חדשות

הונאות ופריצות קריפטו עברו את סך ההפסדים של 4 מיליארד דולר בשנת 2025

מאת CryptoGambling.com 4 דקות קריאה
הונאות ופריצות קריפטו עברו את סך ההפסדים של 4 מיליארד דולר בשנת 2025

נוף הנכסים הדיגיטליים התמודד עם השנה המאתגרת ביותר עד כה, כאשר סך ההפסדים מניצולים (exploits), פריצות ותרמיות חצו את רף ה-4 מיליארד דולר בשנת 2025. נתון מזעזע זה, המתועד בדוח סוף השנה של CryptoPotato, מדגיש רמת תחכום הולכת וגוברת מצד גורמים זדוניים, המכוונים יותר ויותר הן לבעלי מוסדיים בעלי שווי נכסים גבוה והן למשתתפי קמעונאות ברחבי הפיננסים המבוזרים (DeFi) ומגזרי ההימורים.

למרות ההתקדמות בפורנזיקה של בלוקצ'יין ובדיקות אבטחה חזקות יותר לחוזים חכמים, הנפח העצום של נכסים גנובים מרמז שתוקפים מטים את האסטרטגיות שלהם. במקום להתמקד אך ורק בפגיעויות קוד מורכבות, רבים חזרו ל"אלמנט האנושי" של האבטחה, תוך שימוש במניפולציה פסיכולוגית כדי לעקוף אפילו את ארנקי החומרה המאובטחים ביותר והתקנות מרובות חתימות (multi-signature).

עליית ההנדסה החברתית והפסדים אישיים מסיביים

חלק משמעותי מההפסדים בשנת 2025 ניתן לייחס לעלייה בהתקפות הנדסה חברתית בעלות ערך גבוה. אחד האירועים ההרסניים ביותר כלל משתמש קריפטו יחיד שאיבד 282 מיליון דולר במבצע מתוכנן בקפידה. על פי דיווחים מ-Bitcoinist, התקפה זו לא נשענה על באג ברמת הפרוטוקול או ניצול גשר (bridge exploit). במקום זאת, הקורבן עבר מניפולציה באמצעות טקטיקות הנדסה חברתית מתוחכמות שהובילו בסופו של דבר לניקוז בלתי מורשה של החזקותיו העיקריות.

תקרית זו מדגישה מגמה משתנה בעולם הפשיעה הקיברנטית. בעוד ש-"Rug pulls" (משיכות שטיח) והתקפות הלוואות בזק (flash loan attacks) נותרו נפוצות, היעדים בעלי הערך הגבוה ביותר נרדפים כעת באמצעות קמפיינים מותאמים אישית. תוקפים אלו מבלים לעיתים קרובות שבועות או חודשים באיסוף נתונים על המטרות שלהם לפני יצירת קשר, מה שהופך את ניסיון ה"פישינג" הסופי לכמעט בלתי ניתן להבחנה מתקשורת לגיטימית.

הונאות התחזות ו"סגנון החיים" של פושעי סייבר

The audacity of these scammers was further highlighted in a case reported by The Daily Hodl, involving an attacker who posed as Coinbase support. By masquerading as a representative of the major exchange, the scammer managed to steal 2 מיליון דולר from unsuspecting crypto traders. This specific case gained widespread attention after on-chain investigator ZachXBT tracked the movement of the stolen funds.

היוהרה של נוכלים אלו הודגשה עוד יותר במקרה שדווח על ידי The Daily Hodl, בו היה מעורב תוקף שהתחזה לתמיכת Coinbase. על ידי התחזות לנציג של הבורסה הגדולה, הנוכל הצליח לגנוב 2 מיליון דולר מטריידרים קריפטו תמימים. מקרה ספציפי זה זכה לתשומת לב נרחבת לאחר שחוקר ה-on-chain ZachXBT עקב אחר תנועת הכספים הגנובים.

