Уязвимости смарт-контрактов привели к потерям в криптовалюте на сумму 2 миллиарда долларов
В первом квартале 2025 года наблюдался тревожный рост потерь в криптовалюте из-за уязвимостей смарт-контрактов, в результате чего пользователи цифровых активов потеряли примерно 2 миллиарда долларов из-за хакеров. Это представляет собой драматическое увеличение по сравнению с тем же периодом 2024 года, когда потери почти удвоились в годовом исчислении. Ошибки контроля доступа стали преобладающим вектором атак, составив ошеломляющие 1,63 миллиарда долларов от общих потерь.
| Тип взлома | Потерянная сумма (Q1 2025) | Процент от общего |
|-----------|-------------------|-------------------|
| Уязвимости контроля доступа | $1.63 миллиарда | 81.5% |
| Другие уязвимости | $370 миллионов | 18.5% |
| Всего | $2 миллиарда | 100% |
Эксплуатация биржи Bybit выделяется как наиболее разрушительное событие в сфере безопасности, приведшее к краже средств на сумму 1,46 миллиарда долларов. Эта единственная атака составила почти 73% всех потерь в криптовалюте за этот период. Безопасностная компания Hacken сообщила, что за первую половину 2025 года хакеры совершили 334 атаки, общие потери от которых достигли 2,47 миллиарда долларов, уже превысив показатели всего предыдущего года. Продолжающееся преобладание атак на контроль доступа подчеркивает неотложную необходимость улучшения практик безопасности и более тщательной аудита кода в сфере криптовалют, особенно по мере того как [Web3] приложения становятся все более сложными и ценными.
Пять основных уязвимостей, используемых: повторный вход, переполнение/недополнение, контроль доступа, предварительный запуск и логические ошибки
Безопасность смарт-контрактов остается первостепенной задачей в экосистеме блокчейна, при этом пять критических уязвимостей постоянно эксплуатируются злоумышленниками. Атаки повторного входа, наглядно продемонстрированные во время взлома DAO в 2016 году, происходят, когда контракты делают внешние вызовы до обновления внутренних состояний, что позволяет рекурсивно исчерпывать средства — в результате чего было похищено примерно 60 миллионов ETH. Уязвимости переполнения/недостатка целых чисел представляют собой значительные риски, когда арифметические операции превышают ограничения размера переменной, вызывая неожиданное поведение контракта.
Уязвимости контроля доступа представляют собой другую постоянную угрозу, занимая 1-е место в списке уязвимостей смарт-контрактов OWASP из-за несанкционированных действий администраторов и эксплуатации частных функций. Атаки фронт-ранинг используют прозрачную природу блокчейна, где злонамеренные участники наблюдают за ожидающими транзакциями и вставляют свои собственные с более высокими газовыми сборами, чтобы выполнить их первыми, манипулируя рыночными условиями или крадя возможности.
Логические ошибки, возможно, самая основная уязвимость, возникают из-за неисправной реализации бизнес-логики. Они могут проявляться в виде ошибок в расчетах, неправильных переходов состояния или ненадлежащих проверок валидации. Последствия этих уязвимостей серьезны, как показано в следующих данных о нарушении безопасности:
| Тип уязвимости | Замечательные инциденты | Средний убыток (USD) |
|-------------------|-------------------|-------------------|
| Рекурсивный вызов | Хак DAO (2016) | 60,000,000 |
| Контроль доступа | Множественные взломы DeFi | 15,000,000 |
| Логические ошибки | Различные протоколы | 22,000,000 |
Профессиональные аудиты безопасности по-прежнему необходимы для выявления этих уязвимостей до развертывания.
Централизованные биржи, удерживающие средства пользователей, остаются значительным фактором риска
Централизованные криптовалютные биржи представляют собой постоянный вектор рисков в экосистеме цифровых активов из-за своей модели хранения. Когда пользователи вносят средства на эти платформы, они фактически отказываются от контроля над своими приватными ключами, создавая единую точку отказа, которая подвергает миллионы долларов потенциальным угрозам. Недавние нарушения безопасности демонстрируют эту уязвимость, когда хакеры нацеливаются на инфраструктуру биржи, а не на компрометацию отдельных (.
Ответственная структура для этих бирж остается недостаточной во многих юрисдикциях, оставляя пользователей с ограниченными возможностями для действий в случае инцидентов. Несмотря на значительные инвестиции в меры безопасности, биржи, хранящие большие объемы средств пользователей, по-прежнему привлекают сложные атаки, о чем свидетельствуют недавние громкие утечки.
| Фактор риска | Влияние | Доказательства из реального мира |
|-------------|--------|---------------------|
| Уязвимость безопасности | Прямые финансовые потери | Многочисленные взломы бирж, в результате которых потеряно миллиарды |
| Проблемы с контролем хранения | Пользователи теряют автономию активов | Приватные ключи контролируются третьей стороной |
| Регуляторная неопределенность | Ограниченная защита пользователей | Различный надзор в разных юрисдикциях |
Эта централизованная модель в корне противоречит основной идее технологии блокчейн - децентрализации и суверенитету пользователей. По мере развития рынка все больше инвесторов ищут децентрализованные альтернативы, которые предлагают варианты самоуправления, тем самым уменьшая врожденные риски, связанные с доверением средств централизованным сущностям, которые могут столкнуться с операционными, безопасными или даже мошенническими проблемами.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Какие 5 крупнейших уязвимостей Смарт-контрактов привели к потерям в 2 миллиарда долларов в Крипто?
