В декабре в сфере криптовалют было зафиксировано убытков на сумму 117,8 миллионов долларов США, основными угрозами стали фишинговые атаки и отравление адресов

По последним данным, в декабре убытки в крипто-секторе от уязвимостей и атак составили примерно 117,8 миллионов долларов США. Среди них потери от фишинговых атак — 93,4 миллиона долларов, что составляет почти 80%, а проблема адресного отравления — еще более тревожная, с убытками в 51,8 миллиона долларов. Эти цифры вновь напоминают всей индустрии, что вопросы безопасности еще далеки от решения.

Структура и особенности атакующих потерь

Согласно мониторинговым данным CertiK Alert, в декабре наблюдается явная структурная характеристика инцидентов безопасности:

Особое внимание заслуживает проблема адресного отравления. Логика таких атак проста, но очень эффективна: хакеры создают на блокчейне фишинговые адреса, похожие на легитимные, и пользователи по невнимательности переводят активы не туда. Только эта категория атак в рамках фишинговых потерь занимает 55%, что говорит о том, что это уже основной метод преступников.

Реальная угроза уязвимостей по данным Unleash Protocol

Связанные новости приводят конкретный пример. 30 декабря Unleash Protocol столкнулся с атакой через уязвимость мультиподписей, что привело к несанкционированному выводу различных активов — WIP, USDC, WETH, stIP и vIP. В результате злоумышленники перевели 1337,1 ETH (около 3,9 миллиона долларов) на Tornado Cash для смешивания.

Что показывает этот случай:

• Порог использования уязвимости невысок: мультиподписной механизм, который должен был обеспечивать безопасность, стал точкой входа для атаки
• Быстрая конвертация в анонимные средства: после кражи активы быстро уходят в приватные миксеры, усложняя отслеживание
• Один инцидент — значительные потери: 3,9 миллиона долларов — лишь один из множества атак в декабре

Команда Unleash приостановила работу протокола и сотрудничает с экспертами по безопасности, однако ущерб уже нанесен.

Безопасность и аудит — не панацея

Интересно, что в новостях упоминается, что некоторые проекты прошли двойной аудит CertiK и OpenZeppelin и позиционируются как “безопасная основа”. Но по данным декабря даже проекты с аудитом могут стать жертвами. Это показывает, что:

• Аудит в основном фокусируется на уязвимостях в коде
• Но безопасность операционной деятельности (например, управление мультиподписями, настройки прав) зачастую слабое место
• Атаки хакеров постоянно эволюционируют, и аудит не может покрыть все риски

Важные направления для будущего

Исходя из текущей информации, можно ожидать, что в будущем особое внимание уделят следующим аспектам:

• Инструменты проверки адресов: кошельки и биржи усилят функции распознавания адресов, чтобы снизить эффективность отравлений
• Стандарты безопасности мультиподписей: индустрия может разработать более строгие нормы управления мультиподписями
• Обучение пользователей: фишинг и адресное отравление по сути используют человеческую невнимательность, повышение бдительности — ключ к защите

Итог

Убытки в размере 117,8 миллиона долларов в декабре отражают текущий уровень безопасности в крипто-сфере: несмотря на прогресс в технической защите, человеческий фактор и новые виды атак продолжают создавать уязвимости. Почти 80% потерь приходится на фишинг, а адресное отравление — главный “убийственный” прием хакеров. Пример Unleash Protocol напоминает, что даже проекты, серьезно относящиеся к безопасности, могут потерпеть неудачу.

Для пользователей эти цифры — не повод для отчаяния, а ясный сигнал: перед любыми операциями в этой сфере важно дважды проверить адрес, быть осторожным с незнакомыми ссылками. Эти простые действия могут оказаться более эффективными, чем любой аудит аудита, в защите ваших активов.