Период с марта 2025 по март 2026 года стал одним из самых разрушительных в истории криптовалютной индустрии. По данным BitOK, специализирующейся на AML/KYC-решениях для криптоиндустрии, за прошлый год было похищено около 3 млрд долларов в результате почти 150 инцидентов. По альтернативным оценкам, сумма потерь может достигать 3,4−4 млрд долл. с учетом скамов и мелких эксплойтов.
При этом, характер атак радикально изменился: хакеры переключились с поиска уязвимостей в коде на эксплуатацию операционных слабостей — скомпрометированных ключей, подкупленных сотрудников и социальной инженерии. Далее эксперты называют самые крупные и резонансные инциденты в хронологическом порядке.
- UPCX — $70 млн (апрель 2025)
1 апреля 2025 года платежная Web3-платформа UPCX потеряла 18,4 млн токенов UPC (примерно 70 млн долл.) — больше, чем находилось в обращении на момент атаки (около 4,14 млн). Команда подтвердила инцидент. Как это произошло: атакующий получил доступ к привилегированному адресу проекта — вероятно, через кражу приватного ключа, провел вредоносный апгрейд ProxyAdmin-контракта, вызвал встроенную функцию withdrawByAdmin, опустошив три управленческих аккаунта.
В результатее UPCX приостановила депозиты и выводы, заверив, что персональные средства пользователей не пострадали, а цена UPC упала на 7%. Украденные токены по-прежнему лежат на одном Ethereum-адресе: хакер не предпринял попыток продажи, что объяснимо — ликвидность UPC крайне ограничена.
Инцидент подчеркнул риски привилегированного админ-доступа в смарт-контрактах. Хакер украл в 4,5 раза больше токенов, чем было в обращении — любая попытка продажи обрушит цену, создавая тупиковую ситуацию.
- Bitget / VOXEL — до $100 млн (апрель 2025)
20 апреля 2025 года на бирже Bitget произошел один из самых необычных инцидентов года: баг во внутреннем торговом боте превратил биржу в «банкомат, бесконтрольно выдающий наличные». Как это произошло: неисправность маркет-мейкерского бота привела к тому, что ордера на фьючерсы VOXEL/USDT автоматически исполнялись в узком диапазоне без нормального контрагента. Трейдеры обнаружили аномалию и начали молниеносно переключаться между лонг- и шорт-позициями, объем торгов VOXEL за сутки достиг более 12 млрд долл., превысив объем торгов BTC на той же бирже, отдельные пользователи превращали 100 долл. в шестизначные суммы за минуты.
Предположительно, до отката сделок было выведено 38,31 млн USDT. В Результате Bitget заморозила рынок VOXEL и заблокировала подозрительные аккаунты, провела откат всех нерегулярных сделок в течение 24 часов и объявила о судебных исках против 8 аккаунтов.
Этот инцидент обнажил риски закрытых маркет-мейкерских систем CEX, куда не допускаются сторонние провайдеры ликвидности. Откат сделок вызвал обвинения в двойных стандартах — CEO Bitget Грейси Чен незадолго до этого публично критиковала Hyperliquid за аналогичные действия. Но границы между «багом», «эксплойтом» и «справедливым арбитражем» остаются размытыми.
- Cetus Protocol — $223 млн (май 2025)
22 мая 2025 года крупнейшая DEX на Sui стала жертвой одного из самых масштабных DeFi-взломов года. Команда подтвердила кражу 223 млн долл., а Sui Foundation описала координированную реакцию валидаторов. Ошибка — в математической библиотеке, а именно в функции checked_shlw, отвечавшей за проверку переполнения при битовом сдвиге.
Схема атаки: Атакующий открыл позицию ликвидности с крошечным диапазоном тиков, внес 1 единицу токена — из-за бага система начислила огромный объем ликвидности, извлек ликвидность за несколько транзакций, выведя 223 млн долл.
Контракты немедленно приостановили. Экстренное голосование валидаторов: 90,9% одобрили возврат замороженных средств. Тем не менее, протокол прошел многочисленные аудиты — ни один не выявил проблему. Еще один камень в «огород» аналитических компаний.
- Coinbase — утечка данных более 69 тыс. клиентов (май 2025)
Не классический криптовзлом, а кража данных через подкуп аутсорсеров. Coinbase раскрыла инцидент в официальном блог-посте 15 мая 2025 года, а детали подтвердила в форме 8-K для SEC.
