Beosin: Годовой отчет о состоянии безопасности блокчейна Web3 за 2025 год

*Данный отчет совместно подготовлен Beosin и Footprint Analytics

Предисловие

Данное исследование инициировано Альянсом безопасности блокчейна и совместно подготовлено членами альянса Beosin и Footprint Analytics. Оно направлено на всестороннее изучение глобальной ситуации с безопасностью блокчейна в 2025 году. Путем анализа и оценки текущего состояния безопасности блокчейна в мире отчет раскрывает существующие проблемы и угрозы безопасности, а также предлагает решения и лучшие практики. Безопасность и регулирование блокчейна являются ключевыми вопросами развития эпохи Web3. Благодаря углубленному исследованию и обсуждению в данном отчете мы можем лучше понять и противостоять этим вызовам, чтобы стимулировать безопасность и устойчивое развитие технологии блокчейна.

1. Обзор состояния безопасности блокчейна Web3 в 2025 году

Согласно мониторингу платформы Alert компании Beosin, занимающейся безопасностью и комплаенс-технологиями блокчейна, общие потери в сфере Web3 в 2025 году из-за хакерских атак, фишинг-мошенничества и Rug Pull со стороны проектов составили 3,375 миллиарда долларов США. Всего произошло 313 серьезных инцидентов безопасности в блокчейне, из которых 191 — хакерские атаки с общим ущербом около 3,187 миллиарда долларов США; инциденты Rug Pull со стороны проектов привели к ущербу около 11,5 миллиона долларов США; фишинг-мошенничество — 113 случаев с общим ущербом около 177 миллионов долларов США.

Наибольший ущерб по сумме пришелся на первый квартал 2025 года, причем绝大部分 потерь произошло из-за хакерской атаки на Bybit. Сумма ущерба от хакерских атак持续 снижалась по кварталам, но по сравнению с 2024 годом значительно выросла — на 77,85%; Ущерб от фишинг-мошенничества и инцидентов Rug Pull со стороны проектов по сравнению с 2024 годом значительно снизился: снижение ущерба от фишинга составило около 69,15%, а от Rug Pull — около 92,21%.

В 2025 году атакованные типы проектов включали DeFi, CEX, публичные блокчейны, мосты, NFT, платформы для торговли Memecoin, кошельки, браузеры, сторонние пакеты кода, инфраструктуру, MEV-ботов и другие. DeFi по-прежнему оставался наиболее часто атакуемым типом проектов: 91 атака на DeFi привела к ущербу около 621 миллиона долларов США. CEX стал типом проектов с наибольшим общим ущербом: 9 атак на CEX привели к ущербу около 1,765 миллиарда долларов США, что составляет 52,30% от общего ущерба.

В 2025 году Ethereum по-прежнему оставался публичным блокчейном с наибольшим ущербом: 170 инцидентов безопасности в сети привели к ущербу около 2,254 миллиарда долларов США, что составляет 66,79% от общего годового ущерба.

С точки зрения методов атаки, инцидент с Bybit привел к ущербу около 1,44 миллиарда долларов США из-за атаки на цепочку поставок, что составляет 42,67% от общего ущерба и является методом атаки, причинившим наибольшие потери. Кроме того, эксплойт уязвимостей контрактов был наиболее частым методом атаки: из 191 атаки 62 произошли из-за эксплойта уязвимостей контрактов, что составляет 32,46%.

2. Десять крупнейших инцидентов безопасности 2025 года

В 2025 году произошло 3 инцидента безопасности с ущербом свыше ста миллионов долларов: Bybit (1,44 млрд долл. США), Cetus Protocol (224 млн долл. США) и Balancer (116 млн долл. США), далее следуют Stream Finance (93 млн долл. США), BTC-кит (91 млн долл. США), Nobitex (90 млн долл. США), Phemex (70 млн долл. США), UPCX (70 млн долл. США), пользователь Ethereum (50 млн долл. США), Infini (49,5 млн долл. США).

В отличие от предыдущих лет, в этом году в топ-10 инцидентов безопасности вошли 2 случая крупных потерь индивидуальных пользователей, причиной которых стали социотехника/фишинг-атаки. Хотя такие атаки не являются методом, причиняющим наибольший ущерб по сумме, их частота с каждым годом растет, становясь серьезной угрозой для индивидуальных пользователей.

