2025 годовой отчет по безопасности Web3: атаки на цепочку поставок становятся крупнейшей угрозой

作者：Beosin

Введение

Данный исследовательский отчет подготовлен по инициативе Альянса по безопасности блокчейнов и создан совместно членами альянса Beosin и Footprint Analytics. Цель — всесторонне изучить глобальную ситуацию в области безопасности блокчейнов к 2025 году. Анализируя текущие условия и угрозы в сфере безопасности блокчейнов по всему миру, отчет выявит основные вызовы и риски, а также предложит решения и лучшие практики. Безопасность блокчейнов и регулирование — ключевые вопросы развития эпохи Web3. Глубокое изучение и обсуждение этих аспектов в отчете поможет лучше понять и противостоять вызовам, способствуя безопасному и устойчивому развитию технологий блокчейн.

1. Обзор ситуации в области безопасности Web3 и блокчейнов в 2025 году

По данным платформы Alert компании Beosin, мониторящей безопасность и соответствие технологий, в 2025 году общий ущерб в сфере Web3 от хакерских атак, фишинга и Rug Pull со стороны проектов достиг 3,375 миллиарда долларов США. Всего зарегистрировано 313 крупных инцидентов безопасности, из них 191 — хакерские атаки, общий ущерб — около 3,187 миллиарда долларов; Rug Pull проектов — примерно 11,5 миллиона долларов; фишинг — 113 случаев, общий ущерб — около 177 миллионов долларов.

Наиболее тяжелые потери за первый квартал 2025 года, большинство из которых связаны с хакерскими атаками на Bybit. Ущерб от хакерских атак постепенно снижается по кварталам, однако по сравнению с 2024 годом он вырос на 77,85%. Ущерб от фишинга и Rug Pull проектов заметно снизился по сравнению с 2024 годом: фишинг — примерно на 69,15 %, Rug Pull — около 92,21 %.

Типы атакованных проектов в 2025 году включают DeFi, CEX, публичные блокчейны, межцепочные мосты, NFT, платформы мемкоинов, кошельки, браузеры, сторонние программные пакеты, инфраструктуру, MEV-роботы и другие. DeFi остается наиболее уязвимым по частоте атак — 91 инцидент, причиненный ущерб — около 620 миллионов долларов. CEX — самый крупный по сумме ущерба тип проекта — 9 атак, общий ущерб — около 1,765 миллиарда долларов, что составляет 52,30 % от общего ущерба.

Ethereum по-прежнему занимает первое место по ущербу среди публичных блокчейнов — 170 инцидентов, причиненных ущерб — около 2,254 миллиарда долларов, что составляет 66,79 % от общего ущерба за год.

По методам атак, инциденты на Bybit связаны с цепочечными атаками и составляют около 1,44 миллиарда долларов, что 42,67 % от общего ущерба, являясь наиболее распространенным методом. Кроме того, использование уязвимостей в смарт-контрактах — самый частый способ атаки: из 191 инцидента 62 связаны с эксплуатацией уязвимостей, что составляет 32,46 %.

2. Топ-10 инцидентов безопасности в 2025 году

Всего в 2025 году зарегистрировано 3 инцидента с ущербом более 100 миллионов долларов: Bybit (1,44 млрд), Cetus Protocol (224 млн), Balancer (116 млн). Далее идут Stream Finance (93 млн), крупные хакеры BTC (91 млн), Nobitex (90 млн), Phemex (70 млн), UPCX (70 млн), пользователи Ethereum (50 млн), Infini (49,5 млн).

В отличие от предыдущих лет, в топ-10 инцидентов этого года появились 2 крупные потери среди частных пользователей, вызванные социальной инженерией / фишингом. Хотя такие атаки не наносят наибольший ущерб по сумме, их частота растет ежегодно и представляет серьезную угрозу для частных пользователей.

3. Типы атакованных проектов

Централизованные биржи — проекты с наибольшими потерями

В 2025 году наибольшие потери понесли централизованные биржи — 9 атак, общий ущерб — около 1,765 миллиарда долларов, что составляет 52,30 % от общего ущерба. Самая крупная потеря — у Bybit, около 1,44 млрд долларов. Также значительные потери у Nobitex (около 90 млн), Phemex (70 млн), BtcTurk (48 млн), CoinDCX (44,2 млн), SwissBorg (41,3 млн), Upbit (36 млн).

