У 2025 році хакерство Web3 досягло незручної віхи. Майже 4 мільярди доларів було втрачено в криптовалютах, NFT і DeFi через збої в безпеці, шахрайство та звичайну помилку людини. Дані взято з річного звіту про безпеку за 2025 рік опубліковано Hackenі малює картину, яку галузь не може ігнорувати.
Цей рік не був визначений незрозумілими помилками, що ховаються в експериментальному коді. Більшість збитків спричинено поганим контролем доступу, крадіжкою облікових даних та соціальною інженерією. Іншими словами, ті самі проблеми, про які служби безпеки попереджали роками, тепер виникають у набагато більших масштабах.
Якщо ви володієте NFT, торгуєте на централізованих біржах або створюєте Web3, уроки 2025 року актуальні як ніколи.
Тест реальності на 4 мільярди доларів для Web3
У звіті Хакена загальні збитки за 2025 рік оцінюються в 4 мільярди доларів. Ця цифра включає в себе валютні порушення, фішингові шахрайства, зламані гаманці, перетягування килимів і лазівки в протоколах.
Інші компанії, зокрема CertiK і Chainalytic, оцінили нижчі суми – від 2,5 до 3,2 мільярда доларів США – залежно від їхніх моделей атрибуції. Однак усі основні джерела сходяться на думці, що у 2025 році відбудеться різке зростання як масштабу, так і складності атак.
Впадає в око не лише розмір збитків. Його Де вони прийшли з.
У минулих циклах криптовалюти домінували помилки смарт-контрактів. У 2025 році баланс змінився. Операційні збої та соціальні атаки завдали більше шкоди, ніж зламаний код. Оскільки надходить більше капіталу Web3зловмисники стежили за грошима та орієнтувалися на найпростіші шляхи до них.
Для користувачів NFT ця зміна повністю змінює профіль ризику. Ідеальний контракт не допоможе, якщо запит на затвердження гаманця або підпис зловживають.
Як пройшов рік
Q1 змінив усе
Рік почався погано. На кінець першого кварталу збитки вже перевищили 2 мільярди доларів. Це зробило перший квартал найгіршим кварталом за всю історію безпеки Web3.
Він був найкращим водієм Порушення байту. Зловмисники не використовували смарт-контракт. Вони скомпрометували ланцюжок поставок і маніпулювали зовнішньою інфраструктурою. Це було нагадуванням, що безпека блокчейну не закінчується самим ланцюжком.
Після цього випадку уявлення про безпеку швидко змінилися.
Темп уповільнився, але загроза – ні
Збитки продовжували скорочуватися до кінця року. До четвертого кварталу загальні збитки за квартал склали приблизно 350 мільйонів доларів. Це зниження відображало більшу обізнаність і швидку реакцію.
Незважаючи на це, перші пошкодження не вдалося відремонтувати. Замість того, щоб відступити, нападники адаптували свою стратегію. Менше атак. Більший вплив.
Де пропали гроші
Контроль доступу був найбільшим провалом
Більше половини всіх втрат у 2025 році були пов’язані з проблемами контролю доступу. Зламані особисті ключі. Погано налаштовані мультипідписні гаманці. Внутрішні облікові дані зламано або витік.
Жоден із них не потребував найсучасніших експлойтів. У більшості випадків зловмисники просто отримали доступ, якого вони не повинні були мати.
Дані Hacken показують, що 2,12 мільярда доларів США – або 53% усіх збитків – були спричинені збоями контролю доступу, що робить це головною причиною крадіжки криптовалюти у 2025 році.
Одне ключове спостереження: гаманці з кількома підписами виявилися вразливими до атак, коли підписувачі використовували звичайні пристрої. Експлойт UXLINK змусив скомпрометованих підписантів викарбувати трильйони токенів, вичерпати свої ресурси та викинути їх на ринок.
Важко зізнатися, але це теж корисно. Це проблемні команди потужність виправити за допомогою кращих процесів.
Фішинг стало важче виявити
Фішинг і соціальна інженерія завдали збитків майже на 1 мільярд доларів. Отруєння гаманців, фальшиві повідомлення служби підтримки та шахрайство з видаванням себе за іншу особу продовжують розвиватися.
Штучний інтелект зробив ці атаки більш переконливими. Фальшиві співбесіди. Глибока підробка відеодзвінків. Повідомлення, які виглядали точно як повідомлення, надіслані справжнім проектом.
Втрачено одного користувача 50 мільйонів доларів за одну угоду через адресне отруєння — прийнявши гаманець шахрая за гаманець друга. Інший втратив 330 мільйонів доларів у біткойнах після тривалої атаки соціальної інженерії.
Трейдери NFT були частими цілями, особливо ті, хто був активним у спільнотах Discord і Telegram.
Експлуати розумних контрактів нікуди не зникли
Помилки в контракті продовжували завдавати шкоди, що призвело до збитків у 512 мільйонів доларів. Найбільше цього удару відчули протоколи DeFi, причому проекти на основі Ethereum спостерігали найбільшу концентрацію.
Серед відомих експлойтів: Баланс v2 (128 мільйонів доларів через помилку округлення), GMX v1 (42 мільйони доларів через помилку повторного входу) і Yearn yETH (9 мільйонів доларів через нескінченне карбування).
Аудити допомогли зменшити частоту, але крайні випадки та інтеграція все ще становили ризики. Покращено захист коду. Одного цього було недостатньо.
Акції проти DeFi: різні вразливості
Централізовані платформи виявилися найбільш успішними
Більше половини всіх збитків припало на централізовані біржі. Найпомітніший випадок стосувався Bybit, де зловмисники використовували інтерфейсний доступ замість логіки блокчейну.