*Конкретное содержание десяти крупнейших инцидентов безопасности можно узнать в полной версии отчета.

3. Типы атакованных проектов

Централизованные биржи стали типом проектов с наибольшим ущербом

В 2025 году тип проектов с наибольшим ущербом — централизованные биржи: 9 атак на централизованные биржи привели к ущербу около 1,765 миллиарда долларов США, что составляет 52,30% от общего ущерба. Среди них биржа с наибольшим ущербом — Bybit, потерявшая около 1,44 млрд долл. США. Среди остальных значительные убытки понесли Nobitex (около 90 млн долл. США), Phemex (около 70 млн долл. США), BtcTurk (48 млн долл. США), CoinDCX (44,2 млн долл. США), SwissBorg (41,3 млн долл. США), Upbit (36 млн долл. США).

DeFi — наиболее часто атакуемый тип проектов, 91 атака на DeFi привела к ущербу около 621 миллиона долларов США, заняв второе место по сумме ущерба. Среди них Cetus Protocol был взломан на约 224 млн долл. США, что составляет 36,07% от украденных средств DeFi, Balancer потерял约 116 млн долл. США, среди остальных DeFi-проектов с значительным ущербом: Infini (约 49,5 млн долл. США), GMX (约 40 млн долл. США), Abracadabra Finance (13 млн долл. США), Cork Protocol (约 12 млн долл. США), Resupply (约 9,6 млн долл. США), zkLend (约 9,5 млн долл. США), Ionic (约 8,8 млн долл. США), Alex Protocol (约 8,37 млн долл. США).

4. Ситуация с ущербом по различным блокчейнам

Ethereum — блокчейн с наибольшим ущербом и наибольшим количеством инцидентов безопасности

Как и в предыдущие годы, Ethereum по-прежнему остается публичным блокчейном с наибольшим ущербом и наибольшим количеством инцидентов безопасности. 170 инцидентов безопасности в сети Ethereum привели к ущербу около 2,254 миллиарда долларов США, что составляет 66,79% от общего годового ущерба.

Второе место по количеству инцидентов безопасности занимает BNB Chain: 64 инцидента безопасности привели к ущербу около 89,83 миллиона долларов США. Количество атак в сети BNB Chain велико, но сумма ущерба относительно невелика, однако по сравнению с 2024 годом количество инцидентов безопасности и сумма ущерба значительно увеличились: сумма ущерба выросла на 110,87%.

Base занимает третье место по количеству инцидентов безопасности — всего 20 инцидентов. Solana следует closely с 19 инцидентами безопасности.

5. Анализ методов атаки

Эксплойт уязвимостей контрактов — наиболее частый метод атаки

Из 191 атаки 62 произошли из-за эксплойта уязвимостей контрактов, что составляет 32,46%, а общий ущерб достиг 556 миллионов долларов США. Это метод атаки, причинивший наибольший ущерб после атаки на цепочку поставок Bybit.

При детализации по уязвимостям контрактов, уязвимость, причинившая наибольший ущерб: уязвимости бизнес-логики, общий ущерб составил 464 миллиона долларов США. Тройка лидеров по количеству случаев: уязвимости бизнес-логики (53 случая), уязвимости контроля доступа (7 случаев), дефекты алгоритмов (5 случаев).

В этом году всего произошло 20 инцидентов утечки приватных ключей с общим ущербом около 180 миллионов долларов США, количество случаев и причиненный ущерб по сравнению с прошлым годом значительно сократились. Биржи, проектные команды и пользователи повысили осведомленность о защите приватных ключей.

6. Анализ типичных инцидентов безопасности

6.1 Анализ инцидента безопасности на 224 миллиона долларов США с Cetus Protocol

Краткое описание инцидента

22 мая 2025 года DEX Cetus Protocol в экосистеме Sui был атакован, уязвимость возникла из-за ошибки реализации операции сдвига влево в коде открытой библиотеки. На примере одной из атакующих транзакций (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) упрощенные шаги атаки следующие:

1. Включение flash loan: злоумышленник берет в долг 10 миллионов haSUI через flash loan.

