2025 год нанес существенный урон сфере блокчейна и криптовалют в плане безопасности. По данным аналитики, основанной на исследованиях Chainalysis и ранее опубликованной The Block, общая сумма похищенных средств в 10 крупнейших инцидентах достигла $2,2 миллиарда. Эта цифра практически идентична показателям 2024 года.
Особенность 2025 года заключается в характере распределения потерь. Несмотря на увеличение количества средних по масштабу взломов, год ознаменовался беспрецедентным случаем в истории криптоиндустрии — взломом Bybit на сумму $1,4 миллиарда в феврале.
Атаки затронули все сегменты криптоиндустрии:
В течение года произошла серия серьезных инфраструктурных провалов, сопровождавшихся изощренными атаками на протокольном уровне. Злоумышленники нацелились на ликвидность, оракулы и привилегированные точки доступа. На основе данных DeFiLlama и собственных расследований, The Block составил рейтинг крупнейших криптовзломов 2025 года по размеру ущерба.
Дубайская биржа Bybit подверглась беспрецедентной атаке 21 февраля. Хакеры похитили около 401,000 ETH из кошельков, связанных с платформой. На момент инцидента стоимость украденных средств составила колоссальные $1.4 миллиарда, что сделало этот случай крупнейшей кражей криптовалюты за всю историю.
Компании, специализирующиеся на onchain-безопасности, выявили схему вывода средств из мультисиг-кошельков на базе Safe. Атака затронула несколько блокчейн-сетей, включая Ethereum и Arbitrum. Похищенные активы оперативно перемещались через цепочку новых адресов. В ходе расследования эксперты пришли к выводу, что причиной инцидента стала компрометация ключей подписи или фишинговая атака, направленная на внутреннюю систему кошельков Bybit.
Независимые аналитики обнаружили нетипичные паттерны подтверждений в затронутых Smart-контрактах Safe. Это указывало на то, что злоумышленник получил достаточный уровень доступа для авторизации транзакций в нескольких сетях, обходя стандартные механизмы защиты.
В ответ на ситуацию Bybit незамедлительно приостановил все операции по выводу средств, инициировал внутреннее расследование и начал взаимодействие с аналитическими компаниями и правоохранительными органами.
Биржа заверила пользователей в сохранности их средств и приступила к восстановлению инфраструктуры кошельков. Тем временем специалисты по отслеживанию блокчейна наблюдали за перемещением похищенных активов через различные мосты и сервисы микширования.
22 мая децентрализованная биржа Cetus, функционирующая на базе блокчейна Sui, подверглась серьезной атаке. В результате эксплоита было скомпрометировано ликвидности на сумму около $223 миллионов в пиковый момент.
Злоумышленник реализовал свой план, создав поддельные токены, которые имитировали легитимные активы на уровне пула. Затем, воспользовавшись уязвимостью в протоколе обработки этих активов, атакующий смог манипулировать ценами и вывести ликвидность из системы.
В процессе обмена поддельных токенов через скомпрометированные пулы ликвидности произошло резкое расхождение цен в сети с внешними рыночными показателями. Математические алгоритмы автоматического маркет-мейкера и связанные интеграции воспринимали фальшивые активы как настоящие. Это позволило злоумышленнику извлекать выгоду, оставляя поставщиков ликвидности с обесцененными или неверно оцененными позициями. Ряд проектов экосистемы Sui, направлявших поток ордеров через Cetus, столкнулись с искажением ценообразования.
В ответ на ситуацию Cetus предпринял экстренные меры: приостановил торговлю, заблокировал затронутые контракты и позже начал поэтапное возобновление работы после внедрения исправлений в контракты и согласования действий с партнерами по экосистеме.
Команде удалось вернуть часть пострадавших средств благодаря контрмерам и переговорам, однако даже после всех восстановительных действий чистые потери остались значительными.
3 ноября протокол децентрализованных финансов Balancer сообщил о масштабной мультичейн-атаке, затронувшей активы на сумму около $128 миллионов в стабильных пулах V2. Причиной инцидента стала уязвимость в математических расчетах пула, связанная с ошибками округления. Злоумышленники смогли провести специально сконструированные обмены, извлекая выгоду из несоответствий между внутренним учетом и фактическими балансами пулов.
В сети злоумышленник методично проводил циклические операции с активами через скомпрометированные пулы. Последовательность депозитов и выводов эксплуатировала особенности округления. При каждом цикле атакующий получал выгоду, сохраняя внешне корректное состояние пула. Такая схема позволила провести атаку сразу на нескольких блокчейнах до того, как Balancer и партнеры смогли отреагировать.
