Блокбастер Beosin | Аналіз ландшафту безпеки блокчейну Web3 у першій половині 2025 року
*Цей звіт підготовлено спільно компаніями Beosin та Footprint Analytics
1. Огляд ландшафту безпеки блокчейну Web3 у першій половині 2025 року
За даними Beosin Alert, загальні збитки, спричинені хакерством, фішинговими атаками та Rug Pull у сфері Web3 у першій половині 2025 року, становитимуть близько $2,138 млрд. Серед них було 90 великих атак із загальним збитком близько $2,093 млрд; Загальні збитки Rug Pull склали приблизно $3,2 млн; Загальний збиток від фішингових шахрайств склав близько $41,38 млн.
З точки зору типів проєктів, які зазнають атак, біржі стали типом проєктів із найбільшою сумою збитків. Шість атак на біржову платформу завдали збитків на загальну суму понад $1,591 млрд, що становить 74,4% від усіх збитків від атак.
З точки зору кількості втрат кожного ланцюга, Ethereum, як і раніше, є ланцюгом з найбільшою сумою втрат і найбільшою кількістю подій атак. 81 атака на Ethereum завдала збитків на $1,739 млрд, або 81,3% від загальних збитків. Sui втратила близько $224 млн через інцидент з Cetus Protocol, посівши друге місце.
Що стосується методів атак, то в першому півріччі найчастішими були атаки, які використовували вразливості контрактів, загалом було здійснено 63 атаки, що призвело до збитків у розмірі 408 мільйонів доларів. Bybit був типом атак з найвищим відсотком втрат через $1,44 млрд, вкрадених через недолік в інфраструктурі гаманця, що склало 67,4% від загальних втрат від атак.
Що стосується потоків коштів, то лише невелика частина (близько $238 млн) вкрадених коштів була заморожена або повернута в першому півріччі, а близько 71,2% вкрадених коштів все ще циркулюють в ончейн гаманцях і не надійшли на біржі або міксери.
2. Огляд атак у першій половині 2025 року
90 великих атак призвели до збитків на загальну суму 2,093 мільярда доларів
У першій половині 2025 року Beosin Alert виявив загалом 90 великих атак у просторі Web3 із загальним збитком у розмірі $2,093 млрд. Серед них зафіксовано 2 інциденти з безпекою зі збитками понад $100 млн, 7 інцидентів зі збитками в діапазоні від $10 млн до $100 млн та 18 інцидентів зі збитками в діапазоні від $1 млн до $10 млн.
Атаки зі збитками, що перевищують $10 млн (в алфавітному порядку):
Bybit – $1,44 млрд
Метод атаки: фронтенд безпечного гаманця підроблено з платформою Chain: Ethereum
21 лютого криптовалютна біржа Bybit зазнала атаки, а з її гаманця з мультипідписом Safe було вкрадено близько $1,44 млрд коштів. Зламавши сервери Safe, хакери встановили шкідливий код, який замінив звичайні запити на транзакції, змушуючи підписувача підписувати підроблену транзакцію без їхнього відома.
● Протокол Cetus – 224 мільйони доларів
Метод атаки: вразливість контракту Платформа ланцюга: Sui
22 травня протокол DEX Cetus в екосистемі Sui був атакований, і його вразливість виникла через помилку реалізації операції зсуву вліво в коді бібліотеки з відкритим вихідним кодом. Згодом, завдяки співпраці Фонду Sui та іншим екологічним проектам, 162 мільйони доларів вкрадених коштів на Sui були успішно заморожені.
● Nobitex – $90 млн
Метод атаки: ще не зрозумілий Платформа ланцюга: мультичейн
18 червня Nobitex, найбільша криптобіржа Ірану, оголосила, що була зламана і втратила понад 90 мільйонів доларів, включаючи різні криптовалюти, такі як BTC, ETH, Doge, XRP, SOL, TRX і TON. Проізраїльське угруповання під назвою «Gonjeshke Darande» взяло на себе відповідальність за атаку та охарактеризувало її як удар по криптоінфраструктурі Ірану.
● Phemex – 70 мільйонів доларів
Метод атаки: витік приватного ключа Платформа ланцюга: мультичейн
23 січня з гарячого гаманця Phemex, сінгапурської криптовалютної біржі, було вкрадено близько 70 мільйонів доларів у криптоактивах, що включають кілька криптоактивів, таких як ETH, SOL, BTC, BNB, USDT та інші.
