1,5 miliarda dolarów. Znikło w jedno popołudnie. To był Bybit, luty 2025. Północnokoreańska grupa Lazarus nie próbowała łamać kryptografii Ethereum. Zamiast tego wstrzyknęła złośliwy kod JavaScript do interfejsu portfela, którego używał zespół Bybit, przejęła tokeny sesji AWS, omineęła uwierzytelnianie wieloetapowe i wyszła z 401 347 ETH. FBI potwierdziło źródło ataku w ciągu tygodni.
Liczba jest porażająca: więcej pieniędzy niż wszystkie exploity DeFi w 2025 roku razem wzięte. Jeden błąd operacyjny w jednej giełdzie, a 1,5 miliarda dolarów zniknęła. Chainalysis zaraportowała 3,4 miliarda dolarów kradzieży blockchain w 2025 roku — wzrost o 55% z 2,2 miliarda w poprzednim roku. Sam blockchain działał prawidłowo. Problem byli ludzie, którzy go obsługiwali.
Jak blockchain chroni transakcje#
Blockchain to rozproszona księga — baza danych skopiowana na tysiącach komputerów na całym świecie. Kiedy wysyłasz Bitcoin lub korzystasz z inteligentnej umowy na Ethereum, sieć weryfikuje transakcję, zanim stanie się ostateczna. Trzy mechanizmy utrudniają manipulację.
Haszowanie kryptograficzne wiąże bloki w łańcuch. Każdy blok zawiera hasz — matematyczny odcisk palca — danych z bloku poprzedniego. Aby zmienić jedną transakcję, musisz przeliczyć każdy hasz po niej. Na Bitcoinie miliony górników wykonują obliczenia SHA-256. Pobranie tyle mocy obliczeniowej, ile potrzebujesz, przekracza możliwości większości krajów.
Decentralizacja rozprzestrzenia księgę na tysiące węzłów. Tradycyjna baza bankowa siedzi na serwerach w jednym miejscu — zhakuj je, a masz dostęp. Blockchain nie ma jednego punktu słabości. Księga istnieje wszędzie naraz. Aby ją skompromitować, musiałbyś zaatakowć większość węzłów jednocześnie, rozproszone po różnych krajach, sieciach i przez różnych operatorów.
Mechanizmy konsensusu zmuszają sieć do zgody przed rejestracją. Górnicy Bitcoin spalają energię rozwiązując zagadki, aby uzyskać prawo do walidacji. Walidatory Ethereum stawiają własne ETH — jeśli zatwierdzą oszukańczą transakcję, tracą swój depozyt. Oba modele sprawiają, że oszustwo jest kosztowne. Atak na konsensus Bitcoina wymagałby miliardów w sprzęcie i prądzie. Atak na Ethereum oznaczałby zakup i ryzyko miliardów w ETH.
Te trzy warstwy działając razem to powód, dla którego nikt nigdy nie zhakował samego blockchaina Bitcoin lub Ethereum. Ale rzeczy zbudowane na szczycie? To zupełnie inna historia.
Różne blockchainy mają różne słabe punkty#
Ludzie mówią "blockchain" jakby to była jedna rzecz. To różne sieci z bardzo różnymi założeniami bezpieczeństwa.
| Typ | Kto się przyłącza | Kto waliduje | Bezpieczeństwo zależy od | Przykłady |
|---|---|---|---|---|
| Publiczny | Każdy | Wszystkie węzły | Koszt ekonomiczny ataku | Bitcoin, Ethereum |
| Prywatny | Tylko zaproszeni | Wybrane węzły | Kontrola dostępu, zaufanie | Hyperledger Fabric |
| Dozwolony | Zatwierdzone osoby | Wyznaczeni walidatorzy | Zarządzanie i tożsamość | Ripple, Corda |
| Hybrydowy | Mieszany | Mieszany | Kombinacja podejść | Dragonchain |
Publiczne sieci blockchain mają tysiące walidatorów, którzy sprawdzają się nawzajem. Aby zaatakować Bitcoin, musisz przejść branżę górniczą. Nikt tego nie zrobił. Kompromis: rozproszona walidacja jest wolna.
JPMorgan prowadzi prywatny blockchain, bo musi kontrolować uczestników. Ma sens dla banku. Ale blockchain z 20 walidatorami to zupełnie inny zwierz niż z 20 000. Skompromituj kilka węzłów, a przejmujesz całą sieć. To cena, którą płacisz, wybierając prywatny zamiast publicznego.
Hybrydowe blockchainy próbują połączyć zalety obu. W praktyce połączają też ich problemy.
