Зломи Web3 стануться $4B у 2025 році: що потрібно знати про NFT, DeFi та криптовалюти | Новини NFT сьогодні

Хакерські атаки у Web3 у 2025 році досягли незручної межі. Майже $4 мільярдів було втрачено у криптовалютах, NFT та DeFi через збої у безпеці, шахрайства та людські помилки. Ця цифра взята з щорічного звіту з безпеки за 2025 рік, опублікованого Hacken, і малює картину, яку галузь не може ігнорувати.

Це був рік, який не визначався невідомими багами у експериментальному коді. Більша частина шкоди була спричинена слабким контролем доступу, викраденими обліковими даними та соціальним інженерством. Іншими словами, ті самі проблеми, про які попереджали команди безпеки роками — тепер вони розгортаються у набагато масштабнішому масштабі.

Якщо ви володієте NFT, торгуєте на централізованих біржах або створюєте у Web3, уроки 2025 року важливіші ніж будь-коли.

$4 Мільярдний реалістичний погляд для Web3

Звіт Hacken оцінює загальні втрати за 2025 рік у $4 мільярдів. Ця цифра включає зломи бірж, фішингові шахрайства, компрометовані гаманці, “rug pulls” та експлойти протоколів.

Інші компанії, такі як CertiK і Chainalysis, оцінили нижчі суми — від $2.5B до $3.2B — залежно від моделей атрибуції. Однак усі основні джерела погоджуються, що 2025 рік ознаменувався зростанням масштабу та складності атак.

Що виділяється, — це не лише розмір втрат. Це звідки вони походили.

Раніше цикли криптовалют були доміновані помилками у смарт-контрактах. У 2025 році баланс змінився. Операційні збої та соціальні атаки спричинили більше шкоди, ніж зламаний код. Оскільки більше капіталу вкладалося у Web3, зловмисники слідували за грошима — і зосереджувалися на найпростіших шляхах.

Для користувачів NFT ця зміна повністю змінює профіль ризику. Ідеальний контракт не допоможе, якщо запит на схвалення гаманця або підписання буде зловживаний.

Як розвивався рік

###Q1 Змінив усе

Рік почався погано. До кінця першого кварталу було вже втрачено понад $2 мільярдів. Це зробило Q1 найгіршим кварталом у історії безпеки Web3.

Найбільшим фактором був злом Bybit. Зловмисники не експлуатували смарт-контракт. Вони компрометували ланцюг поставок і втручалися у фронтенд-інфраструктуру. Це нагадування, що безпека блокчейну не обмежується лише самим ланцюгом.

Після цього інциденту припущення щодо безпеки швидко змінилися.

Темп сповільнився, але загроза не зменшилася

Втрати зменшилися протягом решти року. До Q4 загальні збитки за квартал склали близько $350 мільйонів. Це зниження відображало кращу обізнаність і швидше реагування.

Проте ранні втрати вже не можна було повернути. Зловмисники коригували свою стратегію, а не відмовлялися. Менше атак. Більший вплив.

Де були втрачені гроші

Контроль доступу — найбільша причина провалу

Більше половини всіх втрат у 2025 році виникли через проблеми з контролем доступу. Вкрадені приватні ключі. Налаштовані неправильно мульти-сигнітні гаманці. Зловживання або витік внутрішніх облікових даних.

Для цього не потрібні передові експлойти. У більшості випадків зловмисники просто отримували доступ, якого не мали мати.

Дані Hacken показують, що $2.12 мільярдів — або 53% усіх втрат — походять із збоїв у контролі доступу, що робить їх головною причиною крадіжок криптовалюти у 2025 році.

Один важливий висновок: мульти-сигнітні гаманці виявилися вразливими, коли підписанти використовували звичайні пристрої. Уразливість UXLINK дозволила компрометованим підписантам створювати трильйони токенів, зливати активи та продавати їх на ринку.

Це незручно визнавати, але корисно. Це проблеми, які команди можуть виправити за допомогою кращих процесів.

Фішинг став важче помітити

Фішинг і соціальне інженерство становили майже $1 мільярдів у втраті. Отруєння гаманців, фальшиві повідомлення підтримки та шахрайські імітації постійно еволюціонували.

Штучний інтелект зробив ці атаки більш переконливими. Фальшиві співбесіди. Deepfake відеодзвінки. Повідомлення, що виглядають точно так, як і справжні повідомлення проекту.

Один користувач втратив $50 мільйон у одній транзакції через отруєння адреси — переплутав гаманець шахрая з знайомим. Інший — $330 мільйон у Bitcoin після довгої соціальної інженерної атаки.

Трейдери NFT були частими цілями, особливо ті, що активні у Discord і Telegram.

Смарт-контракти не зникли

Баги у контрактах все ще спричиняли шкоду, сумарно близько $512 мільйонів у втраті. Більшість ударів припали на DeFi-протоколи, з найбільшим зосередженням на Ethereum.

Значущі експлойти включали: Balancer v2 ($128M через округлювальну помилку), GMX v1 ($42M через баг reentrancy), і Yearn yETH ($9M через безкінечне створення).

Аудити допомогли зменшити частоту, але крайні випадки та інтеграції продовжували створювати ризики. Безпека коду покращилася. Але цього було недостатньо самостійно.

Біржі проти DeFi: різні слабкі місця

Централізовані платформи зазнали найбільших ударів

Централізовані біржі становили понад половину всіх втрат. Найбільш помітний випадок — злом Bybit, де зловмисники експлуатували фронтенд-доступ, а не логіку блокчейну.