Догляд концентрує ризик. Внутрішні інструменти, зовнішні постачальники та доступ співробітників збільшують площу атаки. Коли щось йде не так, цифри швидко зростають.
Інфраструктура DeFi та NFT залишалася відкритою
DeFi В результаті кількох десятків інцидентів вартість експлойтів перевищила 500 мільйонів доларів. Витоки ліквідності, несправності мостів і математичні помилки виникали знову і знову.
Ethereum був найбільш цільовою мережею, головним чином через його високу активність. Платформи NFT гаманці, дозволи або серверні служби часто ділилися з протоколами DeFi, дозволяючи поширювати ризик.
Роль Північної Кореї стрімко зросла
Однією з найяскравіших моделей у 2025 році були пов’язані з державою зловмисники. Пов’язані з Північною Кореєю групи завдали близько 52% загальних збитків, викравши понад 2 мільярди доларів протягом року.
Насправді 9 із 10 атак контролю доступу були пов’язані з угрупованнями КНДР і використовували такі тактики, як підроблені профілі вербувальників, репозиторії GitHub, що містять шкідливі програми, і глибокі фейки інтерв’ю.
Слідчі пов’язали більшу частину цієї діяльності з організаціями, пов’язаними з Lazarus Group і кластером TraderTraitor. Їхній підхід був зосереджений на фішингу, видаванні себе за іншу особу та доступі до конфіденційної інформації, а не на технічних експлойтах.
Порівняно з 2024 роком вартість, викрадена цими групами, зросла більш ніж на 50%. Впадає в очі масштаб і злагодженість.
Чому власники NFT відчули цей вплив
NFT не принесли найбільших прибутків, але головною ціллю були колекціонери. Підроблені посилання монетного двору. Зловмисні коміти. Злом облікових записів Discord під виглядом адміністраторів проекту.
Щойно гаманець скомпрометовано, транзакції NFT негайно передаються. Відкликання немає. Дозволи Marketplace часто залишаються активними ще довго після того, як користувачі про них забувають.
для Безпека NFTзвички гаманця так само важливі, як і безпека платформи.
ШІ змінив рівняння безпеки
ШІ грав з обома сторонами у 2025 році.
Зловмисники використовували автоматизацію, фейкові медіа та адаптивні повідомлення, щоб масштабувати шахрайство швидше, ніж раніше. Захисники відповіли кращим моніторингом, виявленням аномалій і швидшим сортуванням інцидентів.
Платформи винагород за помилки, такі як Immunefi, допомогли виявити проблеми на ранніх стадіях, показавши, що стимули все ще мають значення.
Розрив між нападом і захистом не було усунено. Воно ворухнулося.
Регулювання почало наздоганяти
Очікування щодо безпеки були посилені в основних юрисдикціях.
У США системи ліцензування все частіше вимагають тестування на проникнення та апаратно-захищеного керування ключами. У Європі MiCA наголошує на сортуванні в догляді та незалежних аудитах.
Ці правила не усунуть порушення. Вони підвищують базову лінію та ускладнюють обґрунтування використання скорочень.
Що насправді допомагає вам рухатися вперед
Для користувачів:
Апаратні гаманці зменшують ризик. Спеціальні пристрої допомагають ще більше. Адресні книги та попередній перегляд транзакцій запобігають типовим помилкам.
Для команд NFT і Web3:
Одного аудиту недостатньо. Багаторівневі огляди виявляють більше проблем. Конфігурації Multisig і MPC зменшують одиничні точки відмови. Моніторинг має тривати після запуску.
Для промисловості:
Чіткі стандарти зміцнюють довіру. Зрілість цінних паперів тепер впливає на впровадження та потік капіталу.
Витратний рік, але чіткий сигнал
Збитки в розмірі 4 мільярдів доларів США в 2025 році через порушення Web3 відображають економічне зростання під тиском. Зловмисники вдосконалили свої стратегії. Захисники дізналися публічно. Прозорість виявила слабкі місця, але водночас змусила вдосконалюватися.
Безпека стала довірою. Для NFT, DeFi та криптовалют в цілому наступний етап стосується не швидкості, а більше дисципліни.
Часті запитання
Ось кілька поширених запитань на цю тему:
1. Скільки ви втратили через хакі Web3 у 2025 році?
Hacken повідомив про загальні збитки в 4,004 мільярда доларів. Інші компанії, такі як CertiK і Chainalytic, оцінили суму від 2,5 до 3,2 мільярда доларів, залежно від методології.
2. Які були найбільші джерела втрат криптовалюти у 2025 році?
Більшість з них були спричинені збоями контролю доступу (53%), за ними йдуть фішинг (24%) і вразливості смарт-контрактів (13%).
3. Чи справді Північна Корея відповідальна за більшість зломів Web3?
так Пов’язані з Північною Кореєю групи відповідальні за приблизно 52% збитків у 2025 році, часто використовуючи тактику фішингу та соціальної інженерії.
4. Чи ефективні аудити смарт-контрактів?
Аудити допомагають зменшити ризик, але вони не надійні. Багато експлойтів 2025 року виникли в перевірених або протестованих протоколах через пропущені граничні випадки.
5. Як штучний інтелект вплине на безпеку Web3 у 2025 році?
ШІ використовувався як для захисту (для моніторингу), так і для нападу (підробки, автоматизація шахрайства), створюючи нові загрози, такі як миттєві ін’єкційні атаки.
6. Що можуть зробити користувачі, щоб захистити свої активи?
Використовуйте апаратні гаманці, уникайте підписання невідомих транзакцій, перевіряйте адреси та дотримуйтесь суворої цифрової гігієни, особливо на платформах соціальних мереж.