Największe ataki na blockchain i co faktycznie poszło nie tak#
Spójrz na liczby, a zauważysz coś. Prawie żaden z nich nie był atakiem na sam protokół blockchain. Były to błędy operacyjne. Ktoś ponownie użył hasła. Ktoś zostawił klucz prywatny na serwerze. Ktoś wdrożył inteligentny kontrakt bez sprawdzenia go prawidłowo.
| Atak | Kwota | Rok | Co się stało |
|---|---|---|---|
| Bybit | $1,5B | 2025 | Złośliwy kod w interfejsie portfela, skompromitowane klucze AWS |
| DMM Bitcoin | $305M | 2024 | Klucz prywatny wyciek z japońskiej giełdy |
| PlayDapp | $290M | 2024 | Klucz prywatny ujawniony, platforma gamingowa |
| WazirX | $230M | 2024 | Portfel multi-sig obejściu przez interfejs depozytariusza |
| Cetus DEX | $223M | 2025 | Niemawiana sprawdzenie przepełnienia w kodzie wymiany |
| Balancer | $128M | 2025 | Błąd zaokrąglenia w funkcji cen |
| Orbit Chain | $80M | 2024 | Most cross-chain opróżniony |
Skompromitowane portfele i kradzione klucze prywatne stały za 69% całej skradzionej wartości w pierwszej połowie 2025 roku. Skompromitowane konta pracowników przyczyniły się do 55,6% wszystkich incydentów w 2024 roku. Nikt nie złamał żadnego szyfrowania. Ludzie kliknęli w niewłaściwy link, użyli tego samego hasła wszędzie lub zostawili klucze w publicznym repozytorium. Podstawowe błędy, które kosztowały kilkaset milionów.
Powszechne słabe punkty w bezpieczeństwie blockchain#
Po piętnastu latach nikt nie złamał samego blockchain. Co się łamie, to wszystko wokół niego.
Inteligentne kontrakty prowadzą listę. To automatyczne fragmenty kodu wdrażane bezpośrednio na łańcuchu i nie można ich poprawiać jak normalną aplikację. Jeden błąd i każdy na świecie może go wykorzystać. The DAO nauczył się tego w 2016 roku, kiedy błąd reentrancy kosztował 60 milionów dolarów. Dziewięć lat później problem wciąż istnieje. Chainalysis stwierdza, że 8,5% kradzieży w 2024 roku pochodziło z luk w inteligentnych kontraktach. Halborn przeanalizował sto największych hacków DeFi i znalazł, że słaba walidacja danych wejściowych spowodowała 34,6% z nich.
| Luka w bezpieczeństwie | Co się dzieje | Skalę szkodom |
|---|---|---|
| Atak 51% | Jedna jednostka przejmuje większościową kontrolę walidacji sieci | Ethereum Classic wielokrotnie atakowany w 2020 roku |
| Atak Sybil | Fałszywe węzły zalewają sieć | Częsty na mniejszych blockchainach |
| Phishing | Użytkownicy oszukani, aby podpisali transakcje lub ujawnili klucze | $410M w H1 2025 w 132 incydentach |
| Flash loan exploit | Pożyczone fundusze manipulują cenami tokenów w jednej transakcji | Euler Finance — $197M |
| Atak na most | Luki mostu cross-chain pozwalają drukować niepoparty tokeny | Spadło z $338M (2023) do $114M (2024) |
| Rug pull | Twórcy wycofują całą płynność i znikają | 1,9% całkowitych strat w 2024 roku |
Halborn opublikował statystykę, do której wciąż wraca się w branży. Z protokołów zhakowanych w poważnych incydentach DeFi, tylko 19% miało portfele multi-signature. 2,4% korzystało z cold storage. Przeciętny bank zostałby zamknięty przez regulatorów za takie zaniedbania. W kryptowalutach większość projektów wdrożyła bez któregokolwiek z nich i liczyła na szczęście.
Bezpieczeństwo blockchain: co rzeczywiście zadziała#
Projekty, które przetrwają, robiące kilka rzeczy dobrze. Nic z tego nie jest skomplikowane.
Audyty smart kontraktów są kluczowe. Wynajmujesz firmę bezpieczeństwa, aby przeanalizowała kod zanim wdrożysz go na mainnet. Szukają błędów reentrancy, przepełnienia, luk w kontroli dostępu — rzeczy, które kosztują 200 milionów dolarów. Tak, to kosztuje pieniądze.
| Typ projektu | Koszt audytu |
|---|---|
| Podstawowy token lub NFT | 5 000 - 15 000 USD |
| Protokół stakingu lub zarządzania | 15 000 - 40 000 USD |
| Pełny protokół DeFi (DEX, pożyczki) | 40 000 - 100 000 USD |
| Enterprise'owy system multi-chain | 100 000 - 200 000+ USD |
CertiK, Hacken, OpenZeppelin, Trail of Bits — robią tę pracę. Warta uwagi rzecz: audytowane kontrakty były nadal atakowane. Ale nieaudytowane? Eksplodują w zupełnie innym tempie.
Portfele multi-sig powinny być obowiązkowe dla czego kolwiek przechowującego poważne środki. Dwa lub trzy klucze wymagane do podpisania oznaczają, że jeden kradnięty klucz nie zburzy wszystkiego. Bybit miał multi-sig i wciąż go przechwycili — tym razem idąc za interfejsem podpisywania zamiast za samymi kluczami. Multi-sig to jedna warstwa. Nie całe fortyfikacje.
