Хакерские атаки на криптосервисы за 1 квартал 2025 года
0
В начале прошлого года мы выпустили исследование за первый квартал 2024 года, с которым можно ознакомиться по ссылке.
В первом квартале 2025 года криптовалютная индустрия столкнулась с рекордным по объемам уровнем атак и киберугроз. Наша команда зафиксировала, что общие финансовые потери, вызванные взломами и кибератаками на сервисы, составили $1,6 млрд, что на 147% больше, чем уровень ущерба за аналогичный период 2024 года. Более того, эта сумма составляет 73,8% от общей суммы, похищенной за весь 2024 год ($2,169 млрд.).
К числу наиболее известных случаев взломов криптосервисов за 1 квартал 2025 года можно отнести:
Биржи: ByBit (ущерб $1,4 млрд.), Phemex (ущерб $69,1 млн.).
DeFi сервисы: Infini (ущерб $49,5 млн.), Abracadabra.Money (ущерб $19,5 млн.), zkLend (ущерб $10 млн.), Ionic Finance (ущерб $8,8 млн.), Zoth (ущерб $8,3 млн.), Noones (ущерб $8 млн.), DEX-агрегатор 1inch (ущерб $5 млн.), AdsPower (ущерб $4 млн.), Moby trade (ущерб $2,5 млн.), Bom (ущерб $1,82 млн.), Orange finance (ущерб $830 тыс.), WebKeyDao (ущерб $700 тыс.), Chill drone (ущерб $600 тыс.), Cardex (ущерб $500 тыс.), Synthetics Implemented Right (ущерб $355 тыс.).The Idols NFT (ущерб $340 тыс.), Four.Meme (ущерб $303 тыс.), Entangle (ущерб $250 тыс.), Unilend Finance (ущерб $196,2 тыс.), AiXBT (ущерб $108 тыс.).
Частные лица: Suji-yan пользователь (ущерб $4 млн.), частный пользователь на блокчейне tron (ущерб $3,19 млн.), создатель мемкоина Unicorn (ущерб $1,2 млн.), частный пользователь (ущерб $1 млн.).
Мосты: Odos (ущерб $98 тыс.).
Тенденции
Объекты устремлений и число атак:
-
Общий объем утраченных средств в первом квартале 2025 года составил $1,6 млрд., он увеличился на 147% по сравнению с аналогичным периодом 2024 года, когда сумма ущерба составила всего $648,6 млн.
-
Самый большой ущерб от всех совершенных хакерских атак в этом квартале был нанесен биржам — 91,75% (тут, конечно, дело в полуторамиллиардном взломе биржи Bybit), на втором месте децентрализованные сервисы – 7,66%, на третьем месте частные лица – 0,58%, а на последнем мосты – 0,01%.
-
Соотношение по количеству атак: DeFi-сервисы составляют (78,38%); Частные лица (13,51%); Атаки на биржи (5,41%); Атаки на мосты (2,70%).
Какие сети самые популярные для хакерских атак: изменение фокуса
-
Распределение атак по блокчейн сетям: Ethereum 52.5%, BNB Chain 15%, Arbitrum 7.5%, Solana 7.5%, и оставшиеся Tron, Polygon и другие. Таким образом, Ethereum в 1 квартале 2025 года является наиболее атакуемой сетью, в нем совершено более половины всех хакерских атак.
-
Процент атак на сеть Ethereum в первом квартале 2025 года снизился на 5.5% по сравнению с 2024 годом. Это может указывать на то, что в 2025 году внимание хакеров переключилось на другие сети, такие как BNB Chain и Arbitrum.
-
По нашим наблюдениям злоумышленники обычно конвертируют украденные средства в USDT или ETH, а затем направляют на различные мосты и миксеры.
Субъекты атак, участвующие во взломах
- В первом квартале 2025 года наблюдается явное преобладание групп хакеров над одиночками-энтузиастами. Это связано с высокой сложностью атак и масштабами операций, такими как взломы крупных бирж (Bybit, Phemex) и манипуляции с ликвидностью на DeFi-сервисах. Эти атаки требуют высокой слаженности и координации, а также доступа к техническим инструментам, что характерно для организованных групп, имеющих финансирование для совершения атаки.
Важно отметить, что большая часть потерь в первом квартале 2025 года возлагается на северокорейскую хакерскую группу Lazarus Group. Именно эта группа организовала атаки на биржи Bybit и Phemex, похитив в общей сложности $1,4691 млрд долларов. Анализ тестовых транзакций, связанных кошельков и движения украденных средств подтвердил связь между этими атаками.
Чтобы скрыть происхождение украденных средств, Lazarus Group использовали децентрализованные сервисы и мосты, чтобы спрятать исходные адреса, далее преобразовывали украденные активы в BTC или USDC для минимизации риска блокировки. После разбивали суммы на мелкие части, отправляли через промежуточные адреса и применяли протоколы, такие как LiFi и Across, а в итоге вывели все средства в BTC на свой основной кошелек.
Способы хакерских атак:
-
Наибольшую угрозу для криптовалютных платформ представляют уязвимости в смарт-контрактах, так как многие из них не проходят должного аудита и содержат ошибки в коде, которые могут быть использованы хакерами. Их доля составляет 41,46%.
-
Использование фишинга и социальной инженерии. Хакеры активно манипулируют пользователями и работниками компаний, в том числе и бывшими для проникновения в уязвимые системы платформ — они располагаются на втором месте с долей в 29,27%.
-
Атаки с использованием ликвидности и манипуляциями рынком. Такие атаки позволяют манипулировать рыночными условиями, что в свою очередь приводит к значительным финансовым потерям для других участников — их доля составляет 24,39%.
-
Уязвимости в мультиподписных кошельках представляют собой серьезную угрозу, несмотря на их репутацию относительно безопасного метода хранения криптовалют. Примером является инцидент с криптовалютной биржей Bybit, где хакеры использовали уязвимости в пользовательском интерфейсе мультиподписного кошелька. Еще один пример — атака на протокол Orange Finance. Доля подобных атак составляет 4,88%.
Возврат средств и повторяемость атак
В течение первого квартала 2025 года удалось частично восстановить похищенные активы в двух отдельных инцидентах. Общая сумма возвращенных средств составила $6,5 млн., что эквивалентно лишь 0,4% от общего объема утраченных активов. Данный показатель свидетельствует о значительном снижении эффективности мер по возврату украденных средств по сравнению с предыдущими периодами.
| Название платформы | Похищено | Удалось вернуть |
|---|---|---|
| 1linch | $5,000,000 | $5,000,000 |
| Moby Trade | $2,500,000 | $1,500,000 |
Это возможно объяснить тем, что для хакеров возврат средств может быть выгодным, если они могут сделать это анонимно и безопасно, получив при этом вознаграждение в виде процента от похищенных средств. Однако в условиях усиленного контроля со стороны правоохранительных органов и крупных криптокомпаний, такие операции становятся более рискованными для самих хакеров.
Также наблюдается тренд на повторяемость атак на те сервисы, которые удалось «успешно» взломать. Так, за первый квартал было зафиксировано два таких случая (Four.Meme и Abracadabra.Money). Успешные атаки привлекают внимание и могут быть использованы для дальнейшего тестирования обхода систем безопасности. Помимо этого, страдает репутация атакуемых, которая может снизиться из-зи оттока пользователей после обнаруженных инцидентов.