Керування активами концентрує ризик. Внутрішні інструменти, сторонні постачальники та доступ співробітників розширюють поверхню атаки. Коли щось йде не так, цифри швидко зростають.

DeFi та NFT-інфраструктура залишалися вразливими

Зломи DeFi перевищили $500 мільйонів у десятках інцидентів. Витік ліквідності, збої мостів і математичні помилки з’являлися знову і знову.

Ethereum був найчастотнішою ціллю, переважно через те, що там зосереджено так багато активності. Платформи NFT часто використовували спільні гаманці, дозволи або бекенд-сервіси з DeFi-протоколами, що дозволяло ризикам розливатися.

Роль Північної Кореї різко зросла

Один із найчіткіших патернів у 2025 році — це атаки, пов’язані з державними структурами. Групи, пов’язані з Північною Кореєю, відповідальні за близько 52% загальних втрат, викравши понад $2 мільярдів за рік.

Фактично, 9 із 10 атак на контроль доступу були пов’язані з групами DPRK, що використовували тактики фішингу, фальшивих профілів рекрутерів, шкідливі репозиторії на GitHub і глибокі фейкові інтерв’ю.

Розслідувачі пов’язують більшу частину цієї активності з акторами, пов’язаними з Lazarus Group і TraderTraitor. Їхній підхід зосереджувався на фішингу, імітації та внутрішньому доступі, а не на технічних експлоях.

Порівняно з 2024 роком, викрадене цінність цими групами зросла більш ніж на 50%. Масштаб і координація виділялися.

Чому власники NFT відчули вплив

NFT не спричинили найбільших сум у доларах, але колекціонери були цільовою аудиторією. Фальшиві посилання на створення. Зловмисні дозволи. Компрометовані акаунти Discord, що видавали себе за адміністраторів проектів.

Якщо гаманець компрометовано, NFT миттєво рухаються. Відкату немає. Дозволи на маркетплейсах часто залишаються активними довго після того, як користувачі їх забули.

Для безпеки NFT важливі звички користувачів так само, як і заходи безпеки платформи.

AI змінив рівень безпеки

AI у 2025 році працював обидві сторони.

Зловмисники використовували автоматизацію, deepfake-медіа та адаптивне повідомлення для масштабування шахрайств швидше, ніж раніше. Захисники відповідали кращим моніторингом, виявленням аномалій і швидшим реагуванням на інциденти.

Платформи для винагороди за баги, такі як Immunefi, допомагали виявляти проблеми раніше, показуючи, що стимулювання все ще важливе.

Різниця між нападом і захистом не зменшилася. Вона змістилася.

Регулювання почало наздоганяти

Очікування безпеки посилилися у ключових юрисдикціях.

У США все частіше вимагають ліцензування, тестування проникнення та управління ключами з апаратним захистом. У Європі MiCA наголошує на сегрегації зберігання та незалежних аудитах.

Ці правила не усунуть зломів. Вони підвищують базовий рівень і ускладнюють виправдання коротких шляхів.

Що дійсно допомагає у майбутньому

Для користувачів:
Апаратні гаманці зменшують ризик. Спеціальні пристрої ще більше. Адресні книги і попередній перегляд транзакцій запобігають поширеним помилкам.

Для команд NFT і Web3:
Один аудит недостатній. Многослойні перевірки виявляють більше проблем. Налаштування мульти-сигнітних і MPC зменшує єдині точки відмови. Моніторинг потрібно продовжувати після запуску.

Для галузі:
Чіткі стандарти формують довіру. Зрілість безпеки тепер впливає на adoption і капітальні потоки.

Вартісний рік, але чіткий сигнал

Втрати у розмірі $4 мільярдів через хакерські атаки у Web3 у 2025 році відображають зростання під тиском. Зловмисники вдосконалювали свої тактики. Захисники навчилися на публіці. Прозорість виявила слабкі місця, але й змусила до покращень.

Безпека стала питанням довіри. Для NFT, DeFi і криптовалют у цілому наступна фаза залежить менше від швидкості і більше від дисципліни.

Часті питання

Ось деякі поширені питання з цієї теми:

1. Скільки було втрачено у Web3-хакерствах у 2025 році?

Hacken повідомив про загальні втрати у $4.004 мільярдів. Інші компанії, такі як CertiK і Chainalysis, оцінили від $2.5B до $3.2B, залежно від методології.

2. Які були найбільшими джерелами криптовалютних втрат у 2025 році?

Більшість походила з провалів контролю доступу (53%), далі фішинг (24%) і вразливості смарт-контрактів (13%).

3. Чи справді Північна Корея відповідальна за більшість хаків Web3?

Так. Групи, пов’язані з Північною Кореєю, відповідальні за близько 52% втрат 2025 року, часто використовуючи фішинг і соціальне інженерство.

4. Чи все ще ефективні аудити смарт-контрактів?

Аудити допомагають зменшити ризик, але не є безпомилковими. Багато експлойтів 2025 року трапилися у протоколах, що пройшли аудит або були випробувані у бою, через недоглянуті крайні випадки.

5. Як AI вплинув на безпеку Web3 у 2025 році?

AI використовувався і для захисту (моніторингу), і для нападу (deepfakes, автоматизація шахрайств), що вводило нові ризики, такі як атаки через prompt injection.

6. Що можуть робити користувачі для захисту своїх активів?

Використовуйте апаратні гаманці, уникайте підписання невідомих транзакцій, перевіряйте адреси та дотримуйтеся суворої цифрової гігієни, особливо у соцмережах.