● UPCX – 70 мільйонів доларів
Метод атаки: вразливість контролю доступу Платформа ланцюга: Ethereum
1 квітня UPCX втратив токенів на суму близько $70 млн через несанкціонований доступ. Хакери оновили контракт UPCX ProxyAdmin і згодом запустили функцію, яка дозволяла адміністраторам виводити кошти, в результаті чого кошти переводилися з трьох різних управлінських облікових записів.
● Infini – 49,5 мільйонів доларів
Метод атаки: уразливість управління дозволами Платформа ланцюга: Ethereum
24 лютого з Infini було вкрадено 49,5 мільйона доларів після того, як внутрішній розробник вкрав кошти, оновивши контракт, обманом змусивши команду таємно зберегти привілеї управління контрактами.
● Abracadabra Finance – 13 мільйонів доларів
Метод атаки: вразливість контракту Платформа ланцюга: Ethereum
25 березня Abracadabra Finance, протокол децентралізованого кредитування, втратив близько $13 млн, вкравши близько 6 262 ETH через лазівку в контракті.
● Cork Protocol – 12 мільйонів доларів
Метод атаки: вразливість контракту Платформа ланцюга: Ethereum
28 травня атаку зазнав Cork Protocol — протокол якірних активів у ланцюжку Ether, і зловмисник отримав прибуток у розмірі $12 млн через логічну вразливість у контракті проєкту (ключові параметри не були перевірені).
● BitoPro – $11,5 млн
Метод атаки: витік приватного ключа Платформа ланцюга: мультичейн
2 червня криптобіржа BitoPro опублікувала заяву, що підтверджує атаку, заявивши, що її гарячий гаманець був атакований хакерами під час нещодавнього оновлення системи гаманця та переказу криптоактивів, а аномальний відтік коштів із кількох гарячих гаманців у мережі становив близько $11,5 млн.
3. Тип проекту, який буде атаковано
CEX – це тип проекту з найбільшою сумою збитків
Типом проєктів із найбільшими втратами у першому півріччі стали централізовані біржі: шість атак на централізовані біржі загалом завдали збитків на суму понад $1,591 млрд, з яких найбільший збиток припав на Bybit зі збитком близько $1,44 млрд. Решта найбільших збитків – Nobitex (близько $90 млн збитків), Phemex (близько $70 млн збитків), а також атаки зазнали Noones, BitoPro та Coinbase.
Другим за кількістю атак типом є DeFi. Серед них з Cetus Protocol було вкрадено близько $224 млн, що становить 69,1% вкрадених коштів у DeFi, а решта проєктів DeFi з більшими збитками – Abracadabra Finance ($13 млн), Cork Protocol (близько $12 млн), Resupply (близько $9,6 млн), zkLend (близько $9,5 млн), Ionic (близько $8,8 млн), Alex Protocol (приблизно $8,37 млн).
Крім того, у сфері криптоплатежів сталося 2 інциденти безпеки, збитки яких склали близько $120 млн, посівши третє місце серед усіх типів проєктів. Інші типи проєктів, які зазнали атаки, включають: браузери, контракти на токени, кросчейн-мости, лаунчпади Memecoin тощо.
4. Сума втрати кожного ланцюга
Ethereum – це ланцюжок з найбільшою кількістю втрат і найбільшою кількістю атак
Як і в попередні роки, Ethereum все ще залишається публічним ланцюгом з найбільшою сумою збитків. 81 атака на Ethereum завдала збитків на $1,739 млрд, або 81,3% від загальних збитків.
Другим за кількістю атак є публічний ланцюг із загальною кількістю атак – BNB Chain, 33 атаки завдали загальних збитків у розмірі близько $42,53 млн. BNB Chain має велику кількість ончейн-атак і відносно невеликі збитки, але в порівнянні з аналогічним періодом минулого року кількість атак і сума збитків значно зросли, а сума збитків зросла на 357%.
Arbitrum і Base посіли третє і четверте місця відповідно зі збитками в $21,2 млн і $13,05 млн відповідно. У порівнянні з аналогічним періодом минулого року кількість атак на ланцюжок Arbitrum зросла, але сума збитків зменшилася на 71,8%; Кількість атак Base chain та сума збитків значно зросли, а сума збитків зросла на 294%.
