Только что обратил внимание на довольно тревожную цифру из недавнего отчета по безопасности блокчейн. За весь декабрь прошлого года пользователи криптовалют потеряли до 118 миллионов долларов из-за уязвимостей в безопасности. Эта цифра действительно велика, и еще более тревожно то, что большая часть потерь приходится на простые фишинговые атаки.

По анализу CertiK, около 93,4 миллиона долларов было потеряно из-за методов социальной инженерии. Это означает, что почти 80% убытков вызваны обманом пользователей, а не сложными технологическими уязвимостями. Атаки осуществляются очень изощренными способами: поддельные airdrop, фальшивые каналы поддержки, даже создание поддельных интерфейсов децентрализованных приложений.

Что же так смешно и почему это так эффективно? В основном потому, что современные фишинговые атаки очень изощренны. Они уже не только нацелены на широкую аудиторию, но и выбирают конкретные сообщества протоколов. Злоумышленники используют продвинутые скрипты для вывода средств, работающие на нескольких блокчейнах одновременно (Ethereum, BNB Chain, Polygon), и автоматически переводящие различные виды активов. Это объясняет, почему, несмотря на повышение уровня осведомленности пользователей о безопасности, атаки продолжают наносить значительный ущерб.

Есть несколько заметных инцидентов. Trust Wallet потерял 8,5 миллиона долларов из-за сложной социальной инженерной кампании, нацеленной на фразу восстановления кошелька. Flow столкнулся с потерей 3,9 миллиона долларов из-за утечки ключа узла верификации. Unleash Protocol также потерял 3,9 миллиона долларов из-за манипуляций с ценовым оракулом в сочетании с атаками типа flash loan.

Обратим внимание на тенденцию: ситуация действительно ухудшается. В октябре было потеряно 72 миллиона долларов, в ноябре — 86 миллионов, а в декабре — 118 миллионов. Процент фишинговых атак также растет — с 68% до 74%, а затем до 79%. Количество крупных инцидентов увеличилось с 4 до 7 за тот же период.

Эксперты по безопасности предлагают несколько мер: использование мультиподписных кошельков, транзакции с временной блокировкой для крупных сумм, обязательные аудиты перед запуском в основной сети, а также использование инструментов анализа поведения для выявления необычных шаблонов транзакций. Кроме того, крупные кошельки обновили функции моделирования транзакций, а протоколы расширили возможности страховых решений для защиты.

Но в реальности эти уязвимости никогда полностью не исчезнут. Блокчейн — это постоянно развивающаяся сфера, новые протоколы постоянно появляются, межцепочечная совместимость становится все сложнее. В 2025 году, возможно, мы увидим усиление фишинговых атак с помощью ИИ, межцепочечные взаимодействия создадут новые поверхности для атак, а также появятся угрозы, связанные с квантовыми вычислениями.

Главное — пользователи должны быть более бдительными. Тщательно проверяйте все URL, включайте функции моделирования транзакций, используйте аппаратные кошельки для крупных сумм, избегайте кликов по нежелательным ссылкам и подтверждайте аирдропы только через официальные каналы. Индустрия также должна продолжать усиливать техническую защиту и повышать осведомленность пользователей. Это постоянная гонка вооружений между специалистами по безопасности и злоумышленниками.