DeFi — наиболее часто атакуемый тип проектов, 91 инцидент, ущерб — около 620 миллионов долларов, что занимает второе место по сумме ущерба. Среди них Cetus Protocol был взломан на сумму около 224 млн долларов, что составляет 36,07 % от всех украденных средств DeFi. Balancer потерял около 116 млн долларов. Другие крупные DeFi-проекты с потерями: Infini (около 4950 тыс. долларов), GMX (около 40 млн), Abracadabra Finance (13 млн), Cork Protocol (примерно 12 млн), Resupply (около 960 тыс), zkLend (около 950 тыс), Ionic (около 880 тыс), Alex Protocol (около 837 тыс).

4. Ущерб по цепочкам

Ethereum — цепочка с наибольшими потерями и числом инцидентов

Как и в предыдущие годы, Ethereum остается лидером по ущербу и количеству инцидентов — 170 случаев, ущерб — около 2,254 миллиарда долларов, что составляет 66,79 % от общего за год.

Второе место по числу инцидентов занимает BNB Chain — 64 случая, ущерб — около 8,98 миллиона долларов. Количество атак и ущерб на BNB Chain значительно выросли по сравнению с 2024 годом — увеличение на 110,87 %.

На третьем месте по числу инцидентов — Base (20 случаев), затем Solana (19 случаев).

5. Анализ методов атак

Наиболее распространенный способ — эксплуатация уязвимостей в смарт-контрактах

Из 191 инцидента 62 связаны с эксплуатацией уязвимостей, что составляет 32,46 %, ущерб — около 556 миллионов долларов, являясь одним из самых крупных по ущербу, после атак на Bybit через цепочечные цепочки.

По видам уязвимостей, наиболее значительный ущерб нанесен бизнес-логике — 464 миллиона долларов. Топ-3 уязвимостей по количеству случаев: бизнес-логика (53), контроль доступа (7), дефекты алгоритмов (5).

В этом году зафиксировано 20 случаев утечки приватных ключей, ущерб — около 180 миллионов долларов. Количество таких инцидентов и ущерб значительно снизились по сравнению с прошлым годом. Защита приватных ключей и безопасность проектов улучшились благодаря повышенной осведомленности участников.

6. Анализ типичных инцидентов

6.1 Анализ инцидента с Cetus Protocol на сумму 2,24 миллиарда долларов

Обзор инцидента

22 мая 2025 года на платформе Sui был взломан DEX Cetus Protocol из-за ошибки в реализации операции сдвига в открытом исходном коде библиотеки. В качестве примера — одна из атакующих транзакций (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), упрощенный сценарий атаки:

1. Взломщик взял в кредит через флеш-лоан 10 миллионов haSUI.

2. Создал новую позицию ликвидности с ценовым диапазоном [300000, 300200].

3. Добавил ликвидность, используя всего 1 единицу haSUI, получив при этом эквивалент 10,365,647,984,364,446,732,462,244,378,333,008 единиц ликвидности.

4. Немедленно удалил ликвидность из нескольких сделок, чтобы исчерпать пул ликвидности.

5. Погасил флеш-лэн и оставил около 570 тысяч SUI в качестве прибыли.

Анализ уязвимости

Причина атаки — ошибка в реализации функции get_delta_a, связанная с checked_shlw, которая приводит к неправильной проверке переполнения. Атакующий, имея небольшое количество токенов, может обменять их на значительные активы в пуле, реализуя атаку.

На изображении показано, что checked_shlw предназначена для определения, вызовет ли сдвиг u256 на 64 бита переполнение. Входные значения меньше 0xffffffffffffffff << 192 проходят проверку, однако при сдвиге на 64 бита возможен выход за пределы максимума u256 (переполнение), при этом checked_shlw все равно возвращает false, что означает отсутствие переполнения. В результате последующие вычисления недооценивают необходимое количество токенов.

Кроме того, в Move, безопасность целочисленных операций предназначена для предотвращения переполнений и недополнений — при превышении результата арифметической операции допустимых границ программа останавливается; при делении на ноль — тоже. Однако сдвиг (<<) при переполнении не вызывает остановки, что может привести к ошибочным значениям или непредсказуемому поведению.

6.2 Анализ инцидента с Balancer на сумму 1,16 миллиарда долларов

3 ноября 2025 года протокол Balancer v2 подвергся атаке, в результате которой на нескольких цепочках было потеряно около 1,16 миллиарда долларов. В качестве примера — транзакция злоумышленника в сети Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. Злоумышленник начал атаку с помощью функции массового обмена, выводя из пула ликвидности большое количество токенов, что снизило резерв ликвидных токенов.