2. Создание позиции ликвидности: открывается новая позиция ликвидности с ценовым диапазоном [300000, 300200].

3. Добавление ликвидности: используется всего 1 единица haSUI для добавления ликвидности, но получено огромное значение ликвидности: 10,365,647,984,364,446,732,462,244,378,333,008.

4. Удаление ликвидности: немедленное удаление ликвидности в нескольких транзакциях для истощения пула ликвидности.

5. Погашение flash loan: погашение flash loan и сохранение около 5,7 миллиона SUI в качестве прибыли.

Анализ уязвимости

Основная причина данной атаки заключается в ошибке реализации checked_shlw в функции get_delta_a, что привело к сбою проверки на переполнение. Злоумышленнику требуется лишь небольшое количество токенов, чтобы обменять большое количество активов в пуле ликвидности,从而实现 атаку.

Как показано на рисунке ниже, checked_shlw используется для определения, приведет ли左移 64-битного числа u256 к переполнению. Входные значения меньше 0xffffffffffffffff << 192 обходят проверку на переполнение, но после左移 на 64 бита входное значение может превысить максимальное значение u256 (переполнение), а checked_shlw все равно выведет, что переполнения не произошло (false). Таким образом, при последующих вычислениях будет严重 недооценено необходимое количество токенов.

Кроме того, в Move безопасность целочисленных операций предназначена для предотвращения переполнения и потери значимости, поскольку они могут привести к непредвиденному поведению или уязвимостям. Конкретно: если результат сложения или умножения слишком велик для целочисленного типа, это приводит к аварийному завершению программы. Если делитель равен нулю, деление прерывается.

Уникальность左移 (<<) заключается в том, что при переполнении операция не прерывается. Это означает, что даже если количество сдвигаемых бит превышает емкость целочисленного типа, программа не завершается, что может привести к ошибочным значениям или непредсказуемому поведению.

6.2 Анализ инцидента безопасности на 116 миллионов долларов США с Balancer

3 ноября 2025 года протокол Balancer v2 был атакован, несколько проектов, включая его форки, потеряли около 116 миллионов долларов США в нескольких сетях. На примере атакующей транзакции злоумышленника в Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. Сначала злоумышленник инициирует атакующую транзакцию через функцию пакетного обмена (batch swap), используя BPT для массового обмена на liquidity tokens пула, что приводит к очень низким резервам liquidity tokens в пуле.

2. Затем злоумышленник начинает обменивать liquidity tokens (osETH/WETH).

3. Затем снова обменивает liquidity tokens обратно на BPT и повторяет вышеуказанные операции в нескольких пулах.

4. Наконец, производится вывод средств для получения прибыли.

Анализ уязвимости

ComposableStablePools используют формулу инварианта StableSwap от Curve для поддержания ценовой стабильности между схожими активами. Однако операция масштабирования при вычислении инварианта вносит погрешность.

Функция mulDown выполняет целочисленное деление с округлением вниз, эта погрешность точности передается в вычисление инварианта, вызывая аномально низкое расчетное значение и создавая возможность для прибыли злоумышленника.

7. Анализ типичных случаев противодействия отмыванию денег

7.1 Санкции США против наркокартеля во главе с Райаном Джеймсом Уэддингом

Согласно данным, раскрытым Министерством финансов США, Райан Джеймс Уэддинг и его группа провозили тонны кокаина через Колумбию и Мексику для продажи в США и Канаде. Его преступная организация использовала криптовалюты для отмывания денег с целью легализации огромных незаконных доходов.

С помощью инструмента отслеживания и расследований в链上 Beosin Trace от Beosin был проведен анализ адресов криптовалют, связанных с наркокартелем Уэддинга. Результаты анализа如下所示:

Три адреса, принадлежащие Уэддингу: TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1 Us67ENjfMZeEXZeiuu6 и TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1, обработали в общей сложности 266,761,784.24 USDT. Часть активов была заморожена официальным лицом Tether, но большая часть активов уже была отмыта через адреса с高频ыми транзакциями и многоуровневыми transfers, и пополнена на платформы Binance, OKX, Kraken, BTSE.

