В первой половине 2025 года было похищено более $2,1 млрд в результате не менее 75 различных взломов и эксплойтов. Это на 10% больше, чем предыдущий рекорд в первой половине 2022 года, и почти равно общему объему украденных средств за весь 2024 год. Согласно отчету аналитической блокчейн-компании TRM Labs, специализирующейся на киберпреступлениях, эти данные подчеркивают возрастающую концентрацию угроз в сфере цифровых активов. Эксперты также указали на качественное изменение в характере взломов, которые «теперь все чаще носят стратегический характер и мотивированы геополитикой».
«С ростом роли цифровых активов в вопросах национальной безопасности растет как сложность атак, так и их политическая подоплека. Рекордные хищения первого полугодия 2025 года — это тревожный сигнал и призыв к глобальным мерам: безопасность криптоиндустрии должна быть не только технической, но и геополитически ориентированной», — говорится в отчете.
Поворотный момент
Первые шесть месяцев 2025 года отметились крупнейшим взломом в истории криптовалют — криптобиржи Bybit на сумму $1,5 млрд. По оценкам экспертов инцидент составил почти 70% всех потерь за отчетный период, подняв средний размер взлома до $30 млн, что вдвое больше, чем в первой половине 2024 года.
Несмотря на размер взлома Bybit в феврале, в TRM Labs отметили и остальные месяцы, когда похищали примерно по $100 млн ежемесячно, что указывает на «устойчивую и широкомасштабную угрозу».
«Государственные хакеры»
В дополнение к атаке на Bybit данные TRM Labs подчеркивают тревожную тенденцию по деятельности «государственных хакерских групп». В качестве лидирующей группы эксперты выделяют северокорейские группы, ответственные за $1,6 млрд, или около 70% от общего объема.
По мнению аналитиков, их целями является «обход международных санкций, финансирование стратегических программ (включая ядерную) и использование криптовалют в качестве элемента государственной стратегии».
В отчете отметили и другие государства, которые также начали использовать криптоатаки. Так, 18 июня 2025 года группа Gonjeshke Darande, предположительно, связанная с Израилем, взломала крупнейшую иранскую биржу Nobitex, похитив более $90 млн.
Атакующие заявили, что целью стал ключевой инструмент иранского режима для обхода санкций и финансирования нелегальной деятельности, пишет TRM Labs.
Главные векторы атак
Атаки на инфраструктуру, включающие кражу приватных ключей, сид-фраз и взлом пользовательского интерфейса составили более 80% всех потерь, согласно отчету: «Часто такие атаки совершаются с помощью социальной инженерии или с участием инсайдеров, выявляя слабые места в технической основе криптобезопасности».
Другой крупный тип атак, названный использованием уязвимости в протоколах, составил около 12%, что подтверждает сохраняющуюся уязвимость смарт-контрактов в секторе децентрализованных финансовых приложений.