Найгучніші криптозлами 2025 року: інциденти, що виявили слабкі місця індустрії

2025 рік став важливим для криптоіндустрії, але він виявився палицею з двома кінцями, якщо дивитися на ширшу картину.

З одного боку, індустрія дозріла з точки зору інституційного впровадження, з рекордною кількістю злиттів і поглинань.

Було укладено 267 угод на загальну суму 8,6 мільярда доларів, що зробило цей рік прибутковим для тих, хто зайняв правильну позицію в торгівлі. 

З іншого боку, збитки від зломів та експлойтів досягли рекордно високого рівня, виявивши, наскільки далеко ще потрібно пройти галузі у питаннях безпеки.

Дані компаній з безпеки, таких як SlowMist та CertiK, повідомили, що кількість інцидентів безпеки скоротилася на 50% у річному порівнянні, з понад 400 у 2024 році до приблизно 200 у 2025 році. 

Але обсяг фінансових втрат розповідає іншу історію. Загальна сума викрадених коштів зросла на 55% порівняно з попереднім роком, піднявшись до понад 3,4 мільярда доларів.

Хоча базова гігієна безпеки, така як регулярні аудити смартконтрактів та автоматичне виявлення помилок, успішно усуває легкі цілі, на які орієнтувалися хакери-аматори, характер атак принципово змінився.

Сучасні зловмисники більше не закидають широку мережу для пошуку дрібних уразливостей протоколів.

Натомість професійні групи, зокрема північнокорейська група Lazarus, витрачають місяці на розвідку та проникнення в інфраструктуру для здійснення одиночних катастрофічних ударів.

Індустрія зараз стикається з кризою якості над кількістю, де відбувається менше атак, але ті, що трапляються, набагато більш руйнівні.

На початку 2026 року, ось огляд чотирьох найбільших інцидентів безпеки 2025 року, які виявили багато слабких місць індустрії.

Біржа Bybit: 1,5 мільярда доларів

Найбільший інцидент року стався на дубайській криптобіржі Bybit, яка стала найбільшою підтвердженою крадіжкою, пов'язаною з підтримуваною Північною Кореєю групою Lazarus.

Зловмисники витратили місяці на побудову довіри з розробником Safe{Wallet}, провідного постачальника інфраструктури з мультипідписом, перш ніж їм вдалося впровадити шкідливий проєкт Docker, який непомітно встановив постійний бекдор.

Опинившись всередині, зловмисники впровадили шкідливий JavaScript у фронтенд-код інтерфейсу гаманця Safe, який використовувала внутрішня команда підписання Bybit.

Коли керівники Bybit входили в систему для підписання того, що здавалося звичайними внутрішніми транзакціями, користувацький інтерфейс відображав правильні адреси гаманців та суми.

Однак на рівні коду адреса призначення була тихо замінена на гаманці, контрольовані зловмисниками.

Було викрадено приблизно від 1,46 мільярда до 1,5 мільярда доларів в ETH, що вплинуло на велику кількість користувачів, які залишилися під впливом однієї з найсерйозніших збоїв безпеки, які бачила індустрія.

Інцидент виявив критичне слабке місце індустрії навколо довіри до користувацького інтерфейсу, підкреслюючи, що апаратні гаманці та пороги мультипідпису забезпечують незначний захист, якщо програмний рівень, що представляє деталі транзакції, був скомпрометований.

Og Bitcoin кит: 330 мільйонів доларів

Ще у квітні Bitcoin-кит епохи Сатоші, який тримав свої монети недоторканими понад десятиліття, став жертвою руйнівної атаки соціальної інженерії, що призвело до втрати 3 520 BTC вартістю приблизно 330,7 мільйона доларів на той момент.

Інцидент залишився в історії як найбільша індивідуальна крадіжка в історії індустрії, як було описано ончейн-детективом ZachXBT.

На відміну від атак, які націлені на код, ця використовувала дипфейки на основі ШІ та клонування голосу, щоб обійти психологічний захист жертви протягом кількох місяців.

Зловмисники, яких підозрюють у належності до організованого синдикату, що працює з витонченого кол-центру в Кемдені, Великобританія, використовуючи псевдоніми на кшталт "Ніна" та "Мо", створили хибне відчуття безпеки у літньої жертви, видаючи себе за довірених юридичних і технічних консультантів.

