Звіт про безпеку у криптовалютній індустрії 2025: збитки на 2,9 мільярди доларів, AI глибокі підробки як нова зброя хакерів

Повідомлення щорічного звіту Slow Mist Technology показує, що у 2025 році кількість безпекових інцидентів у блокчейні знизилася з 410 до 200, але загальні збитки стрімко зросли на 46% і склали 2,935 мільярдів доларів США. Злом CEX на 1,46 мільярдів доларів посів перше місце, технології глибокого підроблення AI обдурили KYC і стали новим видом загрози, а Північна Корея Lazarus Group у період з січня по вересень викрала 1,645 мільярдів доларів США. Група Huione з Камбоджі через допомогу у відмиванні грошей була під санкціями США.

Злом CEX на 1,46 мільярдів доларів США переписав рекорд збитків

Найбільш шокуючим безпековим інцидентом 2025 року став злом CEX, що спричинив рекордні втрати у 1,46 мільярдів доларів США за один випадок. Злочинці, ймовірно, отримали доступ до мультипідпису Safe Wallet і здійснили атаку, що вразила механізм багатопідпису, що виявило вразливості у керуванні навіть у провідних бірж.

Голова CEX Ben Zhou у спогадах про кризу зізнався, що атака сталася вночі у вихідні, і команда за кілька годин провела екстрені заходи, включаючи блокування підозрілих адрес, запуск резервних фондів і співпрацю з аналітичними компаніями для відстеження руху коштів. Однак масштаб збитків у 1,46 мільярдів доларів перевищує можливості будь-якої компанії, і цей інцидент викликав широку переоцінку безпеки централізованих бірж.

Інші дев’ять найбільших інцидентів включають втрату 230 мільйонів доларів через вразливість у механізмі контракту Cetus Protocol, що спричинило зникнення 83% TVL у Sui-екосистемі після серйозних пошкоджень. Balacer V2 зазнав збитків у 121 мільйон доларів через помилку у розрахунку маршруту обміну в Stable Pool, а складність DeFi-протоколів знову стала причиною безпекових ризиків. Іранська біржа Nobitex зазнала атаки з боку ізраїльських хакерських груп, внаслідок чого знищено активи на близько 1 мільярда доларів, що розширює геополітичний конфлікт у криптовалютній сфері.

Глибоке підроблення AI та соціальна інженерія — смертельна комбінація

Значущі зміни у методах атак у 2025 році пов’язані з глибоким проникненням AI-технологій. Злочинці використовують Deepfake — технологію глибокого підроблення — для підробки голосу та відео керівників компаній під час відеоконференцій. Так, співробітник міжнародної будівельної компанії Arup у Гонконзі потрапив у пастку, отримавши інструкції від «CEO» і переказавши великі суми. Ще страшніше, що зловмисники використовують підроблені особистості, створені AI, щоб обійти KYC у криптовалютних біржах, що робить ідентифікацію, яка раніше була першим захистом від відмивання грошей, беззмістовною.

Шість нових типів атак у 2025 році

1. Динамічне генерування шкідливого коду AI

· Миттєве створення варіацій шкідливого коду за допомогою AI-моделей

· Уникнення виявлення за характеристиками традиційного антивірусного ПЗ

· Унікальні відбитки коду для кожної атаки

2. Обман під час співбесід

· Маскування під компанії Web3 для найму інженерів

· Заохочення до завантаження кодових репозиторіїв або тестових проектів із бекдором

· Вкрадання приватних ключів і конфіденційної інформації з комп’ютерів розробників

3. Фішингова атака Clickfix

· Вмовляння користувачів виконати шкідливі команди у системі

· Маскування під технічну підтримку або оновлення системи

· Обхід попереджень браузера і безпосереднє виконання команд

4. Зміна прав доступу Solana

· Зміна прав власника облікового запису на адресу зловмисника

· Навіть за наявності приватного ключа, контроль над активами втрачено

· Використання особливостей моделі облікових записів Solana

5. Зловживання дозволами EIP-7702

· Використання нових можливостей абстракції облікових записів Ethereum

· Масове крадіжка активів з гаманців, що мають дозвіл EIP-7702

· Гаманці інвесторів WLFI були очищені через це

6. Атаки через підміни у ланцюжку поставок

· Внедрення бекдорів у популярні відкриті інструменти на GitHub

· Цільові високопотокові проекти, такі як Solana Trading Bot

· Автоматичне зараження середовищ розробників через оновлення NPM-пакетів і клонування GitHub-репозиторіїв

Успіх соціальної інженерії значно перевищує ефективність технічних вразливостей. Багато жертв не через уразливості смарт-контрактів або злом приватних ключів, а через ретельно продумані сценарії і підроблені особистості. Коли зловмисники можуть миттєво імітувати голос будь-кого або створювати будь-яке відео, традиційне «бачу — значить вірю» стає безсилою.

Підміна у ланцюжку поставок є ще більш прихованою. Злочинці не атакують ціль напряму, а підмінюють інструменти і бібліотеки, якими користуються розробники. Коли тисячі розробників оновлюють NPM-пакети або клонують GitHub-репозиторії, зловмисний код автоматично потрапляє у їхнє середовище. Страшне в тому, що жертви навіть не підозрюють про вторгнення, доки не станеться крадіжка активів — тоді вже пізно.

Північнокорейські хакери та міжнародна мережа відмивання грошей

Північнокорейська група Lazarus Group залишається найбільшою глобальною безпековою загрозою у 2025 році, за перші дев’ять місяців викравши близько 1,645 мільярдів доларів США. Ці цифри перевищують ВВП багатьох країн, що свідчить про жахливу потужність державних хакерських ресурсів. Процес відмивання Lazarus Group вже став індустріальним, з використанням міжланцюгових мостів для переказу крадених коштів між різними блокчейнами, застосуванням Tornado Cash та інших міксерів для маскування джерел коштів, а також змішуванням коштів у кількох інцидентах для ускладнення сліду.

Камбоджійська група Huione Group через підозру у допомозі у великомасштабних шахрайських потоках активів була під санкціями Управління з контролю за іноземними активами Мінфіну США (OFAC). Це ознаменувало перехід до міжнародних правоохоронних заходів у сфері боротьби з відмиванням грошей. Раніше Південно-Східна Азія вважалася сірим районом регулювання криптовалют, багато вузлів відмивання грошей були там. Але довгі руки США позбавили ці організації доступу до міжнародної фінансової системи, що суттєво послабило їхню діяльність.

Slow Mist підсумовує, що у 2025 році тенденції полягають у більш професійному підході до атак, більш прихованих злочинних зв’язках і посиленні регулятивних заходів. Безпека і відповідність вже не є лише питаннями захисту, а стали критеріями виживання бізнесу. Майбутня життєздатність Web3 залежатиме від здатності створити більш міцний внутрішній контроль безпеки і прозору модель управління коштами.