги постачання стають найбільшою загрозою

Автор: Beosin

Вступ

Цей дослідницький звіт ініційовано Альянсом безпеки блокчейну та створено спільно членами альянсу Beosin і Footprint Analytics з метою всебічного аналізу глобальної ситуації безпеки у сфері блокчейну до 2025 року. За допомогою аналізу та оцінки сучасного стану безпеки у глобальному масштабі, у звіті розкриваються актуальні виклики та загрози безпеці, а також пропонуються рішення та найкращі практики. Безпека блокчейну та регулювання — це ключові питання розвитку епохи Web3. За допомогою глибокого дослідження та обговорення у цьому звіті ми зможемо краще зрозуміти та реагувати на ці виклики, сприяючи безпечному та сталому розвитку технологій блокчейн.

1. Огляд ситуації безпеки Web3 у 2025 році

За даними платформи Alert компанії Beosin, що належить компанії з безпеки та відповідності технологій блокчейну, у 2025 році загальні збитки у сфері Web3 через хакерські атаки, фішинг-шахрайства та Rug Pull проектів склали 3,375 мільярдів доларів США. Загальна кількість серйозних інцидентів безпеки у блокчейні склала 313 випадків, з них 191 — атаки хакерів, що спричинили збитки приблизно на 3,187 мільярдів доларів; Rug Pull проектів — збитки близько 11,5 мільйонів доларів; фішинг-шахрайства — 113 випадків із загальними збитками близько 177 мільйонів доларів.

У першому кварталі 2025 року збитки були найвищими, більша частина з них припала на хакерські атаки на Bybit. Збитки від атак хакерів зменшувалися протягом кварталів, але порівняно з 2024 роком вони зросли на 77.85%; збитки від фішинг-шахрайств та Rug Pull проектів значно знизилися у 2025 році порівняно з 2024 роком, зменшення фішинг-шахрайств — приблизно на 69.15%, Rug Pull — близько 92.21%.

У 2025 році типи атакованих проектів включають DeFi, CEX, публічні ланцюги, міжланцюгові мости, NFT, платформи мемкоїнів, гаманці, браузери, сторонні пакети коду, інфраструктуру, MEV-роботи та інше. DeFi залишається найчастотнішою ціллю атак, 91 атака на DeFi спричинила збитки близько 620 мільйонів доларів. CEX — найбільша за сумою збитків категорія, 9 атак на CEX призвели до збитків близько 1,765 мільярдів доларів, що становить 52.30% від загальних збитків.

Ethereum залишається найбільш збитковим публічним ланцюгом у 2025 році, 170 інцидентів на Ethereum спричинили збитки близько 2,254 мільярдів доларів, що становить 66.79% від загальних збитків за рік.

З точки зору методів атак, атаки через ланцюгові вразливості на Bybit спричинили збитки близько 1,44 мільярдів доларів, що становить 42.67% від загальних збитків і є найбільш поширеним способом атаки. Крім того, використання вразливостей у смарт-контрактах — найчастотніший спосіб атаки, з 191 інцидентом 62 були пов’язані з експлуатацією вразливостей у контрактах, що становить 32.46%.

2. Топ-10 інцидентів безпеки у 2025 році

У 2025 році три інциденти з втратами понад мільярд доларів: Bybit (14.40 млрд доларів), Cetus Protocol (2.24 млрд доларів) та Balancer (1.16 млрд доларів). Наступні — Stream Finance (93 млн доларів), велика китова сума BTC (91 млн доларів), Nobitex (90 млн доларів), Phemex (70 млн доларів), UPCX (70 млн доларів), користувачі Ethereum (50 млн доларів), Infini (49.5 млн доларів).

На відміну від попередніх років, у топ-10 інцидентів безпеки 2025 року з’явилися 2 випадки значних втрат приватних користувачів, причиною яких стали соціальна інженерія / фішинг. Хоча такі атаки не є найбільш поширеними за сумою збитків, їх частота зростає щороку і становить серйозну загрозу для приватних користувачів.

3. Типи атакованих проектів

Централізовані біржі — найбільша за сумою збитків категорія проектів

У 2025 році найбільші збитки зафіксовано у централізованих біржах, 9 атак на них спричинили загальні збитки близько 1,765 мільярдів доларів, що становить 52.30% від загальних збитків. Найбільше збитків зазнала біржа Bybit — близько 1,44 мільярдів доларів. Інші з великими втратами — Nobitex (приблизно 90 млн доларів), Phemex (70 млн доларів), BtcTurk (48 млн доларів), CoinDCX (44.2 млн доларів), SwissBorg (41.3 млн доларів), Upbit (36 млн доларів).

