Збитки від криптофішингу у 2025-му впали на 83%

Обсяг коштів, викрадених через фішингові атаки, у 2025 році скоротився на 83% — до $83,85 млн. Про це йдеться в звіті SlowMist.

У 2024 році показник сягав $494 млн. Кількість постраждалих користувачів також зменшилася — жертвами зловмисників стали 106 106 осіб, що на 68% менше за торішні значення.

Аналітики виявили пряму кореляцію між активністю на ринку та успішністю атак. Пік крадіжок припав на третій квартал, коли спостерігалося ралі Ethereum. У серпні та вересні скамери викрали близько 29% від усього річного обсягу коштів (понад $31 млн).

У четвертому кварталі на тлі охолодження ринку активність дрейнерів знизилася до мінімуму — у грудні збитки склали лише $2,04 млн.

Ключові методи атак:

1. Permit-підписи. Лишаються головним інструментом крадіжок. На їхню частку припало 38% великих інцидентів (із збитками понад $1 млн).
2. EIP-7702. Після апгрейду Pectra з’явився новий вектор загроз. Зловмисники почали використовувати абстракцію облікового запису для пакетування шкідливих операцій.

Найбільша одинична крадіжка року сталася у вересні — користувач втратив $6,5 млн через підроблену Permit-підпис.

Експерти попередили, що зниження показників не означає зникнення загрози. Екосистема дрейнерів трансформується. Спостерігається поділ на масовий фішинг для роздрібних користувачів і складні цільові атаки на великі проєкти.

«Якщо ринки відновляться, хакерська активність зросте разом із ними», — підкреслили дослідники.

Сукупні втрати зросли на 46%

Попри спад активності фішингових дрейнерів, загальні збитки криптоіндустрії у 2025 році суттєво зросли. Аналітики SlowMist зафіксували 200 інцидентів безпеки із сукупними втратами на $2,935 млрд.

Для порівняння: у 2024 році атак було вдвічі більше (410), але вкрадена сума нижча — $2,013 млрд. Тенденція року: кількість зламів зменшується, але їхній «середній чек» і тяжкість наслідків зростають.

Найбільш атакованою екосистемою залишився Ethereum ($183 млн втрат). Далі йдуть Solana та Arbitrum із збитками близько $17 млн у кожній мережі.

Централізовані біржі втратили більше, ніж DeFi

У 2025 році вектор атак змістився з децентралізованих протоколів на великі централізовані платформи (CeFi).

DeFi-сектор залишається лідером за кількістю інцидентів (126 зламів, 63% від загальної кількості). Втім сукупний збиток у напрямі знизився на 37% і склав $649 млн.

У CeFi-сегменті сталося лише 22 інциденти, але збитки виявилися колосальними — $1,8 млрд.

Головна «подія року» — злам біржі Bybit, унаслідок якого зловмисники вивели активи на $1,46 млрд. Експерти пов’язали атаку з північнокорейськими хакерами.

У топ-3 інцидентів також увійшли атаки на Cetus Protocol ($230 млн) і Balancer V2 ($121 млн).

Соціальна інженерія: фейкові роботодавці та підробні гаманці

Хакери дедалі частіше відмовляються від технічних зламів на користь маніпуляцій людьми. У звіті виділили основні схеми:

• фейкові співбесіди: зловмисники шукають розробників у LinkedIn, видаючи себе за рекрутерів відомих проєктів. Під виглядом «тестового завдання» кандидатів просять завантажити й запустити код із прихованими троянами для крадіжки ключів;
• фейкові експерти з безпеки: шахраї створюють образи «білих» хакерів у соцмережах, пропонують жертвам допомогу з перевіркою гаманців і під цим приводом отримують доступ до активів;
• апаратні гаманці: користувачі купують пристрої у неофіційних продавців. Такі девайси надходять уже активованими або з передвстановленою мнемонічною фразою, яку знають хакери.

Загрози через ланцюги постачання та браузерні розширення

Зловмисники атакують ланцюги постачання ПЗ, щоб заразити одразу велику кількість користувачів:

• отруєння open source: хакери завантажують шкідливий код у популярні репозиторії на GitHub. Часто маскуються під корисні інструменти, зокрема торгових ботів для Solana;
• небезпечні розширення: у 2025 році зафіксовано випадки, коли популярні браузерні плагіни (наприклад, VPN-сервіси або інструменти для Web3) приховано збирали дані користувачів, включно з листуванням із ШІ та cookie-файлами бірж.

ШІ на службі хакерів

Штучний інтелект став потужним інструментом у руках зловмисників. Технології дипфейків використовують для створення відео з відомими особами, які рекламують скам-проєкти.

Зафіксовано випадки корпоративного шахрайства: співробітник гонконзької компанії переказав злочинцям великі суми після відеоконференції, де всі його «колеги» та «керівництво» генерувалися нейромережею в реальному часі.

Також хакери використовують моделі ШІ (на кшталт Gemini або Claude) для написання та постійної модифікації шкідливого коду, аби оминати антивірусні системи.

Нагадаємо, від початку року хакери викрали криптовалюти на суму понад $3,4 млрд, підрахували в Chainalysis.