«Взлом» — неотъемлемая часть индустрии Web3, и с каждым годом он становится все более захватывающим.

Согласно отчету «Skynet Hack3D Web3 Security Report 2025», опубликованному компанией CertiK в конце декабря 2025 года, в 2025 году в индустрии Web3 произошло 630 инцидентов, повлекших за собой общие потери в размере приблизительно 3,353 миллиарда долларов, при этом объем украденных средств увеличился на 37,06% по сравнению с предыдущим годом.

3,353 миллиарда долларов США, что эквивалентно примерно 23,37 миллиардам юаней, — это приблизительно ВВП города Лиян провинции Цзянсу в 2024 году. Эта цифра, достаточная, чтобы свести на нет годовой труд каждого жителя уезда, поистине тревожна.

В течение последнего года все ощущали постепенное созревание индустрии Web3, но очевидно, что наших инвестиций в безопасность далеко не достаточно. Тот факт, что сумма украденных денег растет из года в год, служит еще одним тревожным сигналом для этой децентрализованной индустрии.

Рыбалка с целью получения украденного товара стала одной из основных целей для нападений.

Хотя общие потери в 2025 году увеличились более чем на 30% по сравнению с 2024 годом, только инцидент с Bybit привел к убыткам в размере приблизительно 1,4 миллиарда долларов. По сравнению с 2024 годом количество хакерских инцидентов сократилось на 137 в 2025 году, а медианный размер убытков уменьшился на 35,75% и составил 104 000 долларов.

В связи с этими изменениями в подробных данных, CertiK в своем отчете заявила, что, хотя частота мелкомасштабных атак останется высокой в ​​2025 году, злоумышленники постепенно концентрируют свои ресурсы на меньшем количестве, но более эффективных и ценных атаках. Инцидент с Bybit является ярким примером, демонстрирующим эскалацию активности хорошо организованных хакерских групп в пространстве Web3.

Позже выяснилось, что инцидент с Bybit был делом рук печально известной северокорейской «государственной хакерской группы» Lazarus Group. По сравнению с более ранними атаками, направленными на уязвимости в логике кода протокола, стиль Lazarus в последние годы сместился в сторону сложных атак на цепочки поставок. Члены Lazarus выдают себя за хакеров внутри своей организации, чтобы подать заявки на должности разработчиков в различных компаниях Web3, используя свои должности для изучения процессов перевода средств в этих компаниях, а затем, обнаружив уязвимости, запускают сложные атаки изнутри.

В инциденте с Bybit хакеры взломали устройства разработчиков Safe и внедрили вредоносный код в интерфейс управления кошельком, чтобы изменить транзакции с множественной подписью, одобренные сотрудниками Bybit, и перенаправить средства на свои собственные счета. Такие организованные и спланированные атаки трудно предотвратить; хакеры могут воспользоваться любой незначительной ошибкой.

За исключением Bybit, фишинговые атаки были наиболее распространенным и дорогостоящим методом атак в 2025 году: 248 инцидентов привели к убыткам в размере приблизительно 773 миллионов долларов. Кража средств из кошельков заняла второе место по финансовым потерям: 55 инцидентов привели к убыткам в размере приблизительно 557 миллионов долларов. С моей точки зрения, многие мои друзья столкнулись с кражей средств и необъяснимым переводом всех своих активов из кошельков в 2025 году из-за случайного перехода по ссылкам. Следовательно, фактические потери, вызванные этими двумя методами атак, вероятно, превышают статистику отчета, и подобные атаки могут стать все более распространенными в будущем.

Наибольший объем украденных средств был зафиксирован в сети Ethereum из-за инцидента с Bybit; однако, если исключить украденные 1,4 миллиарда долларов, Bitcoin стал блокчейном с наибольшим объемом украденных средств. В Bitcoin, который не поддерживает смарт-контракты, кошельки были опустошены в основном из-за утечек закрытых ключей, фишинговых атак и других причин.

Что касается упомянутых ранее методов атаки, то мы можем анализировать причины только задним числом, напоминая себе о необходимости быть более бдительными и молясь, чтобы хакеры не стали нашей целью. Однако существует один тип «атаки», который можно предотвратить заранее: упомянутая ранее «мошенническая схема вывода средств», причинившая ущерб в размере 18 миллионов долларов. Этот тип атаки на самом деле не является превентивной; в большинстве случаев эмитент токенов оставляет за собой право манипулировать параметрами токенов, обманывая ничего не подозревающих инвесторов.

