Хакерские атаки на криптосервисы: итоги 1 полугодия 2025 года
29
Киберугрозы остаются одной из наиболее острых и системных проблем криптовалютной индустрии. Атаки на централизованные биржи, мосты и DeFi-протоколы, а также массовые взломы частных пользователей, — всё это формирует устойчивую инфраструктуру, которая продолжает стремительно развиваться. Первая половина 2025 года продемонстрировала: киберпреступность в криптосфере — это налаженная и сформировавшаяся деятельность с масштабными финансовыми последствиями, имеющая усиливающуюся тенденцию. Наряду с фишинговыми атаками, скам-проектами и вирусами-вымогателями, хакерские атаки остаются одной из самых крупных угроз по охватам и ущербу.
О хакерских атаках за 1 квартал 2025 года можно почитать в нашем материале: Хакерские атаки на криптосервисы за 1 квартал 2025 года
По нашим данным, за первое полугодие 2025 года было зафиксировано более 80 масштабных хакерских атак, суммарный ущерб от которых составил $2,096 млрд. Эта сумма практически сравнялась с ущербом за весь 2024 год, который составил $2,169 млрд. Иными словами, за первые шесть месяцев текущего года хакеры нанесли урон сопоставимый со всем прошлым годом.
Кроме того, если сравнивать с аналогичным периодом прошлого года, когда ущерб составил $1,488 млрд, рост составил 40,9%, или более $608 млн. Это свидетельствует не только об увеличении числа атак, но и о росте их масштаба и эффективности.
Конечно, если говорить о сравнении между годами необходимо делать поправку на глобальный взлом биржи ByBit с ее $1.4 млрд., который безусловно «сделал кассу» в этом периоде. Без этого взлома 1 квартал 2025 года мог быть сопоставим по ущербу с таким же периодом прошлого года, а по итогам полугода даже меньше прошло годичного показателя.
К числу наиболее известных случаев взломов криптосервисов за 1 полугодие 2025 года можно отнести:
Биржи: ByBit (ущерб $1,4 млрд.), Nobitex (ущерб $100 млн.), Phemex (ущерб $69.1 млн.), BitoPro (ущерб $11,5 млн.), KiloEx (ущерб $7,5 млн.).
DeFi сервисы: Cetus Protocol (ущерб $220 млн.), UPCX (ущерб $70 млн.), Infini (ущерб $49,5 млн.), Meta Pool (ущерб $27 млн.), Abracadabra.Money (ущерб $19,5 млн.), Cork Protocol (ущерб $12 млн.), zkLend (ущерб $10 млн.), Resupply (ущерб $9,5 млн.), Ionic Finance (ущерб $8,8 млн.), Alex Lab (ущерб $8,37 млн.), Zoth (ущерб $8,3 млн.), Noones (ущерб $8 млн.), Loopscale (ущерб $5,8 млн.), Zksync (ущерб $5 млн.), DEX-агрегатор 1inch (ущерб $5 млн.), AdsPower (ущерб $4 млн.), Morpho Labs ($2,6 млн.), Moby trade (ущерб $2,5 млн.), Mobius (ущерб $2,15 млн.), Bom (ущерб $1,82 млн.), Term Labs (ущерб $1,6 млн.), Btcmapp ($1,3 млн.), Lnd Fi (ущерб $1,270 млн.), Nitron (ущерб $1 млн.), Orange finance (ущерб $830 тыс.), R0AR (ущерб $800 тыс.), WebKeyDao (ущерб $700 тыс.), Chill drone (ущерб $600 тыс.), Cardex (ущерб $500 тыс.), Synthetics Implemented Right (ущерб $355 тыс.).The Idols NFT (ущерб $340 тыс.), Four.Meme (ущерб $303 тыс.), MarginZero (ущерб $262 тыс.), Entangle (ущерб $250 тыс.), Wayfinder (ущерб $200 тыс.), MEV-бот (ущерб $180тыс.), Unilend Finance (ущерб $196,2 тыс.),AiXBT (ущерб $108 тыс.), Laura AI (ущерб $48 тыс.), Pika infinity (ущерб $45 тыс.), Sorra (ущерб $41 тыс.), Mosca (ущерб $19,6 тыс.), Request (ущерб $2 тыс.).
Мосты: Force Bridge (ущерб $3,7 млн.), Hacken (ущерб $250 тыс.), Odos (ущерб $98 тыс.).
