Блокбастер Beosin | Анализ ландшафта безопасности блокчейна Web3 в первой половине 2025 года
* Этот отчет подготовлен совместно Beosin и Footprint Analytics
1. Обзор ландшафта безопасности блокчейна Web3 в первой половине 2025 года
По данным Beosin Alert, общий ущерб, вызванный взломом, фишинговыми атаками и Rug Pull в сфере Web3 в первой половине 2025 года, составит около 2,138 миллиарда долларов. Среди них было 90 крупных атак, с общим ущербом около $2,093 млрд; Общие убытки Rug Pull составили около 3,2 миллиона долларов; Общий ущерб от фишинговых афер составил около 41,38 млн долларов.
С точки зрения типов атакованных проектов, биржи стали типом проектов с наибольшим количеством потерь. Шесть атак на биржевую платформу нанесли ущерб в общей сложности на сумму более $1,591 млрд, что составляет 74,4% всех потерь от атак.
С точки зрения суммы потерь каждой цепочки, Ethereum по-прежнему остается цепочкой с наибольшей суммой потерь и наибольшим количеством событий атаки. 81 атака на Ethereum нанесла ущерб на сумму $1,739 млрд, или 81,3% от общего ущерба. Суй потерял около $224 млн из-за инцидента с Cetus Protocol, заняв второе место.
Что касается методов атак, то в первом полугодии чаще всего проводились атаки с использованием контрактных уязвимостей — 63 атаки, которые привели к убыткам в размере $408 млн. Bybit был типом атаки с самым высоким процентом потерь из-за кражи $1,44 млрд из-за недостатка в инфраструктуре кошелька, на долю которого пришлось 67,4% от общих потерь от атак.
Что касается потоков средств, то в первом полугодии была заморожена или возвращена лишь небольшая часть (около $238 млн) украденных средств, а около 71,2% украденных средств до сих пор циркулируют в ончейн-кошельках и не перетекли на биржи или миксеры.
2. Обзор атак в первом полугодии 2025 года
В результате 90 крупных атак был нанесен ущерб на общую сумму 2,093 миллиарда долларов
В первой половине 2025 года Beosin Alert обнаружил в общей сложности 90 крупных атак в пространстве Web3 с общими потерями в 2,093 миллиарда долларов. Среди них было 2 инцидента безопасности с потерями более $100 млн, 7 инцидентов с потерями в диапазоне от $10 млн до $100 млн и 18 инцидентов с убытками в диапазоне от $1 млн до $10 млн.
Атаки с потерями более $10 млн (в алфавитном порядке):
● Bybit — $1,44 млрд
Метод атаки: Веб-энд безопасного кошелька подделан с платформой Chain: Ethereum
21 февраля криптовалютная биржа Bybit подверглась атаке, в результате которой с ее мультиподписного кошелька Safe было украдено около $1,44 млрд средств. Взломав серверы Safe, хакеры внедрили вредоносный код, который заменил обычные запросы на транзакции, в результате чего подписант подписал подделанную транзакцию без их ведома.
● Cetus Protocol - $224 млн
Метод атаки: уязвимость контракта Платформа цепочки: Sui
22 мая протокол DEX Cetus в экосистеме Sui подвергся атаке, уязвимость которой возникла из-за ошибки реализации операции shift-left в коде библиотеки с открытым исходным кодом. Впоследствии, в сотрудничестве с Фондом Суй и другими экологическими проектами, 162 миллиона долларов украденных средств на Суй были успешно заморожены.
● Nobitex - $90 млн
Метод атаки: пока не ясен Платформа цепи: мультичейн
18 июня Nobitex, крупнейшая криптовалютная биржа Ирана, объявила, что она подверглась взлому и потеряла более 90 миллионов долларов, включая различные криптовалюты, такие как BTC, ETH, Doge, XRP, SOL, TRX и TON. Произраильская группа под названием «Gonjeshke Darande» взяла на себя ответственность за атаку и охарактеризовала ее как удар по криптоинфраструктуре Ирана.
● Phemex - $70 млн
Метод атаки: утечка приватного ключа Платформа цепочки: мультичейн
23 января из горячего кошелька Phemex, сингапурской криптовалютной биржи, было украдено около 70 миллионов долларов в криптоактивах, включая несколько криптоактивов, таких как ETH, SOL, BTC, BNB, USDT и другие.