Сервис Skynet от CertiK может помочь в борьбе с такими атаками, как мошеннические схемы с выводом средств, оценивая общую безопасность проектов Web3 по шести параметрам: безопасность кода, структура проекта, операционная устойчивость, управление, динамика рынка и репутация сообщества. Проверка с помощью Skynet перед инвестированием позволяет эффективно отфильтровать многие риски. Кроме того, пользователи могут использовать инструменты сканирования токенов для получения базовой информации, такой как процент держателей токенов, наличие у них полномочий на изменение параметров токенов, наличие налогов на транзакции и является ли это финансовой пирамидой. Помимо этого, отчеты серии Skynet от CertiK и список Skynet Top 20 предоставляют авторитетные справочные материалы по оценке безопасности на основе анализа данных и прозрачных количественных стандартов оценки, помогая выявлять прогнозируемые риски.

От отслеживания событий после их завершения до предотвращения их возникновения

Вечером 6 января по пекинскому времени компания CertiK объявила о стратегическом партнерстве с YZi Labs. В рамках соглашения CertiK выделит 1 миллион долларов США на целевое финансирование аудита безопасности для своей программы EASY Residency и предоставит такие услуги в области безопасности, как формальная верификация, Skynet Boosting и сканирование с использованием ИИ. YZi Labs окажет содействие в налаживании связей между CertiK и проектами, находящимися в ее инкубаторе, помогая проектным группам глубже понять продукты и услуги CertiK.

CertiK заявила, что по мере того, как такие страны и регионы, как США и Европейский союз, продолжают совершенствовать свои законы и правила, касающиеся Web3, надзор за проектами неизбежно будет становиться все более строгим. В будущем проекты могут уже не оставаться незатронутыми инцидентами безопасности, что предъявляет более высокие требования к внедрению проверок и механизмов безопасности на ранних этапах разработки проекта. Фонд безопасности, созданный CertiK в партнерстве с YZi Labs, в основном направлен на усиление превентивных мер безопасности для проектов Web3.

CertiK надеется, что это сотрудничество установит эталон для отрасли, побуждая больше проектов уделять приоритетное внимание безопасности с самого начала, тем самым повышая общее доверие и репутацию в отрасли.

Компания CertiK заявила, что за последний год накопила значительный опыт в области проактивного предотвращения рисков, включая выявление уязвимостей высокого риска в известной платформе для мемов и аппаратных кошельках. Кроме того, после обнаружения уязвимости удаленного выполнения кода в React2Shell (CVE-2025-55182) команда CertiK незамедлительно оценила возможность ее эксплуатации и помогла более чем 40 проектам на React/Next.js оперативно устранить уязвимости. Помимо выявления рисков, CertiK также запустила Skylens — продукт, помогающий проектам отслеживать подозрительные транзакции, немедленно выдавая оповещения при возникновении рисков для минимизации потенциальных потерь.

Однако эти достижения поднимают отрезвляющий вопрос: почему ущерб, причиненный хакерами, продолжает расти из года в год?

Ответ на этот вопрос во многом связан с индустриями «Web3» и «безопасности». В отличие от интернет-индустрии, где идёт ожесточённая борьба с хакерами, из-за децентрализованной природы блокчейна, как только хакер обнаруживает уязвимость, он почти всегда добивается успеха в атаке, с очень небольшими шансами на возмещение убытков. Проекты Web3 также, как правило, не обладают возможностью круглосуточного мониторинга, и в отсутствие регулирующего надзора у них нет достаточной мотивации для инвестирования времени и ресурсов в безопасность. Это делает вероятность риска чрезвычайно высокой, когда код является открытым.

Когда охранные агентства составляют статистику, они показывают нам только сумму украденного, в то время как «потенциальные потери, возмещенные благодаря мерам безопасности», представляют собой не поддающуюся количественной оценке величину. Это означает, что благодаря усилиям многочисленных охранных компаний в отрасли ежегодный темп роста возвращенных активов может значительно превышать темп роста потерь. Кроме того, проекты, получающие выгоду от услуг охранных компаний, не афишируют наличие у них уязвимостей, поэтому наше восприятие реального влияния охранных компаний не так сильно зависит от конкретных цифр, таких как сумма украденного.