Согласно судебным документам, сотрудница TaskUs Ашита Мишра фотографировала до 200 записей в день, продавая по 200 долл. за скриншот — с сентября 2024 по январь 2025. 11 мая злоумышленники потребовали выкуп 20 млн долл. — Coinbase отказалась. Компания объявила встречную награду 20 млн долл. за информацию об организаторах.
- Nobitex — $90 млн (июнь 2025)
18 июня 2025 года крупнейшая криптобиржа Ирана подверглась атаке группировки Gonjeshke Darande (Predatory Sparrow), которую связывают с Израилем. Это первый масштабный случай «геополитического» криптовзлома, в котором целью было не обогащение, а нанесение экономического ущерба.
Ключевые факты: украденные приватные ключи плюс административные учетные данные, опустошены горячие кошельки на нескольких блокчейнах. Средства отправлены на vanity-адреса с надписями вроде «FuckIRGCTerrorists» — ключи от этих адресов не существуют, 90 млн долл. безвозвратно уничтожены.
На следующий день хакеры опубликовали полный исходный код и внутреннюю документацию Nobitex, поставив под угрозу все оставшиеся на бирже активы. В ночь атаки интернет-трафик в Иране упал на 98% — власти ввели почти полный блэкаут. Входящий объем транзакций биржи упал более чем на 70% год к году (TRM Labs). CEO Nobitex пообещал полную компенсацию из страхового фонда и резервов; биржа возобновила работу поэтапно через 4–5 дней.
Накануне, 17 июня, та же группировка атаковала иранский Bank Sepah, уничтожив его данные.
- CoinDCX — $44,2 млн (июль 2025)
19 июля 2025 года одна из крупнейших индийских бирж потеряла $44,2 млн из горячего кошелька. Как это произошло: атакующий скомпрометировал один из внутренних серверов биржи и похитил приватный ключ. За 5 минут средства были выведены через множество транзакций. Украденное переброшено на несколько Solana-адресов, затем переведено через мосты на Ethereum с помощью Tornado Cash.
Первым о взломе сообщил ZachXBT. CoinDCX подтвердила взлом и полностью покрыла потери из собственных средств. Полиция арестовала сотрудника, предположительно причастного к содействию взлому.
- GMX — $42 млн (июль 2025)
9 июля 2025 года протокол GMX потерял $42 млн из-за классической уязвимости повторного входа в V1-контрактах.
Схема атаки: уязвимость в функции executeDecreaseOrder — ETH-возврат отправлялся до обновления состояния. Вредоносный контракт перехватывал управление через receive(). Хакер открывал короткие позиции по BTC с 30× плечом, искусственно занижая глобальную среднюю цену шортов. Завышенная AUM привела к завышенной цене GLP, что позволило реализовать вывод 42 млн долл. через выкуп.
В итоге GMX предложила баунти-программу более 10% от суммы. Хакер вернул 40,5 млн долл., оставив себе около 5 млн. Токен GMX упал на 28% после инцидента, но восстановился после возврата средств.
- BtcTurk — $48 млн (август 2025)
Одна из старейших турецких бирж (основана в 2013) пострадала дважды за 14 месяцев. Ранее, в июне 2024, платформа потеряла 55 млн долл. Очередной инцидент связан с компрометацией приватных ключей горячих кошельков.
Cyvers Cyvers зафиксировалаподозрительные переводы на 48 млн долл. через 7 блокчейнов. BtcTurk приостановила депозиты/выводы, заверив что холодные кошельки не затронуты. После взлома 2024 года CEO ушел в отставку — но, судя по повторному инциденту, кардинальных изменений в безопасности ключей так и не произошло.
- SwissBorg — $41 млн (сентябрь 2025)
Швейцарская платформа управления криптоактивами потеряла 192 600 SOL ($41 млн долл.) из программы SOL Earn — но не из-за взлома собственной системы.
Как это произошло: атакующий скомпрометировал API стейкинг-партнера Kiln, управлявшего Solana-стейкингом для SwissBorg. 31 августа — в обычную транзакцию анстейкинга были встроены 8 скрытых инструкций авторизации, передававших контроль над стейкинг-аккаунтами атакующему. 8 сентября — хакер активировал «скелетный ключ» и вывел все средства.
