Отчет о событиях безопасности в криптомире 2025 года: убытки на сумму 2,9 миллиарда долларов, ИИ-Deepfake становится новым оружием хакеров

Отчет за год компании Slow Mist Technologies показывает, что в 2025 году количество инцидентов в области безопасности блокчейна снизилось с 410 до 200, однако общие убытки выросли на 46% и достигли 2,935 миллиарда долларов США. Взлом централизованных бирж (CEX) на сумму 1,46 миллиарда долларов занимает первое место, технологии AI Deepfake создают новые угрозы, обманывая KYC, а группа Lazarus из Северной Кореи за девять месяцев украла 1,645 миллиарда долларов США. Группа Huione из Камбоджи была санкционирована США за помощь в отмывании денег.

Взлом CEX на 1,46 миллиарда долларов США переписал рекорд убытков

Самым шокирующим инцидентом безопасности 2025 года стал взлом CEX, при котором убытки составили рекордные 1,46 миллиарда долларов США. Хакеры, предположительно, получили доступ к мультиподписным правам Safe Wallet и осуществили атаку, что выявило уязвимости в управлении даже у ведущих бирж.

Генеральный директор CEX Ben Zhou в интервью признался, что атака произошла в ранние часы выходных, команда в течение нескольких часов провела экстренные меры, включая блокировку подозрительных адресов, запуск резервных фондов и сотрудничество с аналитическими компаниями для отслеживания движения средств. Однако масштаб убытков в 1,46 миллиарда долларов значительно превышает возможности отдельной компании, что вызвало широкую дискуссию о безопасности хранения средств в централизованных биржах.

Другие крупные потери включают 230 миллионов долларов, понесённые протоколом Cetus из-за уязвимости в контракте, а TVL экосистемы Sui после этого упало на 83%. Balancer V2 потерял 121 миллион долларов из-за ошибок в расчетах путей обмена в Stable Pool, а сложность DeFi-протоколов снова стала уязвимостью. Биржа Nobitex из Ирана подверглась атаке со стороны израильских хакерских группировок, в результате чего было уничтожено около 100 миллионов долларов активов, что расширяет геополитику конфликтов в криптовалютной сфере.

AI Deepfake и социальная инженерия — смертельное сочетание

Самым заметным изменением в методах атак в 2025 году стало широкое внедрение технологий AI. Хакеры используют Deepfake — технологии глубокой подделки — для имитации голосов и изображений руководителей компаний в видеоконференциях. Например, сотрудники международной строительной компании Arup в Гонконге попались на удочку, переводя крупные суммы по указанию «CEO» в видеосообщениях. Еще более опасно, что злоумышленники используют AI для создания фальшивых личностей, чтобы обойти KYC в криптовалютных биржах, что делает аутентификацию — первую линию защиты от отмывания денег — практически бесполезной.

Шесть новых методов атак в 2025 году

1. Генерация вредоносного кода с помощью AI в реальном времени

· Использование моделей AI для мгновенного создания вариантов вредоносного кода

· Обход традиционных антивирусных систем и обнаружения по сигнатурам

· Каждый раз создается уникальный код с разными характеристиками

2. Мошенничество при найме и собеседованиях

· Маскировка под компанию Web3 для найма инженеров

· Провокация на скачивание вредоносных репозиториев или тестовых проектов

· Кража приватных ключей и конфиденциальной информации разработчиков

3. Фишинг-атаки Clickfix

· Побуждение пользователей выполнять вредоносные команды на системных устройствах

· Маскировка под техническую поддержку или обновление системы

· Обход предупреждений браузера и выполнение команд напрямую

4. Манипуляции с правами в Solana

· Изменение владельца аккаунта на адрес злоумышленника

· Даже при наличии приватного ключа — невозможность контролировать активы

· Использование особенностей модели аккаунтов Solana

5. Злоупотребление разрешениями EIP-7702

· Использование новых возможностей абстракции аккаунтов Ethereum

· Массовое похищение активов кошельков с разрешением EIP-7702

· Владелец кошелька WLFI был полностью очищен

6. Атаки через цепочку поставок

· Внедрение бэкдоров в популярные open-source инструменты на GitHub

· Целевые проекты с высоким трафиком, такие как Solana-боты для транзакций

· Автоматическая инфекция среды разработчика через обновления NPM пакетов и клонирование репозиториев GitHub

Успех социальных инженерных атак значительно превосходит использование технических уязвимостей. Многие жертвы не пострадали из-за уязвимостей смарт-контрактов или взлома приватных ключей методом перебора, а были обмануты тщательно продуманными сценариями и поддельными личностями. Когда хакеры могут мгновенно имитировать любой голос с помощью AI или создавать любые видеоролики, традиционная «верить своим глазам» уже не работает.

Атаки через цепочку поставок более скрытны. Злоумышленники не атакуют напрямую цель, а внедряют вредоносный код в инструменты и библиотеки, которыми пользуются разработчики. Когда тысячи разработчиков обновляют NPM-пакеты или клонируют репозитории GitHub, вредоносный код автоматически попадает в их среду. Ужас в том, что жертвы зачастую даже не подозревают о взломе, пока не обнаружат украденные активы — уже слишком поздно.

Киберпреступность Северной Кореи и международные сети отмывания денег

Группа Lazarus из Северной Кореи остается крупнейшей угрозой безопасности в 2025 году: за первые девять месяцев она украла около 1,645 миллиарда долларов США. Эта сумма превышает ВВП многих стран, что свидетельствует о масштабах ресурсов, выделяемых государством на киберпреступность. Процессы отмывания денег Lazarus Group уже индустриализированы: через межцепочные мосты переводят украденные средства между разными блокчейнами, используют Tornado Cash и другие миксеры для сокрытия происхождения средств, а также проводят многочисленные операции по смешиванию денег для усложнения отслеживания.

Камбоджийская группа Huione Group была санкционирована Министерством финансов США (OFAC) за участие в отмывании крупных мошеннических средств. Это свидетельство того, что борьба с отмыванием денег переходит в международную правовую плоскость. Ранее Юго-Восточная Азия считалась серой зоной регулирования криптовалют, где располагались многие узлы отмывания. Но американский юрисдикционный механизм лишил эти организации доступа к международной финансовой системе, что значительно ослабило их деятельность.

Компания Slow Mist Technologies подытожила, что в 2025 году тенденции развития — это более профессиональные атаки, более скрытные преступные связи и более жесткое регулирование. Безопасность и соответствие нормативам перестали быть только вопросом защиты, а стали критерием выживания бизнеса. Будущее Web3 зависит от того, смогут ли отрасль создать более надежные внутренние системы безопасности и прозрачные модели управления финансами.