Зрештою, зловмисники направили жертву на підроблений портал "перевірки безпеки", який імітував офіційний сайт підтримки відомого постачальника гаманців, де жертву маніпулювали, щоб вона ввела свої приватні облікові дані або підписала конкретну транзакцію на своєму апаратному пристрої під приводом "оновлення акаунту". Кошти були миттєво переміщені.

Кошти були швидко відмиті через "ланцюги очищення" та конвертовані в приватну монету Monero (XMR), викликавши 50% стрибок ціни Monero через раптовий, масивний попит.

Інцидент зрештою виявив надзвичайну вразливість заможних осіб, які не мають послуг зберігання інституційного рівня, показавши, що жоден обсяг шифрування не може захистити активи, якщо людський рівень ефективно маніпулюється.

Експлойт протоколу Cetus: 223 мільйони доларів

Протокол Cetus, який є найбільшою децентралізованою біржею в мережі Sui, був експлуатований у травні через технічний збій у логіці його смартконтракту.

Експлуататор виявив критичну арифметичну помилку у спільній бібліотеці математики з відкритим кодом, що використовується для розрахунків ліквідності, що дозволило йому вивести приблизно 223 мільйони доларів у ліквідних активах.

Зокрема, функція була розроблена для безпечного масштабування чисел із фіксованою точкою шляхом зсуву їх вліво на 64 біти.

Однак вона містила логічну помилку в перевірці переповнення. Порівняння використовувало маску, яка була занадто великою, що дозволяло побітові зсуви, які мали бути відхилені.

Використовуючи флеш-позику для створення позиції постачальника ліквідності з надзвичайно вузьким діапазоном тіків, зловмисник ініціював арифметичне переповнення, точніше побітове обрізання, що призвело до того, що контракт розрахував необхідний депозит лише в 1 одиницю токена, все ще кредитуючи зловмисника величезною ліквідністю.

Потім зловмисник просто видалив ліквідність, претендуючи на реальні резерви пулу на основі помилково завищеного обліку.

Хоча валідатори Sui змогли скоординувати екстрене заморожування 162 мільйонів доларів активів до того, як їх можна було перемістити, чистий збиток все одно залишився одним з найбільших у 2025 році.

Це довело екосистемі децентралізованих фінансів, що сучасні, орієнтовані на безпеку мови, такі як Move, не є за своєю природою імунними до математичних помилок, і підкреслило, що математична строгість залишається обов'язковою вимогою в дизайні протоколів.

Balancer V2: 128 мільйонів доларів

Balancer постраждав від витонченого експлойту економічної інженерії в кількох мережах (Ethereum, Arbitrum та Base) у листопаді, оскільки зловмисник зміг використати крихітну розбіжність у тому, як протокол обробляв заокруглення точності під час внутрішніх обмінів.

Composable Stable Pools Balancer використовували різні напрямки заокруглення для масштабування та зменшення сум токенів для захисту інваріанта протоколу, який служить математичним якорем для алгоритму StableSwap, забезпечуючи підтримку пулом постійної загальної вартості та рівноваги під час обміну активами.

Зловмисник виявив, що штовхаючи баланси пулу в конкретний діапазон від 8 до 9 Wei, вони могли викликати втрату до 10% вартості цілочисельного ділення через помилки заокруглення вниз.

Згодом, використовуючи автоматизований контракт, зловмисник ініціював одну транзакцію, що містила понад 65 мікрообмінів.

Кожен обмін повторно зрізав кілька Wei вартості, збільшуючи втрату точності, поки внутрішній облік пулу не був повністю спотворений.

В результаті вони змогли скористатися накопиченою втратою точності, поки внутрішній облік пулу не був повністю спотворений, після чого вони могли карбувати LP токени за заниженою ціною та миттєво викупити їх за повною вартістю, вилучаючи мільйони без спрацювання будь-яких перевірок безпеки протоколу.

Публікація Найбільші криптозломи 2025 року: інциденти, що виявили слабкі місця індустрії вперше з'явилася на Invezz