Команда протокола призвала поставщиков ликвидности срочно вывести средства из подверженных риску пулов, после чего приступила к отключению уязвимых конфигураций.
В ходе анализа инцидента Balancer подтвердил, что уязвимость затронула только пулы composable stable, не распространившись на основную архитектуру V2. Благодаря совместным действиям белых хакеров и принятым мерам безопасности удалось восстановить десятки миллионов долларов, которые сейчас возвращаются пострадавшим пользователям.
Криптовалютная биржа Bitget сообщила о значительных убытках в размере около $100 миллионов, связанных с операциями на рынке VOXEL. Проведенный анализ данных в сети выявил небольшую группу из восьми аккаунтов, которые систематически взаимодействовали с маркет-мейкинговой инфраструктурой Bitget, используя недостаток в логике работы торгового бота биржи.
20 апреля злоумышленники осуществили манипуляцию с котировками маркет-мейкера, используя фронт-раннинг аномальных цен. Это позволило им приобретать VOXEL по искусственно заниженным ценам и продавать их по завышенным предложениям. В результате они получили значительную прибыль при минимальных рисках, быстро вывели средства, превратив внутреннего бота в источник убытков для казначейства Bitget.
Биржа Bitget классифицировала данный инцидент как рыночную манипуляцию и эксплуатацию инфраструктуры. Руководство платформы заявило о намерении инициировать судебное преследование причастных аккаунтов и провести полный аудит системы маркет-мейкинга.
Биржа также объявила о временной приостановке торгов VOXEL, ужесточении правил надзора за низколиквидными рынками и подтвердила сохранность спотовых балансов и деривативных позиций пользователей.
Централизованная криптовалютная платформа Phemex подверглась серьезной хакерской атаке 23 января, в результате которой злоумышленники вывели примерно $85 миллионов в криптовалюте из горячих кошельков биржи. Анализ блокчейн-данных показал перемещение активов с адресов, принадлежащих Phemex, на новые кошельки. Характер атаки указывает на компрометацию приватных ключей операционных кошельков биржи.
По данным служб безопасности, отслеживавших инцидент, злоумышленники осуществили несколько крупных транзакций в Bitcoin, Ethereum и стейблкоинах за короткий промежуток времени. Часть похищенных средств впоследствии была направлена через сервисы микширования криптовалют.
В ответ на атаку руководство Phemex незамедлительно приостановило все операции по выводу средств. Оставшиеся активы были переведены в защищенное хранилище. Параллельно началось расследование, призванное установить природу взлома — внешнее проникновение или компрометация внутренних учетных данных.
Представители биржи заверили пользователей в полной компенсации потерянных средств. Также была начата работа над усовершенствованием системы безопасности, включая более строгое управление ключами и усиленный контроль доступа.
Несмотря на активное отслеживание похищенных средств регуляторами и аналитическими компаниями через различные блокчейны, значительную часть украденных активов так и не удалось вернуть.
18 июня произошло серьезное нарушение безопасности иранской криптовалютной биржи Nobitex, в результате которого злоумышленники смогли вывести от 80 до 90 миллионов долларов из горячих кошельков платформы. Блокчейн-эксперты, включая известного онлайн-детектива ZachXBT, обнаружили масштабные подозрительные транзакции с адресов, традиционно связанных с Nobitex. Необычные перемещения затронули различные криптовалюты, включая BTC, ETH и другие токены, что сразу вызвало предположения о компрометации горячих кошельков биржи.
Сначала биржа Nobitex приостановила часть своих сервисов, а затем подтвердила факт взлома некоторых кошельков. Специалисты по безопасности отследили перемещение похищенных средств через множество транзакций, причем часть денег была обнаружена в сервисах микширования, а другая конвертирована в более ликвидные активы для сокрытия следов.
Представители биржи заверили пользователей, что холодные кошельки остались в безопасности, и пообещали восстановить балансы клиентов. По мере расследования Nobitex поэтапно возобновляла работу платформы. Местные иранские СМИ акцентировали внимание на сложностях регуляторного и банковского характера, возникающих при реагировании на крупную кражу криптовалют в условиях иранской юрисдикции.
Компания воздержалась от публичного раскрытия подробного технического анализа первопричины инцидента, лишь отметив, что затронутые кошельки были обновлены и усилены с точки зрения безопасности.
24 февраля необанк Infini, специализирующийся на стейблкоинах, подвергся хакерской атаке с потерей примерно $49.5 миллионов. Эксперты по безопасности связали инцидент с неучтенными привилегиями разработчиков в смарт-контрактах проекта. Наблюдатели в сети зафиксировали, как вскоре после атаки адрес с расширенными правами доступа начал перемещать контролируемые протоколом средства на кошелек злоумышленника.