החקירה חשפה מגמה מטרידה לגבי האופן שבו קריפטו גנוב עובר מימוש ושימוש. ממצאיו של ZachXBT הראו שהמבצע העביר במהירות את הרווחים הבלתי חוקיים למימון אורח חיים ראוותני, תוך שהוא מוציא את הכסף על שירות בקבוקים יוקרתי (bottle service) במועדונים אקסקלוסיביים והימורי סכומים גבוהים (high-stakes gambling). עבור קהילת ההימורים בקריפטו, זה משמש כחרב פיפיות: בעוד שהתעשייה מספקת שימוש פופולרי לנכסים דיגיטליים, היא מנוצלת גם על ידי גורמים זדוניים כשיטה ראשית ל"ערבוב" (mixing) או הוצאה של הון גנוב.

פגיעויות במערכות האקולוגיות של DeFi וסחר

סך ה-4 מיליארד דולר לשנת 2025 אינו רק תוצאה של הונאות אישיות; הוא משקף גם את המאבק המתמשך באבטחת פרוטוקולים מבוזרים. בעוד שהדוח מצביע על כך שבורסות מרכזיות שיפרו משמעותית את האבטחה הפנימית שלהן, מגזר ה-DeFi נותר שטח ציד עיקרי.

  • פגיעויות גשרים (Bridge Vulnerabilities): גשרי רשתות צולבות (cross-chain bridges) ממשיכים להיות נקודת כשל ראשית, המהווים מאות מיליוני דולרים בהפסדים כאשר האקרים מוצאים דרכים לנצל את מנגנוני הנעילה והטבעה (locking and minting) של בלוקצ'יינים מקושרים.
  • ערכות פישינג (Phishing Kits): הזמינות של ערכות "מנקז-כשירות" (drainer-as-a-service) ב-dark web הורידה את מחסום הכניסה לנוכלים מתחילים, ומאפשרת להם לפרוס אתרים זדוניים המרוקנים ארנקים בחתימה אחת בלבד.
  • ניצול אישורים (Approval Exploits): טריידרים רבים נפלו קורבן להונאות "אישור אינסופי" (infinite approval), שבהן עסקה שנראית תמימה מעניקה לתוקף את הזכות להעביר כל סכום של אסימון מסוים מהארנק של המשתמש במועד מאוחר יותר.

תובנות יישומיות עבור טריידרים וחובבי הימורים בקריפטו

ככל שהתעשייה עוברת לשנת 2026, סכום ההפסד של 4 מיליארד דולר משמש כתזכורת מצמררת לסיכונים הטבועים בשמירה עצמית על נכסים. עבור אלה הפעילים בהימורים וסחר בקריפטו, מספר אמצעי אבטחה מרכזיים הפכו ללא ניתנים למשא ומתן:

  1. אמת את כל התקשורת התמיכה: לעולם אל תמסור מידע רגיש או תחתום על עסקאות על בסיס שיחת טלפון או הודעה ישירה. בורסות לגיטימיות כמו Coinbase לעולם לא יבקשו את המפתחות הפרטיים שלך או "עסקת בדיקה".
  2. השתמש בארנקי חומרה לאחסון לטווח ארוך: שמור "כספים חמים" (hot funds) רק בארנקים מבוססי דפדפן לצורך מסחר פעיל או סשנים של הימורים. הרוב המכריע של התיק שלך צריך להישאר בסביבת אחסון קר (cold storage).
  3. בדוק את אישורי האסימונים שלך: השתמש באופן קבוע בכלים כמו Revoke.cash כדי לראות לאילו יישומים מבוזרים (dApps) יש הרשאה לבזבז את האסימונים שלך.
  4. הטמע אימות רב-שלבי (MFA): הימנע מ-MFA מבוסס SMS, הרגיש ל-SIM-swapping. השתמש במפתחות אבטחה פיזיים (hardware security keys) או באפליקציות אימות עבור כל חשבונות הבורסה.

נתוני 2025 מרמזים שבעוד שהטכנולוגיה מאחורי הבלוקצ'יין הופכת מאובטחת יותר, השיטות המשמשות להפרדת משתמשים מהנכסים שלהם הופכות יותר ויותר ממוקדות אנושית. כל עוד קיים הפוטנציאל ל"שלל" של מיליוני דולרים, הלחץ על אבטחת המערכת האקולוגית של הקריפטו ימשיך להתגבר.