DeFi залишається найчастотнішою ціллю атак, 91 атака спричинила збитки близько 620 мільйонів доларів, що посідає друге місце за сумою збитків. Злом Cetus Protocol призвів до крадіжки близько 224 мільйонів доларів, що становить 36.07% від усіх крадіжок у DeFi. Balancer втратив близько 116 мільйонів доларів, інші значні DeFi-проекти — Infini (близько 49.5 млн доларів), GMX (близько 40 млн доларів), Abracadabra Finance (13 млн доларів), Cork Protocol (близько 12 млн доларів), Resupply (близько 9.6 млн доларів), zkLend (близько 9.5 млн доларів), Ionic (близько 8.8 млн доларів), Alex Protocol (близько 8.37 млн доларів).

4. Ситуація з втратами на різних ланцюгах

Ethereum — найбільша за сумою збитків та кількістю інцидентів ланцюг

Як і в попередні роки, Ethereum залишається найбільш збитковим та з найбільшою кількістю інцидентів публічним ланцюгом. 170 інцидентів на Ethereum спричинили збитки близько 2,254 мільярдів доларів, що становить 66.79% від загальних збитків за рік.

Другий за кількістю інцидентів — BNB Chain, з 64 випадками, що спричинили збитки близько 8.983 мільйонів доларів. В атаках на BNB Chain кількість випадків і сума збитків значно зросли порівняно з 2024 роком, збитки зросли на 110.87%. Третє місце займає Base з 20 інцидентами, а Solana — з 19.

5. Аналіз методів атак

Використання вразливостей у смарт-контрактах — найчастотніший спосіб атаки

З 191 інциденту 62 були пов’язані з експлуатацією вразливостей у контрактах, що становить 32.46%, і спричинили збитки на суму 556 мільйонів доларів, що є найбільшим за винятком атак через ланцюгові вразливості на Bybit.

За видами вразливостей, найбільші збитки спричинені бізнес-логічними вразливостями — 464 мільйони доларів. Три найпоширеніші типи вразливостей у контрактах: бізнес-логіка (53 випадки), контроль доступу (7 випадків), дефекти алгоритмів (5 випадків).

Цього року було зафіксовано 20 випадків витоку приватних ключів із загальними збитками близько 180 мільйонів доларів, що значно менше ніж минулого року. Власники бірж, проектів і користувачі покращили захист приватних ключів.

6. Аналіз типових інцидентів безпеки

6.1 Аналіз інциденту з Cetus Protocol на 2.24 мільярда доларів

Огляд інциденту

22 травня 2025 року на децентралізованій біржі Cetus Protocol у екосистемі Sui сталася атака через помилку у реалізації зсуву в коді відкритої бібліотеки. Приклад — одна з атакових транзакцій (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), спрощений сценарій атаки:

1. Використання флеш-кредиту: зловмисник позичає 10 мільйонів haSUI через флеш-кредит.

2. Створення позиції ліквідності: відкриває нову позицію з ціновим діапазоном [300000, 300200].

3. Додавання ліквідності: використовуючи лише 1 одиницю haSUI, отримує значну ліквідність — 10,365,647,984,364,446,732,462,244,378,333,008.

4. Видалення ліквідності: миттєво знімає ліквідність з кількох транзакцій, щоб виснажити пул.

5. Погашення флеш-кредиту: повертає позичені кошти і залишає близько 5.7 мільйонів SUI у вигляді прибутку.

Аналіз вразливості

Основна причина — помилка у реалізації функції get_delta_a з перевіркою checked_shlw, що призвело до перевищення межі. Зловмисник може обміняти невелику кількість токенів на значну кількість активів у пулі, реалізуючи атаку.

На малюнку показано, що checked_shlw використовується для визначення, чи зсув u256 на 64 біти спричинить переповнення. Вхідні значення менше ніж 0xffffffffffffffff << 192 можуть обійти перевірку, але при зсуві на 64 біти значення може перевищити максимум u256 (переповнення), і checked_shlw все одно видасть false, що призведе до недооцінки кількості токенів у подальших обчисленнях.

Крім того, у Move цілісність арифметичних операцій спрямована на запобігання переповнення та недоповнення, що може спричинити непередбачувану поведінку або вразливості. Зокрема: якщо результат додавання або множення занадто великий для типу цілого числа, програма припиняє роботу; якщо дільник нульовий — також припиняє.

Унікальність зсуву (<<) полягає в тому, що при переповненні програма не припиняє роботу, що може спричинити неправильні значення або непередбачувану поведінку.

6.2 Аналіз інциденту з Balancer на 1.16 мільярдів доларів

3 листопада 2025 року протокол Balancer v2 зазнав атаки, унаслідок якої кілька проектів, включно з його форком, на кількох ланцюгах втратили близько 1.16 мільярдів доларів. Приклад — транзакція атаки на Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. Зловмисник починає з масової обміну через функцію batch swap, використовуючи BPT для виведення великої кількості ліквідних токенів з пулу, що знижує резерви.

2. Потім він виконує обміни між osETH/WETH.