Что касается субъективных причин, CertiK заявила, что организованные и преднамеренные преступления, подобные тем, что совершила группа Lazarus, и связанные с государственными инвестициями, трудно предотвратить заранее. Взяв в качестве примера инцидент с Bybit, можно сказать, что процедуры безопасности Bybit для перевода средств не были ошибочными, но внедрение вредоносного кода путем взлома устройства разработчика поставщика услуг безопасности для достижения цели атаки — это то, что компании, занимающиеся вопросами безопасности, не могли предвидеть заранее.

Если привести не совсем точную аналогию, то можно использовать дверь с повышенной степенью защиты, чтобы отпугнуть воров, но нельзя помешать вору просто выломать эту дверь.

Технологический прогресс — палка о двух концах

Компании, занимающиеся информационной безопасностью, и хакеры постоянно играют в динамичную игру в кошки-мышки, где каждая сторона постоянно перехитряет другую. Каждый раз, когда хакеру удается осуществить атаку, используя новый метод, это предоставляет компаниям, занимающимся информационной безопасностью, новые шаблоны защиты, что, в свою очередь, побуждает хакеров исследовать новые методы атак, создавая порочный круг.

Развитие ИИ также внесло больше неопределенности в сферу безопасности. Компания CertiK, специализирующаяся на безопасности, широко применяет ИИ в процессах обнаружения уязвимостей и аудита. Анализируя данные оповещений в блокчейне, она помогает выявлять причины уязвимостей и пути атак; одновременно она использует технологии ИИ для сканирования известных шаблонов уязвимостей, анализа логики кода и генерации отчетов, что значительно повышает эффективность. Упомянутая ранее компания Skynet также имеет инструменты, использующие ИИ для предоставления общих аналитических выводов.

В ходе ежегодной встречи Всемирного экономического форума (ВЭФ) 2026 года профессор Жунхуэй Гу, основатель CertiK, дал эксклюзивное интервью CBS в Давосе. Он заявил, что CertiK достигла глубокой интеграции технологий искусственного интеллекта и формальной верификации. Основываясь на собственной архитектуре движка Spoq, CertiK значительно повышает масштабируемость и эффективность выполнения процесса формальной верификации за счет интеграции возможностей автоматизации на основе ИИ. Это решение в области безопасности на основе ИИ обеспечивает институциональным клиентам высокий уровень безопасности, соответствующий математическим стандартам.

С другой стороны, большое количество фишинговых атак и атак с подделкой адресов, использующих фальшивые адреса с идентичными началами и концами, теперь можно массово производить с помощью ИИ, что повышает эффективность атак хакеров. То, что раньше требовало избирательного подхода, теперь достаточно обмануть лишь одного из десяти тысяч человек, чтобы хакер получил прибыль. Это одна из причин, почему к 2025 году атаки больше не будут ограничиваться крупными, незарегистрированными интернет-пользователями (китами).

Согласно данным авторитетной исследовательской компании Gartner, глобальные расходы конечных пользователей на кибербезопасность в 2024 году составили приблизительно 193 миллиарда долларов (около 1,4 триллиона юаней), в то время как интернет-гиганты ежегодно инвестируют в кибербезопасность от 1 до 5 миллиардов долларов. В индустрии Web3, где требования к безопасности еще выше, такие инвестиции в безопасность — капля в море по сравнению с инвестициями интернет-гигантов.

Согласно данным авторитетной исследовательской компании Gartner, глобальные расходы конечных пользователей на кибербезопасность в 2024 году составили приблизительно 193 миллиарда долларов (около 1,4 триллиона юаней), в то время как интернет-гиганты ежегодно инвестируют в кибербезопасность от 1 до 5 миллиардов долларов. В индустрии Web3, где требования к безопасности еще выше, такие инвестиции в безопасность — капля в море по сравнению с инвестициями интернет-гигантов.

Недостаток осведомленности, талантов, финансирования и ресурсов препятствует развитию возможностей обеспечения безопасности в индустрии Web3. Тот факт, что большинство компаний, занимающихся вопросами безопасности, в основном ориентированы на бизнес B2B, также подчеркивает дисбаланс между спросом и предложением. Как найти разумную модель получения прибыли для инструментов безопасности B2C и может ли страхование покрывать риски в индустрии Web3 — это вопросы, требующие совместного изучения всеми участниками, включая компании, занимающиеся вопросами безопасности.