У грудні в криптовалютній сфері зафіксовано збитки на суму 117,8 мільйонів доларів США, основними загрозами стали фішингові атаки та отруєння адрес

Згідно з останніми новинами, у криптовалютній сфері в грудні через вразливості та атаки було завдано збитків приблизно на 117,8 мільйонів доларів США. З них шахрайські фішингові атаки склали 93,4 мільйонів доларів, що майже 80%, а проблема адресного отруєння ще більш вражаюча — збитки від однієї такої атаки склали 51,8 мільйонів доларів США. Ці дані знову нагадують всій галузі, що питання безпеки ще далеко не вирішені.

Структура та особливості атак

Згідно з моніторинговими даними CertiK Alert, у грудні спостерігалися явні структурні характеристики у випадках безпеки:

Найбільше уваги заслуговує проблема адресного отруєння. Логіка таких атак дуже проста, але ефективна: хакери створюють у блокчейні фішингові адреси, схожі на легальні, і користувачі випадково переводять активи не туди. Всього одна така атака становить 55% від загальних збитків через фішинг, що свідчить про те, що це вже основний спосіб злочинців.

Реальна загроза вразливостей на прикладі Unleash Protocol

Згідно з інформацією, був наведений конкретний випадок. 30 грудня Unleash Protocol зазнав атаки через баг у механізмі мультипідпису, що призвело до несанкціонованого зняття різних активів, таких як WIP, USDC, WETH, stIP і vIP. З них 1337,1 ETH (приблизно 3,9 мільйонів доларів США) були переведені хакерами до Tornado Cash для змішування.

Що цей випадок показує:

• Мінімальний бар’єр для використання вразливості: механізм мультипідпису, який має забезпечувати безпеку, став точкою входу для атак
• Швидкість змішування: активи швидко потрапляють у приватні змішувачі, ускладнюючи їх відстеження
• Значні збитки від одного інциденту: 3,9 мільйонів доларів — лише один із багатьох випадків у грудні

Команда Unleash призупинила роботу протоколу і співпрацює з експертами з безпеки для перевірки, але збитки вже нанесені.

Безпековий аудит — не панацея

Цікаво, що у згаданій інформації зазначено, що деякі проєкти пройшли подвійний аудит від CertiK і OpenZeppelin і позиціонуються як “базова безпека”. Але з даних за грудень видно, що навіть проєкти, які пройшли аудит, можуть стати жертвами. Це свідчить про те, що:

• Аудит зазвичай фокусується на вразливостях у коді
• Операційна безпека (управління мультипідписами, налаштування прав) часто є слабким місцем
• Злочинці постійно вдосконалюють свої методи, і аудит не може охопити всі ризики

Подальші напрямки для уваги

З урахуванням наявної інформації можна передбачити, що у майбутньому буде зростати увага до таких аспектів:

• Інструменти перевірки адрес: гаманці та біржі посилюватимуть функції ідентифікації адрес, щоб зменшити успішність атак з отруєнням
• Стандарти безпеки мультипідпису: галузь може запровадити більш жорсткі норми управління мультипідписами
• Освіта користувачів: фішинг і адресне отруєння — це в основному наслідки недбалості користувачів, тому підвищення обізнаності є ключовим

Висновки

Збитки у розмірі 117,8 мільйонів доларів у грудні відображають поточний стан безпеки у криптовалютній сфері: хоча технології захисту вдосконалюються, людський фактор і нові види атак продовжують створювати вразливості. Фішингові атаки становлять майже 80%, з них адресне отруєння — один із головних “зброї” хакерів. Випадок з Unleash Protocol нагадує, що навіть проєкти, які серйозно ставляться до безпеки, можуть зазнати поразки.

Для користувачів ці дані — не привід для відчаю, а чіткий сигнал: перед будь-якою операцією у цій сфері потрібно двічі перевірити адресу, бути обережним із незнайомими посиланнями. Ці базові дії можуть захистити ваші активи навіть краще за будь-який аудит.