В итоге CEO Сайрус Фазель пообещал полное возмещение потерь из казны компании. Некоторые транзакции заблокированы на биржах.
- Shibarium Bridge — $4,1 млн (сентябрь 2025)
Несмотря на скромную сумму, этот взлом выделяется нестандартным вектором атаки: Flash-loan на 4,6 млн BONE перешел в делегирование валидатору, что привело к захвату большинства валидаторской мощности. Подписание поддельного состояния сети позволило реализовать вывод 17 токенов на 4,1 млн долл. Заемные BONE остались заблокированы из-за задержки анстейкинга — механизм, обычно раздражающий пользователей, спас ситуацию. Разработчик Shibarium Каал Дарья назвал атаку «изощренной». K9 Finance DAO потерял более 700 000 и выставил Shiba Inu публичный ультиматум.
- Balancer — $128 млн (ноябрь 2025)
3 ноября 2025 года за 30 минут атакующий вывел 128 млн долл. из пулов Balancer V2 на шести блокчейнах.
Механизм: уязвимость в _upscaleArray: при балансах около 8–9 wei округление давало погрешность до 10% на операцию. Более 65 микро-обменов в одной транзакции batchSwap привели к накоплению погрешностей. Искусственное занижение цены BPT позволило реализовать арбитражное извлечение прибыли. Интересно, что вредоносный контракт содержал console.log — это типичный признак, когда код писали с помощью ИИ.
Последствия: BAL обвалился на 91% год к году; TVL просел на 18%. Berachain провела экстренный хардфорк для заморозки украденных средств; Polygon-валидаторы цензурировали транзакции хакера. 24 марта 2026 года — Balancer Labs объявила о закрытии как юрлица. Протокол переходит в DAO.
- Upbit — 30 млн (ноябрь 2025)
27 ноября 2025 года крупнейшая южнокорейская биржа потеряла 44,5 млрд вон из Solana-кошелька — ровно через 6 лет после предыдущего взлома на 50 млн долл. (27 ноября 2019). Первоначально потери оценивались в 54 млрд вон (36 млн долл.), позже скорректированы до 44,5 млрд вон (30 млн долл.).
Ключевые факты: среди украденного — SOL, USDC, BONK, JUP, RAY, RENDER, ORCA, PYTH и другие Solana-токены.
Атаку приписывают Lazarus Group — совпадение дат расценивается как «послание». Причина: уязвимость в алгоритме цифровой подписи Upbit — утечка структуры nonce из Solana-транзакций позволяла вычислить приватный ключ.
В итоге Upbit полностью возместила 38,6 млрд вон клиентских средств из резервов — корпоративные потери биржи — 5,9 млрд вон (4 млн долл). 2,3 млрд вон удалось заморозить через блокчейн-трекинг.
Общий анализ: ключевые тенденции периода
По мнению Дмитрия Мачихина, основателя и гендиректора компании BitOK, приведенный анализ инцидентов показывает фундаментальное смещение вектора атак в криптоиндустрии. Эксперт отметил, что, хотя ончейн-безопасность улучшилась, общие потери растут, а многие инциденты произошли из-за операционных провалов уровня Web2, а не уязвимостей в коде.
По его словам, главные угрозы сегодня — компрометация приватных ключей (UPCX, CoinDCX, BtcTurk, Nobitex), подкуп инсайдеров, социальная инженерия с ИИ-клонированием голоса и фишинг.
Эксперт подчеркивает индустриализацию краж со стороны Lazarus Group: за 2025 год выведено свыше 2 млрд долл. (в 3 раза больше, чем в 2024-м), с 2017 года — более 6 млрд долл. Тактика сместилась от мостов к мега-атакам на CEX, цели все чаще — состоятельные частные лица.
При этом именно централизованные биржи понесли самые тяжелые потери — более 1,8 млрд долл. за год. В DeFi же доля эксплойтов снизилась, но они стали сложнее.
Индустрия учится реагировать. По данным BitOK, к февралю 2026 года около 30% украденных средств удалось заморозить или вернуть. Г-н Мачихин пришел к выводу о том, что эпоха простых взломов кода заканчивается. Безопасность теперь — это комплексная защита людей, процессов и ключей. Тот, кто первым адаптируется к этому сдвигу, получит решающее преимущество.
Читайте больше на нашем Telegram-канале!
