На 5 августа 2025 года KuCoin выпустил последний еженедельный канал безопасности, который подчеркнул трезвую реальность для экосистемы Web3. Согласно отчету, основанному на данных компании по блокчейн-безопасности SlowMist, инциденты с безопасностью в июле 2025 года привели к утечке примерно$147 миллионовобщих потерь. Эти цифры — это больше, чем просто мрачная статистика; они служат сокрушительным напоминанием о том, что риск не является аномалией в мире криптовалют. Это врожденная и многогранная реальность, которая затрагивает каждого участника — от разработчиков до обычных пользователей.
Более детальное рассмотрение крупных взломов месяца выявляет три отчетливо выделенные категории рисков, которые вместе определяют проблемы безопасности Web3.
Смарт-контракты: Острое преимущество и слабостьWeb3
Для многих обещание Web3 лежит в его опоре на неизменимый код. Но как показывают инциденты июля, одна логическая ошибка может быть катастрофической. Децентрализованная торговая платформаGMXпотеряла более$42 миллионапосле того, как злоумышленники воспользовались незначительной уязвимостью в логике системы Keeper. Манипулируя тем, как протокол обрабатывал короткие позиции и обновления цен, хакеры смогли завысить цену GLP, что позволило им получить прибыль от масштабного выкупа.
Аналогично, взлом кросс-чейн мостаZKSwap, который привел к утрате$5 миллионов, был вызван фундаментальной ошибкой. Механизм доказательства с нулевым разглашением — ключевая функция безопасности — фактически не проверялся, что позволило злоумышленнику подделать доказательства вывода средств и обойти самый важный элемент проверки системы. Случай со смарт-контрактомSuperRare, который содержал низкоуровневую ошибку, где != использовался вместо ==, также подчеркивает эту проблему. [2] Эти атаки подчеркивают важную истину: в системе, построенной на коде, даже небольшая ошибка может создать серьезную уязвимость.
Источник: @SlowMist_Team на платформе X (Twitter)
От инсайдеров до кейлоггеров: Поверхность атак Web3 расширяется
Пока код часто находится в центре внимания, самый тревожный тренд июля — это растущая сложность атак, нацеленных на людей, стоящих за платформами. Именно здесь уязвимости централизованных систем становятся особенно очевидными. Взлом CoinDCX, который обошелся в $44,2 млн, не был прямой атакой на кошельки, а стал следствием внутренней утечки, организованной скомпрометированным инженером-программистом. Злоумышленники выдавали себя за фриланс-рекрутеров, установили кейлоггер на компьютер сотрудника, украли его учетные данные для входа и получили доступ к внутренним системам биржи. Последующий арест инженера демонстрирует серьезные последствия такого рода нарушений, и инцидент показывает, как социальная инженерия остается чрезвычайно эффективным вектором атаки. [1]
Другой пример — это атака на цепочку поставок BigONE, в ходе которой хакеры проникли в производственную сеть биржи и изменили логику работы ее систем контроля рисков, что привело к убыткам в размере $27 млн. Взлом WOO X, в результате которого было выведено $14 млн с девяти пользовательских аккаунтов, также был связан с таргетированной фишинговой атакой на члена команды. Эти инциденты подчеркивают, что, каким бы защищенным ни было холодное хранилище биржи, ее внутренняя инфраструктура — и сотрудники, которые ею управляют — представляют собой значительную поверхность атаки, к которой злоумышленники проявляют все больший интерес.
Источник: @SlowMist_Team на X (Twitter)
Риски, связанные с пользователями: последняя линия обороны
Возможно, самыми трагичными потерями являются те, которые происходят из-за отсутствия образования и осведомленности пользователей. В отчете приводится душераздирающая история о пользователе, который потерял 4,35BTC— значительную сумму — после покупки поддельного холодного кошелька у стороннего продавца на платформе электронной коммерции [3]. Предварительно настроенное устройство оказалось ловушкой, разработанной для вывода средств сразу после их перевода. Эта история служит мощным напоминанием о том, что безопасность — это не только ответственность платформ и протоколов.
Для обычного пользователя риски Web3 уникальны. Они не защищены страхованием на уровне банков или традиционными отделами по борьбе с мошенничеством. Децентрализованная природа технологии возлагает огромную ответственность на самого человека, делая тщательную проверку всего — от покупки аппаратных кошельков до валидации деталей транзакций — абсолютно необходимой.
Заключение: Общая ответственность
События, связанные с безопасностью, произошедшие в июле 2025 года, подробно описанные в отчете KuCoin, служат мощным напоминанием о присущих рисках экосистемы Web3. Они демонстрируют, что экосистема одновременно подвергается испытаниям из-за технических недостатков в смарт-контрактах, атак, инициированных людьми на централизованные структуры, и постоянного недостатка осведомленности пользователей. Потери в размере $147 миллионов служат тревожным сигналом для всей отрасли. Это ясный знак того, что безопасность больше не может восприниматься как второстепенная задача. Вместо этого она должна стать интегрированной, коллективной задачей, которая включает тщательные технические аудиты, строгие внутренние протоколы и широкую приверженность обучению пользователей. Только путем работы над всеми тремя направлениями индустрия сможет построить действительно безопасное и устойчивое цифровое будущее.
Ссылки
[1] FinanceFeeds - Арест инженера программного обеспечения CoinDCX за участие в инсайдерской крипто-краже на сумму $44 миллиона, 31 июля 2025 года
[2] X(Twitter) - Предупреждение TI от SlowMist, 28 июля 2025 года(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(Twitter) - Опыт пользователя, столкнувшегося с взломом при покупке холодного кошелька через неофициальные каналы, 29 июля 2025 года(https://x.com/0xdizai/status/1949906538497528087)