Коли хакери стають частиною національної команди та AI: контрольний список безпеки для самоперевірки криптопроєктів у 2026 році

Chainfeeds Вступ:

За останнє десятиліття криптосвіт витратив багато часу, щоб довести, що він не є фінансовою пірамідою; у наступні десять років йому потрібно з такою ж рішучістю довести, що він достатньо безпечний, щоб стати платформою для серйозного капіталу.

Джерело статті:

Автор статті:

Ланцюгове Одкровення

Думка:

Ланцюгове Одкровення: Цього року криптоатаки демонструють нову симетрію: кількість інцидентів зменшилася, але кожна атака стала значно руйнівнішою. Згідно з середньорічним звітом SlowMist за 2025 рік, у першій половині року криптоіндустрія зазнала 121 інциденту безпеки — це на 45% менше, ніж 223 інциденти за аналогічний період минулого року. Це мало б бути гарною новиною, але втрати від атак зросли з 1.43 мільярда доларів до приблизно 2.37 мільярда доларів, що становить збільшення на 66%. Зловмисники більше не витрачають час на цілі з низькою вартістю, а зосереджуються на активах з високою вартістю та точках входу з високим технологічним бар'єром. Децентралізовані фінанси (DeFi) залишаються основним полем битви для атакуючих, на них припадає 76% інцидентів. Однак, незважаючи на те, що кількість інцидентів становить 92, втрати DeFi-протоколів знизилися з 659 мільйонів доларів у 2024 році до 470 мільйонів доларів. Ця тенденція свідчить про те, що безпека смарт-контрактів поступово зростає, а поширення формальної верифікації, програм винагород за виявлення вразливостей та інструментів захисту під час виконання створює для DeFi міцніший захист. Але це не означає, що DeFi-протоколи вже стали безпечними. Зловмисники переключилися на складніші вразливості, шукаючи можливості для отримання ще більших прибутків. Тим часом централізовані біржі (CEX) стали основним джерелом втрат. Хоча відбулося лише 11 атак, втрати склали 1.883 мільярда доларів, з яких одна відома біржа зазнала одноразових втрат у розмірі 1.46 мільярда доларів — це одна з найбільших атак в історії криптовалют (за сумою навіть перевищує інцидент Ronin на 625 мільйонів доларів). Ці атаки не базуються на вразливостях у ланцюзі, а виникають через захоплення акаунтів, зловживання внутрішніми правами доступу та соціальну інженерію. Така "неефективність" також призвела до поляризації цілей атак: поле DeFi — технологічно насичене, зловмисникам потрібно глибоко розуміти логіку смарт-контрактів, знаходити вразливості повторного входу, використовувати недоліки цінових механізмів AMM; поле CEX — насичене правами доступу, мета не зламати код, а отримати доступ до акаунтів, API-ключів, прав підпису мультипідписних гаманців. Тим часом методи атак також еволюціонують. У першій половині 2025 року з'явилася низка нових атак: фішингові атаки із використанням механізму авторизації EIP-7702, інвестиційні шахрайства з використанням deepfake для маскування під керівників бірж, шкідливі браузерні плагіни, що маскуються під Web3 інструменти безпеки. Поліція Гонконгу викрила групу deepfake-шахраїв, які завдали збитків на понад 34 мільйони гонконгських доларів — жертви думали, що спілкуються по відеозв'язку з реальними криптовалютними інфлюенсерами, але насправді це були віртуальні образи, створені штучним інтелектом.