● UPCX - $70 млн
Метод атаки: уязвимость контроля доступа Платформа цепочки: Ethereum
1 апреля UPCX потеряла токены на сумму около $70 млн из-за несанкционированного доступа. Хакеры обновили контракт ProxyAdmin UPCX и впоследствии реализовали функцию, которая позволяла администраторам выводить средства, в результате чего средства переводились с трех разных управленческих счетов.
● Infini - $49,5 млн
Метод атаки: уязвимость управления разрешениями Платформа цепочки: Ethereum
24 февраля у Infini было украдено 49,5 миллионов долларов после того, как внутренний разработчик украл средства, обновив контракт, обманом заставив команду тайно сохранить привилегии управления контрактами.
● Abracadabra Finance - $13 млн
Метод атаки: уязвимость контракта Платформа цепочки: Ethereum
25 марта децентрализованный протокол кредитования Abracadabra Finance потерял около $13 млн, украв около 6 262 ETH из-за лазейки в контракте.
● Cork Protocol - $12 млн
Метод атаки: уязвимость контракта Платформа цепочки: Ethereum
28 мая был атакован Cork Protocol, протокол якорных активов в цепочке эфира, в результате чего злоумышленник получил прибыль в размере $12 млн за счет логической уязвимости в контракте проекта (ключевые параметры не были проверены).
● BitoPro - $11,5 млн
Метод атаки: утечка приватного ключа Платформа цепочки: мультичейн
2 июня криптобиржа BitoPro опубликовала заявление, подтверждающее атаку, заявив, что ее горячий кошелек подвергся атаке хакеров во время недавнего обновления системы кошелька и передачи криптоактивов, а аномальный отток средств из нескольких ончейн-горячих кошельков составил около $11,5 млн.
3. Тип проекта, который будет атакован
CEX — это тип проекта с наибольшим количеством убытков
Типом проектов с наибольшими потерями в первой половине года стали централизованные биржи: шесть атак на централизованные биржи нанесли убытки в общей сложности более чем на $1,591 млрд, из которых наибольший убыток пришелся на Bybit с убытком около $1,44 млрд. Остальные большие потери понесли Nobitex (около $90 млн убытков), Phemex (около $70 млн убытков), а также атакам подверглись Noones, BitoPro и Coinbase.
Второй по популярности тип — DeFi. Среди них у Cetus Protocol было украдено около $224 млн, что составляет 69,1% украденных средств в DeFi, а остальные DeFi-проекты с большими потерями — Abracadabra Finance ($13 млн), Cork Protocol (около $12 млн), Resupply (около $9,6 млн), zkLend (около $9,5 млн), Ionic (около $8,8 млн), Alex Protocol (примерно $8,37 млн).
Кроме того, в сфере криптоплатежей произошло 2 инцидента безопасности с потерей около $120 млн, что заняло третье место среди всех типов проектов. Другие типы проектов, которые подверглись атакам, включают: браузеры, контракты токенов, кроссчейн-мосты, стартовые площадки Memecoin и т. д.
4. Сумма потерь каждой цепочки
Ethereum — это цепочка с наибольшим количеством потерь и наибольшим количеством атак
Как и в предыдущие годы, Ethereum по-прежнему остается публичной цепочкой с наибольшим количеством потерь. 81 атака на Ethereum нанесла ущерб на сумму $1,739 млрд, или 81,3% от общего ущерба.
Второй по количеству атак является BNB Chain, в результате которой 33 атаки привели к общим потерям в размере около 42,53 миллиона долларов. BNB Chain имеет большое количество ончейн-атак и относительно небольшие потери, но по сравнению с аналогичным периодом прошлого года количество атак и сумма потерь значительно выросли, а сумма потерь увеличилась на 357%.
Arbitrum и Base заняли третье и четвертое места соответственно с убытками $21,2 млн и $13,05 млн соответственно. По сравнению с аналогичным периодом прошлого года количество атак на цепочку Arbitrum увеличилось, но сумма потерь снизилась на 71,8%; Количество атак на цепочку Base и сумма потерь значительно увеличились, а сумма потерь увеличилась на 294%.