Уязвимости смарт-контрактов привели к потерям в криптовалюте на сумму 2 миллиарда долларов
В первом квартале 2025 года наблюдался тревожный рост потерь в криптовалюте из-за уязвимостей смарт-контрактов, в результате чего пользователи цифровых активов потеряли примерно 2 миллиарда долларов из-за хакеров. Это представляет собой драматическое увеличение по сравнению с тем же периодом 2024 года, когда потери почти удвоились в годовом исчислении. Ошибки контроля доступа стали преобладающим вектором атак, составив ошеломляющие 1,63 миллиарда долларов от общих потерь.
| Тип взлома | Потерянная сумма (Q1 2025) | Процент от общего | |-----------|-------------------|-------------------| | Уязвимости контроля доступа | $1.63 миллиарда | 81.5% | | Другие уязвимости | $370 миллионов | 18.5% | | Всего | $2 миллиарда | 100% |
Эксплуатация биржи Bybit выделяется как наиболее разрушительное событие в сфере безопасности, приведшее к краже средств на сумму 1,46 миллиарда долларов. Эта единственная атака составила почти 73% всех потерь в криптовалюте за этот период. Безопасностная компания Hacken сообщила, что за первую половину 2025 года хакеры совершили 334 атаки, общие потери от которых достигли 2,47 миллиарда долларов, уже превысив показатели всего предыдущего года. Продолжающееся преобладание атак на контроль доступа подчеркивает неотложную необходимость улучшения практик безопасности и более тщательной аудита кода в сфере криптовалют, особенно по мере того как [Web3] приложения становятся все более сложными и ценными.
Пять основных уязвимостей, используемых: повторный вход, переполнение/недополнение, контроль доступа, предварительный запуск и логические ошибки
Безопасность смарт-контрактов остается первостепенной задачей в экосистеме блокчейна, при этом пять критических уязвимостей постоянно эксплуатируются злоумышленниками. Атаки повторного входа, наглядно продемонстрированные во время взлома DAO в 2016 году, происходят, когда контракты делают внешние вызовы до обновления внутренних состояний, что позволяет рекурсивно исчерпывать средства — в результате чего было похищено примерно 60 миллионов ETH. Уязвимости переполнения/недостатка целых чисел представляют собой значительные риски, когда арифметические операции превышают ограничения размера переменной, вызывая неожиданное поведение контракта.
Уязвимости контроля доступа представляют собой другую постоянную угрозу, занимая 1-е место в списке уязвимостей смарт-контрактов OWASP из-за несанкционированных действий администраторов и эксплуатации частных функций. Атаки фронт-ранинг используют прозрачную природу блокчейна, где злонамеренные участники наблюдают за ожидающими транзакциями и вставляют свои собственные с более высокими газовыми сборами, чтобы выполнить их первыми, манипулируя рыночными условиями или крадя возможности.
Логические ошибки, возможно, самая основная уязвимость, возникают из-за неисправной реализации бизнес-логики. Они могут проявляться в виде ошибок в расчетах, неправильных переходов состояния или ненадлежащих проверок валидации. Последствия этих уязвимостей серьезны, как показано в следующих данных о нарушении безопасности:
| Тип уязвимости | Замечательные инциденты | Средний убыток (USD) | |-------------------|-------------------|-------------------| | Рекурсивный вызов | Хак DAO (2016) | 60,000,000 | | Контроль доступа | Множественные взломы DeFi | 15,000,000 | | Логические ошибки | Различные протоколы | 22,000,000 |
Профессиональные аудиты безопасности по-прежнему необходимы для выявления этих уязвимостей до развертывания.
Централизованные биржи, удерживающие средства пользователей, остаются значительным фактором риска
Централизованные криптовалютные биржи представляют собой постоянный вектор рисков в экосистеме цифровых активов из-за своей модели хранения. Когда пользователи вносят средства на эти платформы, они фактически отказываются от контроля над своими приватными ключами, создавая единую точку отказа, которая подвергает миллионы долларов потенциальным угрозам. Недавние нарушения безопасности демонстрируют эту уязвимость, когда хакеры нацеливаются на инфраструктуру биржи, а не на компрометацию отдельных (.
Ответственная структура для этих бирж остается недостаточной во многих юрисдикциях, оставляя пользователей с ограниченными возможностями для действий в случае инцидентов. Несмотря на значительные инвестиции в меры безопасности, биржи, хранящие большие объемы средств пользователей, по-прежнему привлекают сложные атаки, о чем свидетельствуют недавние громкие утечки.
| Фактор риска | Влияние | Доказательства из реального мира | |-------------|--------|---------------------| | Уязвимость безопасности | Прямые финансовые потери | Многочисленные взломы бирж, в результате которых потеряно миллиарды | | Проблемы с контролем хранения | Пользователи теряют автономию активов | Приватные ключи контролируются третьей стороной | | Регуляторная неопределенность | Ограниченная защита пользователей | Различный надзор в разных юрисдикциях |
Эта централизованная модель в корне противоречит основной идее технологии блокчейн - децентрализации и суверенитету пользователей. По мере развития рынка все больше инвесторов ищут децентрализованные альтернативы, которые предлагают варианты самоуправления, тем самым уменьшая врожденные риски, связанные с доверением средств централизованным сущностям, которые могут столкнуться с операционными, безопасными или даже мошенническими проблемами.