Тенденции
Объекты устремлений и число атак:
За первые шесть месяцев 2025 года биржи стали лидерами по суммарным финансовым потерям среди всех категорий в криптоэкосистеме — их доля составила более 80,85% от общего объёма утерянных средств по трём ключевым направлениям. Это обусловлено рядом крупных инцидентов, среди которых выделяются взломы таких платформ, как ByBit, Nobitex, KiloEx и BitoPro.
Вторая по масштабу категория — DeFi сервисы, на долю которых пришлось 18,96% убытков. Несмотря на меньший общий объём потерь по сравнению с биржами, уязвимости в смарт-контрактах и протоколах продолжают приводить к значительным финансовым потерям.
Мосты — инфраструктура для межсетевых транзакций — понесли минимальные убытки, составляющие всего 0,21% от общего объёма. Тем не менее, с учетом растущей важности и использования мостов для перемещения активов между блокчейнами, это направление остаётся потенциально уязвимым и требует пристального и своевременного аудита.
Соотношение по количеству атак: DeFi сервисы доминируют по количеству атак с почти 78%, биржи занимают около 19%, а мосты — менее 3%.
Смена приоритетных целей: ведущие блокчейн-сети в фокусе хакеров
Распределение атак по блокчейн сетям: Ethereum 56%, BSC 12%, Arbitrum 8%, и оставшиеся Tron, Polygon, Stacks, Sonic, Sei, и другие. Таким образом, Ethereum в 1 полугодии 2025 года является наиболее атакуемым блокчейном, в нем совершено более половины всех хакерских атак. Binance Smart Chain и Arbitrum занимают второе и третье места по количеству атак, вместе составляя около 20% всех случаев.
По нашим наблюдениям, злоумышленники чаще всего конвертируют украденные средства из редких монет в «ходовые» и распространённые монеты USDT или ETH, после чего переводят их через различные сервисы для затруднения отслеживания — первое место по популярности занимает миксер Tornado Cash. Из числа инцидентов за исследуемый период значительно возросло использование кроссчейн мостов, которые позволяют быстро и анонимно перемещать украденные криптовалюты между разными блокчейн-сетями, что значительно усложняет процесс их отслеживания. Так в кейсе с хищением средств у криптобиржи ByBit использовался TorChain.
Распределение атак
Распределение атак между централизованными и децентрализованными сервисами в 1 полугодии 2025 года соотносится как: централизованные платформы стали главным объектом атак 94% всех потерь, остальные 6% пришлись на децентрализованные платформы.
Смещение вектора эксплойтов
Эксплуатация уязвимостей инфраструктурного слоя криптоэкосистемы стала вектором атак в первом полугодии 2025 года. Злоумышленники всё чаще фокусируются на похищении приватных ключей и seed-фраз, а также на использовании слабых мест в интерфейсах криптоплатформ. Такая стратегия позволяет им эффективно получать контроль над пользовательскими средствами или перенаправлять их на свои счета с минимальными рисками обнаружения. В результате именно инфраструктурный уровень стал превалирующей целью как для крупных хакерских группировок, так и для отдельных злоумышленников, что свидетельствует о смещении акцентов в методах атак на крипторынке.
Снижение количества мелких атак в DeFi при росте масштабных взломов
Наблюдается заметное сокращение числа мелких инцидентов в секторе DeFi, при этом значительно возросла масштабность отдельных атак. Крупные взломы с потерями в десятки и сотни миллионов долларов становятся всё более частым явлением, что указывает на сдвиг в стратегиях злоумышленников — вместо множества мелких атак они сосредотачиваются на взломах с максимально разрушительными последствиями.
Примеры крупных кейсов: Cetus Protocol — ущерб $220 млн., UPCX — ущерб $70 млн., Infini — ущерб $49,5 млн., Meta Pool — ущерб $27 млн., Abracadabra.Money — ущерб $19,5 млн., Cork Protocol — ущерб $12 млн., zkLend — ущерб $10 млн. Эти случаи демонстрируют тенденцию к концентрации ресурсов и усилий злоумышленников на крупные, тщательно спланированные атаки с целью максимального финансового ущерба.
Субъекты атак, участвующие во взломах
Наблюдается смещение в сторону сложных атак, проводимых профессиональными и хорошо скоординированными группами. Масштабные инциденты — от взломов бирж Bybit и Phemex до политически мотивированной атаки на Nobitex — демонстрируют, что доминирующими становятся не одиночки, а команды с ресурсами, чётким планом и технической экспертизой.
Киберпреступность всё чаще приобретает черты организованных операций с элементами кибервойны, об этом в том числе свидетельствуют элементы автоматизации, используемые похитителями. Так при анализе взлома криптобиржи Nobitex только по одному адресу за 2 часа было совершено 109 566 транзакций по отправке средств с адреса криптобиржи на адрес злоумышленников.
