1,5 млрд долларов. Исчезли за один день. Bybit, февраль 2025 года. Lazarus, северокорейская хакерская группа, не стала ломать криптографию Ethereum. Вместо этого они внедрили вредоносный JavaScript в интерфейс кошелька, который использовала команда Bybit. Перехватили токен сеанса AWS. Обошли двухфакторную аутентификацию. Вышли с 401 347 ETH. ФБР подтвердило причастность в течение нескольких недель.
Контекст здесь важен: это больше денег, чем потеряно во всех эксплойтах DeFi за 2025 год. Одна ошибка на одной бирже — и 1,5 млрд долларов испарились. По данным Chainalysis, в 2025 году украдено 3,4 млрд долларов в блокчейне, на 55% больше, чем 2,2 млрд в 2024-м. Сам блокчейн работал нормально. Вопрос был в людях, которые этим управляют.
Как блокчейн защищает ваши деньги#
Блокчейн — это распределённый реестр, одна и та же база данных, скопированная на тысячи компьютеров по всему миру. Когда вы отправляете Bitcoin или работаете со смарт-контрактом на Ethereum, сеть проверяет транзакцию перед тем, как её зафиксировать. Три вещи затрудняют подделку.
Криптографическое хеширование связывает блоки цепочкой. Каждый блок содержит хеш предыдущего — математический отпечаток пальца. Чтобы изменить одну транзакцию, пришлось бы пересчитать хеш каждого следующего блока. На Bitcoin, где миллионы майнеров считают SHA-256, это требует больше вычислительной мощности, чем есть в большинстве стран.
Децентрализация раздаёт реестр по тысячам узлов. Банк хранит свою базу на серверах в одном месте — взломайте их, и вы владеете данными. Блокчейн живёт везде сразу. Чтобы подделать реестр, нужно скомпрометировать большинство этих узлов одновременно, в разных странах, разных сетях, у разных операторов.
Механизмы консенсуса заставляют сеть договориться перед записью. Майнеры Bitcoin тратят электричество на криптографические задачи, чтобы получить право проверять транзакции. Валидаторы Ethereum блокируют свой ETH как залог — если одобрят подделку, теряют его. В обоих случаях мошенничество становится слишком дорогим. Атака на Bitcoin стоила бы миллиарды на оборудование и электричество. Атака на Ethereum означала бы покупку миллиардов ETH с риском их потери.
Эти три слоя объясняют, почему никто не взламывал сам Bitcoin или Ethereum. Но инфраструктура, которую люди строят сверху? Совсем другая история.
Разные блокчейны имеют разные уязвимости#
Когда говорят «блокчейн», звучит как одна вещь. На самом деле разные типы имеют совсем разные слабые места.
| Тип | Кто может присоединиться | Кто проверяет | Безопасность зависит от | Примеры |
|---|---|---|---|---|
| Публичный | Любой | Все узлы | Экономической стоимости атаки | Bitcoin, Ethereum |
| Приватный | Только по приглашению | Избранные узлы | Контроля доступа | Hyperledger Fabric |
| С разрешением | Одобренные участники | Назначенные валидаторы | Управления и идентификации | Ripple, Corda |
| Гибридный | Публичный и приватный | Зависит от сценария | Комбинация подходов | Dragonchain |
Публичные сети имеют тысячи валидаторов, проверяющих друг друга. Чтобы атаковать Bitcoin, нужно потратить больше, чем вся майнинговая индустрия вместе. Никто этого не делал. Обратная сторона: вся эта проверка медленная.
JPMorgan запустил приватный блокчейн, потому что ему нужен контроль над участниками. Для банка логично. Но приватный блокчейн с 20 валидаторами — это не то же самое, что сеть с 20 000. Скомпрометируйте несколько узлов, и вы владеете всей сетью. Это цена выбора приватного блокчейна вместо публичного.
Гибридные блокчейны пытаются совместить оба подхода. На практике они совмещают и их уязвимости.