5. Аналіз методів атаки
70% атак відбуваються через вразливості контрактів
У першому півріччі було здійснено 63 атаки на вразливості контрактів, що призвело до збитків у розмірі $408 млн — це найбільший тип атак, якщо не брати до уваги крадіжку Bybit через недолік в інфраструктурі гаманця. У першому півріччі цього року збитки, спричинені зломом приватного ключа, були значно нижчими, ніж за аналогічний період минулого року, але загальні збитки все одно склали понад $102 млн.
У розрізі вразливостей контрактів до трійки найбільших вразливостей, які завдали збитків, увійшли: вразливості бізнес-логіки ($356 млн), недоліки алгоритмів ($21,37 млн) та вразливості валідації ($12,7 млн). До трійки найбільших вразливостей контрактів увійшли вразливості бізнес-логіки (45 разів), вразливості контролю доступу (7 разів) та дефекти алгоритмів (5 разів).
6. Аналіз потоку вкрадених коштів
Лише 11,1% вкрадених активів було заморожено та повернуто
Згідно з аналізом платформи по боротьбі з відмиванням грошей Beosin KYT, близько $238 млн вкрадених коштів у першому півріччі 2025 року було заморожено або повернуто, що становить близько 11,1%.
На біржі було перераховано близько $97,89 млн вкрадених коштів, що становить близько 4,6%. Загалом на міксер пішло $278 млн (13,0%): близько $19,46 млн — Tornado Cash; $259 млн було переведено на інші міксери. У першому півріччі 2025 року спостерігалося значне зростання викрадених коштів через змішування монет та відмивання порівняно з минулим роком.
7. Підсумок ситуації з безпекою блокчейну Web3 у першій половині 2025 року
Порівняно з першим півріччям 2024 року, загальні збитки, спричинені хакерством, фішинговими атаками та Rug Pull у першій половині цього року, значно зросли, досягнувши $2,138 млрд. Кількість атак і збитків на біржах і основних екосистемах публічних ланцюгів зростає в цілому, а ситуація в сфері безпеки Web3 все ще дуже серйозна.
Найбільш руйнівною атакою в першому півріччі стала крадіжка Bybit, на яку припало близько 67,4% збитків. З точки зору типів проєктів, атаки відбуваються по всій сфері Web3: біржі, DeFi, особисті гаманці, інфраструктура, контракти на токени, платіжні платформи, браузери, платформи для запуску Memecoin тощо. Кожен власник проєкту Web3/окремий користувач має бути пильним щодо зберігання приватних ключів в автономному режимі, використання мультипідпису, обережного використання сторонніх служб та проведення регулярних оновлень дозволів і навчання з безпеки для привілейованих співробітників.
Лише невелика частина активів була заморожена або відновлена в першій половині року, що свідчить про те, що глобальні регуляторні зусилля та зусилля щодо боротьби з відмиванням грошей все ще потребують посилення. У першому півріччі частка вкрадених коштів, переказаних хакерами на біржу, значно знизилася, що пов'язано з посиленням біржею боротьби з відмиванням грошей, своєчасним виявленням хакерської поведінки, активною співпрацею з правоохоронними органами та сторонами проєкту щодо заморожування коштів та проведення верифікації. В даний час співпраця біржі з правоохоронними органами, сторонами проекту і командами безпеки досягла очевидних результатів, тому хакери частіше намагаються вибрати різноманітні міксери монет для відмивання коштів.
Серед 90 атак у першому півріччі 63 все ще були використані вразливостями контрактів, і команді проекту рекомендується звернутися до професійної охоронної компанії для проведення аудиту перед запуском. Як одна з перших у світі компаній з безпеки блокчейну, що займається офіційною верифікацією, Beosin зосереджується на екологічному бізнесі «безпека + відповідність» і створила філії в більш ніж 10 країнах і регіонах по всьому світу, охоплюючи «універсальні» продукти відповідності блокчейну + послуги безпеки, такі як аудит безпеки коду перед запуском проекту, моніторинг ризиків безпеки та блокування під час виконання проекту, відновлення після крадіжки, боротьба з відмиванням грошей віртуальними активами (AML) та оцінка відповідності відповідно до місцевих нормативних вимог.