3. Після цього повертає BPT токени і повторює ці дії у кількох пулах.

4. В кінці — зняття коштів і отримання прибутку.

Аналіз вразливості

Компонент ComposableStablePools використовує формулу StableSwap Curve для підтримки стабільності цін між подібними активами. Однак масштабування при обчисленнях може вводити похибки.

Функція mulDown виконує цілочисельне ділення з заокругленням вниз, що може спричинити похибки у розрахунках, знижуючи значення і створюючи можливості для отримання прибутку зловмисником.

7. Аналіз типових кейсів антимонопольної безпеки

7.1 Аналіз інциденту з Ryan James Wedding та його групою

За даними Мінфіну США, Ryan James Wedding та його команда через Колумбію та Мексику займалися контрабандою кількох тонн кокаїну, що постачався до США та Канади. Вони використовували криптовалютне відмивання грошей для легалізації незаконних доходів.

За допомогою інструментів Beosin Trace, що належать Beosin, проведено аналіз криптогаманців, пов’язаних із групою Wedding. Результати показують, що адреси, якими володіє Wedding, опрацювали 266,761,784.24 USDT, частина активів вже заблокована Tether, але більша частина була виведена через високочастотні транзакції та багаторівневі перекази, зокрема на платформи Binance, OKX, Kraken, BTSE.

Група Sokolovski володіє кількома адресами у мережах BTC, ETH, Solana, TRON, BNB Beacon Chain, і аналіз потоків коштів доступний у повній версії звіту.

(# 7.2 Вкрадення 40 мільйонів доларів у GMX

10 липня 2025 року GMX зазнав атаки через вразливість повторного входу (reentrancy), унаслідок чого зловмисник отримав близько 42 мільйонів доларів. За допомогою Beosin Trace відслідковано, що адреса зловмисника 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 після отримання прибутку через DEX-проєкти обмінює різні стабільні та альткоїни на ETH і USDC, а потім через міжланцюгові протоколи переказує вкрадені активи на мережу Ethereum.

![])https://img-cdn.gateio.im/webp-social/moments-110cf9285f1fadee8e1a8a88f0af0325.webp###

Далі активи на суму близько 32 мільйонів доларів у ETH зберігаються на таких адресах:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Близько 10 мільйонів доларів зберігається на адресі в мережі Arbitrum: 0xdf3340a436c27655ba62f8281565c9925c3a5221.

Цей випадок демонструє типову схему відмивання коштів, коли зловмисники використовують DeFi-протоколи, міжланцюгові мости та інші механізми для маскування маршруту активів і ускладнення слідування.

( 8. Підсумки ситуації безпеки Web3 у 2025 році

У 2025 році кількість інцидентів, пов’язаних із фішингом та Rug Pull проектів, суттєво знизилася порівняно з 2024 роком, але часті атаки хакерів спричинили збитки понад 31 мільярд доларів. Найбільше постраждали біржі. Водночас кількість інцидентів із витоком приватних ключів зменшилася, що зумовлено такими факторами:

• підвищення рівня безпеки у проектах та серед користувачів;

• покращення внутрішніх процедур безпеки, моніторинг у реальному часі, посилення аудиту безпеки;

• активне використання досвіду з попередніх вразливостей та атак;

• підвищення обізнаності щодо захисту приватних ключів.

Зростання складності вразливостей у смарт-контрактах та зловмисних схем, таких як атаки через ланцюгові вразливості, supply chain атаки, фронтенд-уразливості, змушують користувачів та проєкти бути більш обережними.

Крім того, зросла кількість цілей атак — тепер це не лише DeFi, міжланцюгові мости та біржі, а й платформи платежів, гральні платформи, провайдери криптосервісів, інфраструктура, інструменти розробки, MEV-роботи тощо. Атаки стають більш складними через протокольні логічні вразливості.

Для приватних користувачів особливо актуальними залишаються соціальна інженерія, фішинг та фізичний шантаж, що становлять серйозну загрозу їхнім активам. Багато фішингових атак мають невеликі суми і не потрапляють у публічний облік, тому їхні збитки недооцінюються. Водночас, зростає кількість випадків фізичного шантажу та викрадення особистих даних, тому важливо захищати особисту інформацію та мінімізувати публічне розкриття активів.

Загалом, безпека Web3 у 2025 році залишається викликом, і як проєктам, так і приватним користувачам потрібно бути напоготові. У майбутньому пріоритетом стане безпека ланцюгових поставок, а вирішення питань захисту інфраструктури, моніторингу та реагування на загрози — спільна відповідальність усіх учасників галузі. Зростання кількості соціальної інженерії та фішинг-атак, що можуть посилюватися за допомогою AI, вимагає створення багаторівневої, динамічної системи захисту, що поєднує підвищення обізнаності, технічні бар’єри та колективну співпрацю.