Способы хакерских атак:
Манипуляции ликвидностью и рынком — 68,19% — самый распространённый вектор атак во втором квартале, включая эксплойты флэш-кредитов, манипуляции ценой и ошибками в расчетах залога.
Уязвимости в смарт-контрактах — 28,90% включая недочёты в логике контрактов, возможность несанкционированного вызова функций, уязвимости в оракулах и фронтенде.
Фишинг — 2,91% снижение активности по сравнению с предыдущим кварталом, но всё ещё значимый вектор, особенно в случае получения доступа к административным аккаунтам и перехвата аирдропов.
Здесь необходимо отметить, что ключевую роль в хакерских атаках на криптосервисы играет социальная инженерия, которая является одним из самых эффективных методов обхода технических средств защиты. Вместо взлома сложных технических систем злоумышленники фокусируются на уязвимости человеческого фактора — манипулируют сотрудниками или пользователями, чтобы получить доступ к конфиденциальной информации или инфраструктуре сервис.
Анализ взломов показывает, что наиболее «эффективные» взломы использовали комбинацию способов, что всегда давало больший результат для похитителей.
Политико-ресурсная направленность атак
В первой половине 2025 года зафиксирован крупный (ущерб $100 млн.) взлом иранской криптобиржи Nobitex, который не носил цели хищения средств, а являлся показательным политическим взломом в целях давления на власть Ирана без цели завладения средствами. Более того, злоумышленники создали специально сгенерированные «вэнити»-адреса, куда отправили похищенные средства, при том, что восстановление этих адресов технически невозможно, то есть средства были отправлены «в один конец». Полагаем, что подобные тенденции взломов увеличатся по мере распространения массового использования криптовалют в ближайшие годы.
Проактивная заморозка украденных средств и их возврат:
Ключевые кейсы возврата или блокировки активов:
| Проект / Протокол | Украдено | Возвращено / Заморожено | Комментарий |
|---|---|---|---|
| KiloEx | $7,5 млн | $1,4 млн возвращено | Хакеру предложено вознаграждение 10% за возврат |
| Cetus Protocol (Sui) | $223 млн | $162 млн заморожено | Sui Foundation и валидаторы заморозили средства, адреса в чёрном списке |
| Meta Pool | $27 млн | $132 тыс. выведено, остальное заблокировано | Основные средства не были выведены |
| Term Labs | $1,6 млн | $1 млн спасено | Удалось удержать часть активов благодаря внутренним ограничениям |
| 1inch | $5 млн | $5 млн возвращено | Сработала схема white-hat/bug bounty |
| Moby Trade | $2,5 млн | $1,5 млн возвращено | Потери частично компенсированы через переговоры |
Система проактивной заморозки похищенных средств, использование AML-инструментов, а также переговоры с злоумышленниками помогают в ряде случаев вернуть средства, либо хотя бы их заблокировать, однако в процентом отношении к общему объему похищенных средств доля возврата составляет не более 5%. При этом следует отметить, что, если похитители профессионалы, либо действуют из политических интересов — они никогда средства сами не вернут.
Повторяемость атак
Также наблюдается тренд на повторяемость атак на те сервисы, которые удалось «успешно» взломать. Так, за первое полугодие 2025 было зафиксировано два таких случая (Four.Meme и Abracadabra.Money). Это связано с тем, что успешные атаки привлекают внимание и могут быть использованы для дальнейшего тестирования обхода систем безопасности. Помимо этого, страдает репутация атакуемых, которая может снизиться из-за оттока пользователей после обнаруженных инцидентов.
Выводы:
Ландшафт хакерских атак 1-й половины 2025 года можно охарактеризовать следующими тезисами:
-
Это самый крупный период по объемам похищенных средств за последние 3 года, сопоставимыми объемами может похвастаться только 2022 год.
-
По объемам ущерба атаки на централизованные сервисы является тотально преобладающими относительно децентрализованных платформ, при этом число атак на последние в несколько раз больше;
-
Основную часть взломов совершают профессиональные группировки;
-
Основной способ атак это комбинация социальной инженерии с использованием уязвимостей в смарт-контрактах и манипуляцией ликвидностью и рынком;
-
Хакерские атаки устремлены в большей степени на инфраструктуру криптосервисов, а не на взлом кода;
-
Хищение средств происходит в разных криптовалютах, но в большинстве случаев с использованием миксеров и кросс-чейн мостов ее переводят в ETH и USDT;
-
Возврат средств и их блокировки после хищения пока составляют не более 5% от общего объема похищенных средств.