Cold storage to najlepsze miejsce dla pieniędzy, które teraz nie będą się ruszać. Portfel nigdy nie podłączony do internetu nie może być zhakowany przez internet. Każda giełda, która przežyła 2024 i 2025 bez braków, przechowywała większość środków użytkowników offline.
Monitoring 24/7 to tutaj robi się ciekawe. Venus miała system, który wychwycił podejrzane wywołania kontraktów 18 godzin przed atakiem. Wstrzymali transfer. Uratowali każdy dolar. Atakujący stracili pieniądze na opłatach za gaz. Chainalysis, Forta Network, OpenZeppelin Defender — te narzędzia obserwują blockchain przez cały czas i łapią wzorce, które człowiek by przegapił.
Potem jest szara rzeczywistość: moduły bezpieczeństwa sprzętowego dla prywatnych kluczy, kontrola dostępu oparty na rolach (żeby jedna osoba nie mogła autoryzować dużego transferu samodzielnie), rotacja hasła, plan awaryjny napisany zanim coś pójdzie źle.
DeFi bezpieczniejszy, CeFi gorszy#
Porównanie DeFi i CeFi w 2024 roku jest zaskakujące.
| Straty w 2024 r. | Incydenty | Zmiana rok do roku | |
|---|---|---|---|
| DeFi | 769 mln USD | 221 | -44,8% |
| CeFi | 726 mln USD | 11 | +77,5% |
CeFi miał jedenaście incydentów i stracił niemal tyle samo co DeFi w 221 zdarzeniach. Jeden zły dzień na scentralizowanej giełdzie robi więcej szkód niż miesiące DeFi exploitów razem.
DeFi faktycznie się ulepszy. Straty mostów spadły. Więcej projektów jest audytowanych przed launchem. Immunefi płaci white-hat hackerom za znalezienie bugów wcześniej — i to działa.
CeFi idzie w drugą stronę. Giełdy przechowują ogromne kwoty krypto klientów w niewielu kontach pracowniczych. Jeden phishing email, który przejdzie, a czytasz o stratach na miliardach. Bybit musiał uzupełnić 1,5 miliarda dolarów rezerw użytkowników w trzy dni po braku w lutym 2025. Zdołali. Nie wszystkie giełdy byłyby w stanie.
Rynek bezpieczeństwa blockchain rośnie#
Fortune Business Insights wycenia rynek bezpieczeństwa blockchain na 5 miliardów dolarów w 2025 roku, z prognozą wzrostu do 8,4 miliarda do 2026. Coherent Market Insights widzi 128 miliardów dolarów do 2032 roku przy wzroście 57% rocznie.
Dwie rzeczy to napędzają. Po pierwsze, każdego roku jest po prostu więcej pieniędzy w sieci, co oznacza więcej pieniędzy wartych ochrony. Po drugie, regulatorzy przestali być opcjonalni. Unia Europejska narzuciła w ramach MiCA specyficzne standardy bezpieczeństwa dla biznesu kryptowalutowego. Amerykańska CFTC uruchomiła Digital Assets Pilot Program akceptujący tokenizowane papiery wartościowe, ale tylko od firm ze sprawdzonymi mechanizmami kontroli. Jeśli chcesz pieniędzy instytucjonalnych, potrzebujesz bezpieczeństwa na poziomie instytucjonalnym. To kiedyś była stratega marketingowa. Teraz to wymóg prawny.
Technologia też się zmienia. Anthropic znalazła błędy w smart contractach o wartości 4,6 miliona dolarów za pomocą analizy AI — podatności, które człowiekiem zajęłyby audytorom tygodnie. Dowody zerowej wiedzy pozwalają transakcjom blockchain pozostać prywatnymi i weryfikowalnymi jednocześnie. Obliczenia wielostronne zaczynają zastępować tradycyjne multi-sig w zarządzaniu kluczami blockchain dla przedsiębiorstw.
Co to dla ciebie oznacza#
Jeśli posiadasz kryptowalutę, podstawy liczą się najbardziej: sprzętowy portfel, fraza nasion zapisana na papierze i schowana w bezpiecznym miejscu, uwierzytelnianie dwuczynnikowe za pomocą aplikacji (nie SMS), oraz sceptycyzm wobec każdego linku, który rzekomo pochodzi z twojej giełdy. Większość osób traci kryptowalutę przez phishing lub źle przechowywane klucze, nie przez exploity na poziomie protokołu.
Jeśli budujesz na łańcuchu, jest więcej do zrobienia, ale nic tajemniczego: zweryfikuj kod zanim deployujesz, multi-sig w kasie, monitoring kontraktów w czasie rzeczywistym i plan na wypadek kryzysu napisany przed godz. 3 nad ranem w sobotę, gdy coś się posypie. Technologia blockchain poniżej jest solidna — piętnaście lat Bitcoin'a to udowodniło. Ale smart kontrakty, mosty, portfele i operacyjne bezpieczeństwo zbudowane na szczycie to tylko tyle, ile warte są umiejętności i ostrożność ludzi je prowadzących. A 3,4 miliarda dolarów rocznie traconych na exploity mówi nam, że nie radzimy sobie dobrze.
