5 серпня 2025 року KuCoin випустив свій останній щотижневий канал безпеки, який висвітлив тривожну реальність для екосистеми Web3. Згідно зі звітом, який базувався на даних блокчейн-компанії з безпеки SlowMist, інциденти безпеки у липні 2025 року призвели до втрат приблизно$147 мільйонівзагальних збитків. Ці цифри є не просто сумним підсумком; вони слугують суворим нагадуванням, що ризик — це не аномалія у світі криптовалюти. Ризик є невід’ємною та багатогранною реальністю, яка впливає на кожного учасника — від розробників до пересічних користувачів.
Детальніший аналіз основних атак місяця виявляє три чіткі категорії ризиків, які разом визначають виклики безпеки Web3.
Смарт-контракти: двосічний мечWeb3
Для багатьох обіцянка Web3 полягає у його спирані на незмінний код. Але, як показують інциденти липня, єдиної логічної помилки може бути достатньо для катастрофи. Децентралізована торговельна платформаGMXзазнала збитків понад$42 мільйони, коли атакувальники скористалися тонкою вразливістю у логіці її системи Keeper. Маніпулюючи тим, як протокол обробляв короткі позиції та оновлення цін, хакери змогли завищити ціну GLP, дозволивши їм отримати прибуток від масового викупу.
Так само злом крос-чейн мостаZKSwap, який призвів до втрат у$5 мільйонів, виник через фундаментальну помилку. Механізм доказів нульового розголошення — основна функція безпеки — насправді не перевірявся, що дозволило атакувальнику підробити докази зняття та обійти найважливіший елемент системи безпеки. Випадок зі смарт-контрактомSuperRare, де помилково використовували != замість ==, ще більше підкреслює цю проблему. [2] Ці атаки висвітлюють важливу істину: у системі, побудованій на коді, навіть невелика помилка може створити величезну діру у безпеці.
Джерело: @SlowMist_Team на X (Twitter)
Від інсайдерів до кейлогерів: поверхня атак Web3 розширюється
Хоча код часто є основним фокусом, найбільш тривожним трендом липня було зростання рівня складності атак, спрямованих на людей за платформами. Саме тут справжні слабкі місця централізованих систем стають очевидними. Атака наCoinDCX, яка призвела до втрати$44,2 мільйона, не була прямим нападом на гаманці платформи, а стала результатом внутрішньої змови, до якої був залучений скомпрометований розробник програмного забезпечення. Зловмисники видавали себе за фріланс-рекрутерів, встановили кейлогер на комп’ютері співробітника, викрали його облікові дані для входу та отримали доступ до внутрішніх систем біржі. Подальший арешт цього інженера демонструє серйозні наслідки таких порушень, а сам інцидент показує, як соціальна інженерія залишається надзвичайно ефективним вектором атаки. [1]
Інший приклад — атака на постачальницький ланцюгBigONE, під час якої хакери проникли в виробничу мережу біржі та змінили операційну логіку її систем контролю ризиків, що призвело до втрати$27 мільйонів. Атака наWOO X, яка призвела до викрадення$14 мільйонівз дев’яти облікових записів користувачів, також була пов’язана з цілеспрямованою фішинговою атакою на члена команди. Ці інциденти підкреслюють, що, незалежно від того, наскільки безпечним є холодне зберігання біржі, її внутрішня інфраструктура та співробітники, які її обслуговують, представляють значну поверхню атаки, яку зловмисники дедалі активніше намагаються використати.
Джерело: @SlowMist_Team на X (Twitter)
Ризик, пов’язаний із користувачем: останній рубіж захисту
Можливо, найбільш трагічні втрати відбуваються через брак освіти та обізнаності користувачів. Звіт включає моторошну історію користувача, який втратив4,35BTC— значну суму — після придбання підробленогохолодного гаманцяу третьої сторони на платформі електронної комерції [3]. Попередньо налаштований пристрій був пасткою, розробленою для викрадення коштів одразу після їх переведення. Ця історія є потужним нагадуванням, що безпека є не лише відповідальністю платформ та протоколів.
Для звичайного користувача ризики Web3 унікальні. Вони не захищені страховкою банківського рівня або звичними відділами боротьби з шахрайством. Децентралізована природа технології покладає важкий тягар відповідальності на саму людину, роблячи ретельну перевірку всього — від придбанняапаратних гаманцівдо перевірки деталей транзакцій — абсолютно необхідною.
Висновок: Спільна відповідальність
Події, пов'язані з безпекою в липні 2025 року, описані в звіті KuCoin, слугують впливовим підсумком притаманних ризиків Web3. Вони демонструють, що екосистема одночасно піддається випробуванням через технічні недоліки смарт-контрактів, атаки, спричинені людськими діями на централізовані структури, та постійну нестачу обізнаності користувачів. Втрати у розмірі $147 мільйонів є сигналом тривоги для всієї індустрії. Це чіткий знак, що безпека більше не може розглядатися як щось другорядне. Натомість вона має стати інтегрованим і спільним зусиллям, яке включає ретельні технічні аудити, суворі внутрішні протоколи і широке прагнення до освітньої роботи серед користувачів. Лише вирішуючи всі три аспекти, індустрія може сподіватися на створення дійсно захищеного та стійкого цифрового майбутнього.
Список джерел
[1] FinanceFeeds - Інженер-програміст CoinDCX заарештований за причетність до внутрішньої крадіжки криптовалюти на $44 мільйони, 31 липня 2025 року
[2] X(Twitter) - Повідомлення SlowMist TI Alert, 28 липня 2025 року (https://x.com/SlowMist_Team/status/1949770231733530682 )
[3] X(Twitter) - Досвід хакерства користувача під час придбання холодного гаманця через неофіційні канали, 29 липня 2025 року (https://x.com/0xdizai/status/1949906538497528087)