Крупнейшие атаки на блокчейн и что на самом деле пошло не так#
Посмотрите на цифры. Почти ни одна из этих атак не была направлена на сам протокол блокчейна. Это были операционные сбои. Кто-то повторно использовал пароль. Кто-то оставил приватный ключ на сервере. Кто-то развернул смарт-контракт без проверки.
| Атака | Сумма | Год | Что произошло |
|---|---|---|---|
| Bybit | $1,5 млрд | 2025 | Вредоносный JS в интерфейсе кошелька перехватил AWS токены |
| DMM Bitcoin | $305 млн | 2024 | Приватный ключ скомпрометирован на японской бирже |
| PlayDapp | $290 млн | 2024 | Утечка приватного ключа игровой платформы |
| WazirX | $230 млн | 2024 | Эксплуатация мультиподписного кошелька через уязвимость хранилища |
| Cetus DEX | $223 млн | 2025 | Пропущена проверка переполнения в коде биржи |
| Balancer | $128 млн | 2025 | Ошибка в направлении округления |
| Orbit Chain | $80 млн | 2024 | Кросс-цепный мост опустошен |
Компрометация кошельков была причиной 69% всей украденной стоимости в первой половине 2025 года. Скомпрометированные аккаунты сотрудников стали причиной 55,6% всех инцидентов в 2024 году. Никто не взламывал шифрование. Люди нажимали на неправильные ссылки, повторно использовали пароли или оставляли ключи там, где их не следовало оставлять. Обычные, предотвратимые ошибки стоимостью сотни миллионов каждая.
Распространённые уязвимости блокчейна#
Пятнадцать лет спустя никто не взломал основной реестр блокчейна. Что постоянно взламывается — это всё, что к нему подключено.
Смарт-контракты стоят в верхней части списка уязвимостей. Это фрагменты кода, которые выполняются в цепи автоматически, и один раз развёрнутые, их нельзя пропатчить как обычное приложение. Один баг в смарт-контракте — и любой в мире может его использовать. The DAO узнал об этом в 2016 году, когда ошибка реентрантности стоила $60 миллионов. Девять лет спустя проблема остаётся. По данным Chainalysis, неправильная проверка входных данных была причиной 34,6% всех больших хаков DeFi в 2024 году.
| Уязвимость | Что происходит | Примеры |
|---|---|---|
| 51% атака | Один субъект получает большинство контроля над валидацией в сети | Ethereum Classic подвергся нападению несколько раз в 2020 году |
| Атака Сибил | Поддельные узлы заполняют сеть и нарушают консенсус | Распространена на меньших блокчейнах с небольшим количеством валидаторов |
| Фишинг | Пользователей обманывают, чтобы они подписали вредоносные транзакции или раскрыли ключи | $410 млн потеряно в первой половине 2025 через 132 инцидента |
| Flash loan эксплуатация | Заимствованные средства манипулируют ценой токена в пределах одной транзакции | Euler Finance — $197 млн |
| Hack моста | Уязвимости кросс-цепного моста позволяют чеканить необеспеченные токены | Потери снизились с $338 млн (2023) до $114 млн (2024) |
| Rug pull | Разработчики создают ажиотаж вокруг токена, затем сливают ликвидность | 1,9% от общих потерь в 2024 году |
По отчёту Halborn, из протоколов, которые были взломаны в крупных DeFi инцидентах, только 19% использовали мультиподписные кошельки. 2,4% использовали холодное хранилище. Банк закрыли бы за такое управление активами. В крипто большинство проектов запустилось без обоих вариантов защиты.
Лучшие практики безопасности блокчейна, которые действительно предотвращают взломы#
Что отличает проекты, которые выживают, от тех, что попадают в список "самых крупных взломов"? На самом деле это довольно скучно.
Начните с аудитов смарт-контрактов. Вы нанимаете независимую фирму по безопасности, которая разбирает ваш код перед развертыванием. Они ищут ошибки reentrancy, переполнения, бреши в контроле доступа — типы уязвимостей, которые стоили сотни миллионов. Да, это стоит денег.
| Тип проекта | Стоимость аудита |
|---|---|
| Базовый токен или NFT | $5 000 - $15 000 |
| Протокол стейкинга или управления | $15 000 - $40 000 |
| Полный протокол DeFi (DEX, кредитование) | $40 000 - $100 000 |
| Корпоративная мультицепочная система | $100 000 - $200 000+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits занимаются этой работой. Проверенные контракты все еще подвергались эксплуатации, но неаудированные падают намного быстрее.
Multi-sig кошельки должны быть стандартом для любых серьезных денег. Два или три ключа, необходимые для подписания, означают, что один скомпрометированный ключ вас не убьет. Bybit использовал multi-sig и был взломан, потому что злоумышленники пошли на интерфейс подписания, а не на сами ключи. Так что multi-sig — это слой защиты, а не полная стена.