2. Затем он начал обменивать токены osETH/WETH.

3. После этого он обменял токены обратно на BPT и повторял эти операции в нескольких пулах.

4. В конце — вывод средств и получение прибыли.

Анализ уязвимости

Используемая в Pool формула StableSwap Curve для поддержания ценовой стабильности между активами содержит погрешности при расчетах, связанных с масштабированием.

Функция mulDown выполняет округление вниз при делении, что вызывает ошибку в расчетах invariants, снижая их значение и создавая возможности для получения прибыли злоумышленником.

7. Анализ типичных случаев отмывания денег

7.1 Анализ инцидента с Ryan James Wedding и группой наркоторговцев, санкционированного США

По данным Минфина США, Ryan James Wedding и его команда через Колумбию и Мексику контрабандой ввезли несколько тонн кокаина, реализуя его в США и Канаде. Их преступная организация использовала криптовалюту для отмывания незаконных доходов.

Используя инструменты отслеживания и расследования Beosin Trace, проведен анализ криптографических адресов, связанных с группой Wedding. Результаты показывают, что адреса, связанные с группой, обработали 266 761 784,24 USDT. Часть активов была заморожена Tether, большая часть — через многочисленные транзакции и многоступенчатые переводы — выведена на платформы Binance, OKX, Kraken, BTSE.

Группа Sokolovski владеет адресами на нескольких блокчейнах (BTC, ETH, Solana, TRON, BNB Beacon Chain). Анализ потоков средств доступен в полном отчете.

(# 7.2 Инцидент с кражей 40 миллионов долларов у GMX

10 июля 2025 года GMX подвергся атаке из-за уязвимости re-entrancy, злоумышленник получил прибыль около 42 миллионов долларов. Анализ Trace показал, что адрес злоумышленника 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 после получения средств обменял их на ETH и USDC через DEX и межцепочные протоколы, переводя украденные активы на сеть Ethereum.

![])https://img-cdn.gateio.im/webp-social/moments-110cf9285f1fadee8e1a8a88f0af0325.webp###

Далее украденные ETH на сумму около 32 миллионов долларов хранятся на следующих адресах Ethereum:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Также около 10 миллионов долларов хранится на адресе Arbitrum: 0xdf3340a436c27655ba62f8281565c9925c3a5221.

Пути отмывания средств типичны: злоумышленник использует DeFi-протоколы, межцепочные мосты для маскировки и скрытия следов, чтобы избежать отслеживания и блокировки со стороны регуляторов и правоохранительных органов.

( 8. Итоговая оценка ситуации в сфере безопасности Web3 в 2025 году

В 2025 году ущерб от фишинга и Rug Pull проектов заметно снизился по сравнению с 2024 годом, однако количество хакерских атак остается высоким — ущерб превысил 31 миллиард долларов. Самые уязвимые проекты — биржи. Также снизилось число инцидентов, связанных с утечками приватных ключей, что связано с повышением уровня защиты и осведомленности участников.

Основные причины изменений: после масштабных атак прошлого года в экосистеме Web3 усилились меры безопасности — внутренние операции, мониторинг в реальном времени, усиление аудита, извлечение уроков из прошлых уязвимостей, повышение уровня защиты приватных ключей и безопасности операционной деятельности. Однако усложнение уязвимостей смарт-контрактов и методов краж заставляет злоумышленников использовать другие схемы, такие как цепочечные атаки и эксплойты фронтенда.

Кроме того, с ростом интеграции криптовалютных рынков с традиционными, цели атак расширяются — теперь это не только DeFi, мосты и биржи, но и платежные платформы, игровые и криптосервисы, инфраструктура, инструменты разработки, MEV-роботы и другие. Атаки становятся все более сложными из-за уязвимостей в протоколах.

Для частных пользователей угрозы — социальная инженерия, фишинг, физическое давление и захват заложников. Многие фишинговые атаки с малыми суммами остаются незамеченными или не фиксируются, что недооценивает их масштаб. В этом году случаи физического насилия и угроз в отношении крипто-пользователей повторялись, поэтому важно защищать личные данные и минимизировать публичное раскрытие активов.

В целом, безопасность Web3 в 2025 году остается сложной задачей. Необходимы совместные усилия по обеспечению цепочечной безопасности, мониторингу и предупреждению угроз, а также созданию многоуровневых систем защиты, включающих технологические и образовательные меры, для противостояния новым вызовам.