5. Анализ методов атаки
70% атак исходят от контрактных уязвимостей
В первом полугодии было совершено 63 атаки на контрактные уязвимости, в результате которых убытки составили $408 млн, что является крупнейшим типом атаки, если не считать кражи Bybit из-за недостатка в инфраструктуре кошелька. В первом полугодии текущего года убытки от утечки приватного ключа были значительно ниже, чем за аналогичный период прошлого года, но общие потери все равно составили более $102 млн.
В разбивке по уязвимостям контрактов в тройку основных уязвимостей, приведших к убыткам, вошли: уязвимости бизнес-логики ($356 млн), недостатки алгоритмов ($21,37 млн) и уязвимости валидации ($12,7 млн). В тройку лидеров уязвимостей контрактов вошли уязвимости бизнес-логики (45 раз), уязвимости контроля доступа (7 раз) и дефекты алгоритмов (5 раз).
6. Анализ потока похищенных средств
Только 11,1% похищенных активов были заморожены и возвращены
Согласно анализу платформы по борьбе с отмыванием денег Beosin KYT, около $238 млн украденных средств в первой половине 2025 года были заморожены или возвращены, что составляет около 11,1%.
На биржи было переведено около $97,89 млн украденных средств, что составляет около 4,6%. В общей сложности $278 млн (13,0%) поступило в миксер: около $19,46 млн поступило в Tornado Cash; $259 млн было переведено на другие миксеры. В первой половине 2025 года по сравнению с прошлым годом наблюдался значительный рост похищенных средств за счет смешивания и отмывания монет.
7. Сводка о ситуации с безопасностью блокчейна Web3 в первой половине 2025 года
По сравнению с первой половиной 2024 года общие убытки от хакерства, фишинговых афер и Rug Pull в первой половине этого года значительно выросли, достигнув $2,138 млрд. Количество атак и потерь на биржи и основные публичные блокчейн-экосистемы в целом увеличивается, а ситуация в сфере безопасности Web3 по-прежнему очень серьезная.
Самой разрушительной атакой в первом полугодии стала кража Bybit, на которую пришлось около 67,4% потерь. С точки зрения типов проектов, атаки происходят по всей сфере Web3: биржи, DeFi, личные кошельки, инфраструктура, контракты токенов, платежные платформы, браузеры, платформы для запуска мемкоинов и т. д. Каждый владелец проекта Web3/отдельный пользователь должен проявлять бдительность при хранении закрытых ключей в автономном режиме, использовании мультиподписей, использовании сторонних сервисов с осторожностью, а также проведении регулярных обновлений разрешений и обучения безопасности для привилегированных сотрудников.
В первой половине года была заморожена или возвращена лишь небольшая часть активов, что говорит о том, что глобальные усилия по регулированию и борьбе с отмыванием денег все еще нуждаются в усилении. В первом полугодии доля украденных средств, переведенных хакерами на биржу, значительно снизилась, что связано с усилением биржей мер по борьбе с отмыванием денег, своевременным выявлением хакерского поведения, а также активным сотрудничеством с правоохранительными органами и участниками проекта по замораживанию средств и проведению верификации. В настоящее время сотрудничество биржи с правоохранительными органами, участниками проекта и командами безопасности достигло очевидных результатов, поэтому хакеры чаще стараются выбирать различные миксеры монет для отмывания средств.
Из 90 атак в первом полугодии 63 по-прежнему эксплуатировались контрактными уязвимостями, и команде проекта рекомендуется обратиться в профессиональную охранную компанию для проведения аудита перед запуском. Являясь одной из первых в мире компаний по безопасности блокчейна, занимающихся формальной проверкой, Beosin специализируется на экологическом бизнесе «безопасность + соответствие» и открыла филиалы в более чем 10 странах и регионах по всему миру, охватывая «универсальные» продукты соответствия блокчейну + услуги безопасности, такие как аудит безопасности кода перед запуском проекта, мониторинг рисков безопасности и блокировка во время выполнения проекта, восстановление после кражи, борьба с отмыванием виртуальных активов (AML) и оценка соответствия в соответствии с местными нормативными требованиями.