Холодное хранилище — лучшая защита для денег, которые вы не двигаете. Если кошелек никогда не был онлайн, его нельзя взломать по сети. Каждая биржа, которая пережила последние годы без взлома, хранила большую часть средств клиентов офлайн.
Мониторинг в реальном времени спасает. Venus Protocol обнаружила подозрительные вызовы контрактов за 18 часов до попытки атаки. Они приостановили все и спасли каждый доллар. Инструменты вроде Chainalysis, Forta Network и OpenZeppelin Defender следят за блокчейном круглосуточно и ловят закономерности, которые люди упустили бы.
Дальше идут скучные, но необходимые вещи: аппаратные модули безопасности для приватных ключей, распределенный контроль доступа (чтобы один человек не мог санкционировать крупный перевод один), регулярная смена паролей, заранее написанный план реагирования на инциденты.
DeFi становится более безопасным, но CeFi становится хуже#
Данные 2024 года по DeFi и CeFi поразительны.
| Потери в 2024 | Инциденты | Динамика | |
|---|---|---|---|
| DeFi | $769M | 221 | Снизилось на 44,8% |
| CeFi | $726M | 11 | Выросло на 77,5% |
CeFi имела одиннадцать инцидентов и потеряла столько же, сколько DeFi потеряла за 221 инцидент. Один плохой день на централизованной бирже может нанести больше ущерба, чем месяцы взломов в DeFi вместе взятые.
DeFi приводит свой дом в порядок. Потери на мостах упали. Больше проектов проходят аудит перед запуском. Программы баг-баунти Immunefi платят белым хакерам за поиск ошибок до развертывания, и это работает.
CeFi становится все хуже. Биржи концентрируют миллиарды за несколько аккаунтов сотрудников. Одно письмо с фишингом, и один разработчик дает доступ. Потом новость об убытке в девять цифр. Bybit потеряла $1,5 миллиарда клиентских денег в феврале 2025 года и смогла заменить их за три дня. Они справились. Не все смогли бы.
Рынок безопасности блокчейна растет#
Fortune Business Insights оценила рынок безопасности блокчейна в $5 миллиардов в 2025 году. Coherent Market Insights прогнозирует, что он достигнет $128 миллиардов к 2032 году при среднегодовом темпе роста 57%.
Это происходит по двум причинам. Во-первых, в блокчейне каждый год появляется больше денег, а значит, больше средств требует защиты. Во-вторых, регуляторы теперь обязательны. Европейский регламент MiCA устанавливает требования безопасности для всех крипто-компаний, работающих в ЕС. В США CFTC запустила программу пилотных проектов цифровых активов, которая принимает токенизированное обеспечение только от компаний с серьёзными мерами безопасности. Для привлечения институциональных инвестиций нужна безопасность на институциональном уровне. Раньше это был маркетинговый аргумент. Теперь это юридическое требование.
Совершенствуется и сама технология. Anthropic провела тест безопасности и с помощью анализа на основе ИИ нашла 4,6 миллиона долларов в ошибках смарт-контрактов — ошибки, которые человеческие аудиторы выявляли бы неделями. Доказательства с нулевым разглашением позволяют транзакциям оставаться приватными, но проверяемыми. Многопартийные вычисления используются в управлении ключами вместо традиционных мультиподписей.
Что это значит для вас#
Если у вас есть крипто, основы простые: аппаратный кошелёк, сид-фраза записана на бумаге и лежит в безопасном месте, двухфакторная аутентификация через приложение (не SMS), и сомневайтесь во всех ссылках от вашей биржи. Большинство людей теряют крипто из-за фишинга или потери ключей, а не из-за багов в протоколе.
Если вы разрабатываете блокчейн-решение, задача сложнее, но ясна: аудит перед запуском, мультиподпись на казну, постоянный мониторинг контрактов и план действий при инциденте (напишите его заранее, а не в 3 часа ночи в субботу, когда всё сломается). Распределённый реестр в основе надёжен. Пятнадцать лет Bitcoin это показали. Но смарт-контракты, мосты, кошельки и всё остальное, построенное на его основе, зависят от людей, которые ими пользуются. И 3,4 миллиарда долларов потерь в год говорит о том, что мы справляемся с этим плохо.