Его сообщник Соколовски владеет адресами в нескольких блокчейн-сетях (BTC, ETH, Solana, TRON, BNB Beacon Chain). Результаты анализа потоков его средств можно узнать в полной версии отчета.

7.2 Кража 40 миллионов долларов США с GMX

10 июля 2025 года GMX был атакован due to уязвимости повторного входа (reentrancy), хакер получил прибыль около 42 миллионов долларов США. Beosin Trace отследил украденные средства: атакующий адрес 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 после получения прибыли через DEX-протоколы обменял различные стейблкоины и альткоины на ETH и USDC и через несколько мостовых протоколов переместил украденные активы в сеть Ethereum.

Затем украденные активы GMX на сумму около 32 миллионов долларов в ETH были размещены на следующих 4 адресах в сети Ethereum:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Активы на сумму около 10 миллионов долларов США были размещены на адресе 0xdf3340a436c27655ba62f8281565c9925c3a5221 в сети Arbitrum.

Путь отмывания средств в этом инциденте очень типичен: хакеры используют DeFi-протоколы, мосты и другие способы для запутывания и сокрытия пути средств, чтобы избежать отслеживания и заморозки со стороны регуляторов и правоохранительных органов.

8. Итоги ситуации с безопасностью блокчейна Web3 в 2025 году

В 2025 году ущерб от фишинг-мошенничества и Rug Pull со стороны проектов по сравнению с 2024 годом значительно снизился, однако хакерские атаки участились, а ущерб превысил 3,1 миллиарда долларов США, причем тип проектов с наибольшим ущербом по-прежнему — биржи. Инциденты безопасности, связанные с утечкой приватных ключей, сократились. Основными причинами этого изменения являются:

После бурной активности хакеров в прошлом году вся экосистема Web3 в этом году стала больше уделять внимания безопасности: от проектных команд до security companies приложили усилия в различных аспектах, таких как внутренняя безопасность, мониторинг в реальном времени в链上, повышенное внимание аудиту безопасности, активное извлечение уроков из прошлых инцидентов эксплуатации уязвимостей контрактов, постоянное усиление осведомленности о безопасности в области хранения приватных ключей и безопасности проектов. Поскольку эксплойт уязвимостей контрактов и кража приватных ключей становятся все сложнее, хакеры начали использовать другие методы, такие как атаки на цепочку поставок, уязвимости фронтенда и т.д., чтобы обманом заставить пользователей переводить активы на адреса, контролируемые хакерами.

Кроме того, по мере слияния крипторынка с традиционными рынками цели атак перестали ограничиваться типами DeFi, мостов, бирж и т.д., а сместились в сторону атак на платежные платформы, gambling-платформы, поставщиков криптоуслуг, инфраструктуру, инструменты разработки, MEV-ботов и другие цели. Фокус атак также сместился в сторону более сложных дефектов логики протоколов.

Для индивидуальных пользователей социотехника/фишинг-атаки и возможное физическое принуждение становятся серьезной угрозой безопасности личных активов. В настоящее время многие фишинг-атаки из-за небольших сумм и того, что жертвами являются individual users, не сообщаются公开чно или не регистрируются, их данные о потерях часто занижены, но пользователям следует повышать осведомленность о защите от such атак. В этом году также неоднократно появлялись физические методы с применением насилия, такие как похищения пользователей криптовалют, пользователям необходимо защищать личную информацию и尽可能 сокращать公开ное раскрытие криптоактивов.

В целом, безопасность Web3 в 2025 году по-прежнему сталкивается с серьезными проблемами, проектные команды и индивидуальные пользователи не должны расслабляться. В будущем безопасность цепочки поставок может стать важнейшим приоритетом безопасности Web3. Как持续 защищать различных поставщиков инфраструктурных услуг в отрасли, а также мониторить и предупреждать об угрозах в цепочке поставок — это серьезная задача, которую необходимо совместно решать всем сторонам отрасли. А социотехника/фишинг-атаки на основе ИИ, вероятно, будут продолжать расти, что потребует создания многоуровневой,实时ной, динамической системы защиты — от личной осведомленности до технических барьеров и сообществного взаимодействия — для противодействия.