Успешная атака стала возможной из-за неправильно настроенной административной функции. Этот недочет позволил злоумышленнику вывести обеспечение и стейблкоины из резервов протокола, минуя стандартные пользовательские процедуры. Эксперты подчеркнули, что структура разрешений предоставила атакующему широкие возможности управления ключевыми финансовыми потоками. Это вызвало серьезные вопросы к качеству внутренних проверок и аудита Infini.
В ответ на инцидент Infini предприняла экстренные меры: приостановила работу платформы, деактивировала скомпрометированные смарт-контракты и настоятельно рекомендовала пользователям воздержаться от взаимодействия с протоколом на время оценки масштабов ущерба.
После инцидента команда пересмотрела свой подход к управлению и контролю доступа, признав случившееся серьезным сигналом к действию. Начались активные консультации с white hat хакерами и аудиторами по вопросам возможного возврата средств и потенциального перезапуска платформы.
14 августа турецкая биржа BtcTurk сообщила о выявлении «нестандартных транзакций» из своих горячих кошельков. Первыми тревогу забили блокчейн-аналитики, заметившие вывод криптовалюты на сумму более $48 миллионов с адресов, принадлежащих платформе.
В течение короткого промежутка времени различные криптоактивы были переведены на новые адреса. Характер перемещений указывал на компрометацию приватных ключей части инфраструктуры биржи.
BtcTurk незамедлительно приостановил операции по вводу и выводу средств, подчеркнув, что основная часть резервов находилась в холодных кошельках и осталась в безопасности. Биржа инициировала ротацию инфраструктуры кошельков и начала сотрудничество с партнерами. Binance, в частности, позже сообщила о заморозке части предположительно похищенных активов, чтобы предотвратить их дальнейшее перемещение.
Учитывая статус BtcTurk как одной из старейших криптовалютных площадок Турции, местные власти и СМИ пристально следили за развитием ситуации. Компания заявила о намерениях усилить систему безопасности, однако полный технический отчет о первоначальном взломе публично не представила.
19 июля индийская криптовалютная биржа CoinDCX подверглась серьезной кибератаке, в результате которой было похищено $44,2 миллиона. Расследование показало, что злоумышленники получили несанкционированный доступ к серверной инфраструктуре биржи, что позволило им проникнуть в критически важные системы.
Атакующие оперативно вывели средства из определенных горячих кошельков, перемещая их между различными блокчейнами. Аналитические платформы практически мгновенно зафиксировали подозрительные транзакции.
Согласно заявлению CoinDCX, внутренние логи указывали на компрометацию инфраструктуры, а не на традиционную уязвимость в протоколе. Последующее расследование местной полиции привело к аресту сотрудника биржи, предположительно причастного к хищению. Этот факт подтвердил, что инцидент представлял собой комбинацию внешнего вторжения и внутреннего соучастия.
Биржа оперативно приостановила работу затронутых сервисов, обновила ключи доступа и взяла на себя обязательство возместить потери клиентов. CoinDCX подчеркнула, что холодные кошельки остались в безопасности, а компания начала сотрудничество с правоохранительными органами и специалистами по кибербезопасности для возврата активов и усиления защитных механизмов.
Децентрализованная биржа деривативов GMX подверглась атаке 9 июля, в результате которой было похищено около $42 миллионов через уязвимость в системе V1 на сети Arbitrum. Эксперты по безопасности установили, что злоумышленник использовал уязвимость типа «повторный вход» в смарт-контракте, связанном с пулом ликвидности GLP протокола. Атакующий многократно вызывал функции контракта таким образом, что смог вывести больше активов, чем предполагалось системой.
Злоумышленник методично использовал уязвимость контракта, последовательно истощая ликвидность пула GLP. При этом на начальных этапах атаки операции выглядели как обычные транзакции, что позволило незаметно выводить средства. Аномальная активность была обнаружена только после существенного ущерба для поставщиков ликвидности.
В ответ на инцидент команда GMX предприняла срочные меры безопасности. Они приостановили торговые операции на затронутых площадках и заблокировали возможность создания и погашения токенов GLP в версии V1. Важно отметить, что система GMX V2 и сам токен GMX не пострадали от атаки. Разработчики сразу приступили к исправлению уязвимостей в контрактах, начав сотрудничество с аудиторами и сообществом для поиска решений, включая возможные схемы компенсации пострадавшим поставщикам ликвидности.
Дата публикации: 21:20 МСК - 01.01.2026
Вот это да