Skaitmeninių aktyvų rinka susidūrė su sunkiausiais metais, nes bendri nuostoliai dėl išnaudojimų, įsilaužimų ir sukčiavimo schemų 2025 m. viršijo 4 mlrd. JAV dolerių ribą. Ši stulbinanti suma, užfiksuota „CryptoPotato“ metinėje ataskaitoje, pabrėžia augantį piktavalių veikėjų rafinuotumą, kurie vis dažniau taikosi tiek į turtingus institucinius turėtojus, tiek į mažmeninės prekybos dalyvius decentralizuotų finansų (DeFi) ir azartinių lošimų sektoriuose.
Nepaisant pažangos tinklo analizės (blockchain forensics) srityje ir patikimesnių išmaniųjų sutarčių saugumo auditų, didžiulė pavogtų aktyvų apimtis rodo, kad atakuojantys asmenys keičia savo strategijas. Užuot vien tik sutelkę dėmesį į sudėtingas kodo pažeidžiamumo vietas, daugelis grįžo prie „žmogaus faktoriaus“ saugumo, pasitelkdami psichologinę manipuliaciją, kad apeitų net ir pačias saugiausias aparatinės įrangos pinigines (hardware wallets) ir daugialypio parašo (multi-signature) sąrankas.
Socialinės inžinerijos ir didžiulių individualių nuostolių augimas
Didelė dalis 2025 m. nuostolių gali būti priskiriama staigiam didelės vertės socialinės inžinerijos atakų antplūdžiui. Vienas iš pražūtingiausių incidentų susijęs su vienu kripto naudotoju, kuris kruopščiai suplanuotoje operacijoje prarado 282 mln. JAV dolerių. „Bitcoinist“ pranešimais, ši ataka rėmėsi ne protokolo lygio klaida ar tilto išnaudojimu (bridge exploit). Vietoj to, auka buvo manipuliuojama pasitelkus sudėtingas socialinės inžinerijos taktikas, kurios galiausiai lėmė neteisėtą pagrindinių jos lėšų išsiurbimą.
Šis incidentas pabrėžia besikeičiančią tendenciją kibernetinio nusikalstamumo pasaulyje. Nors „rug pulls“ (staigus išsiurbimas) ir momentinių paskolų atakos (flash loan attacks) tebėra paplitusios, didžiausios vertės taikiniai dabar siekiami per individualizuotas kampanijas. Šie atakuojantys asmenys dažnai praleidžia savaites ar mėnesius rinkdami duomenis apie savo taikinius prieš inicijuodami kontaktą, todėl galutinė „žvejybos“ (phishing) pastanga tampa beveik neskiriama nuo teisėto bendravimo.
Tapatybės grobimo sukčiavimas ir kibernetinių nusikaltėlių „gyvenimo būdas“
Šių sukčių įžūlumas dar labiau išryškėjo atveju, apie kurį pranešė „The Daily Hodl“, susijusiu su atakuojančiu asmeniu, apsimetusiu Coinbase pagalbos tarnybos atstovu. Apsimetinėdamas pagrindinės biržos atstovu, sukčius sugebėjo pavogti 2 mln. JAV dolerių iš nieko neįtariančių kripto prekybininkų. Šis konkretus atvejis sulaukė didelio dėmesio po to, kai on-chain tyrėjas ZachXBT atseklė pavogtų lėšų judėjimą.
Tyrimas atskleidė nerimą keliančią tendenciją, susijusią su tuo, kaip pavogta kripto valiuta yra likviduojama ir naudojama. ZachXBT nustatė, kad nusikaltėlis greitai pervedė neteisėtai gautas lėšas, kad finansuotų prabangų gyvenimo būdą, pinigus leisdamas prabangiai butelių aptarnavimui (bottle service) išskirtiniuose klubuose ir didelės rizikos azartiniams žaidimams. Kripto azartinių žaidimų bendruomenei tai yra dvigubas pjūvis: nors pramonė suteikia populiarų skaitmeninių aktyvų naudojimo būdą, piktavaliai ja taip pat naudojasi kaip pagrindine pavogto kapitalo „maišymo“ ar išleidimo priemone.
DeFi ir prekybos ekosistemų pažeidžiamumai
4 mlrd. JAV dolerių bendra suma 2025 m. yra ne tik individualių sukčiavimų rezultatas; ji taip pat atspindi nuolatinę kovą dėl decentralizuotų protokolų saugumo užtikrinimo. Nors ataskaita rodo, kad centralizuotos biržos žymiai pagerino savo vidinį saugumą, DeFi sektorius išlieka pagrindinė medžioklės vieta.
- Tiltų pažeidžiamumai: Kryžminiai tiltai tebėra pagrindinis nesėkmės taškas, dėl kurio patiriami šimtai milijonų nuostolių, nes įsilaužėliai randa būdų, kaip išnaudoti tarpusavyje sujungtų blokų grandinių fiksavimo ir kalimo mechanizmus (locking and minting).
- Phishing rinkiniai: Tamsiajame žiniatinklyje (dark web) prieinami „išsiurbėjas kaip paslauga“ (drainer-as-a-service) rinkiniai sumažino pradedančiųjų sukčių įėjimo barjerą, leisdami jiems paleisti kenkėjiškas svetaines, kurios vienu parašu išsiurbia lėšas iš piniginių.
- Patvirtinimo (Approval) pažeidžiamumai: Daugelis prekybininkų tapo „neriboto patvirtinimo“ (infinite approval) schemų aukomis, kai atrodo nekaltas sandoris suteikia atakuojančiam asmeniui teisę vėliau išimti bet kokį kiekį konkretaus tokeno iš vartotojo piniginės.
Praktinės įžvalgos kripto prekybininkams ir lošėjams
Industrijai pereinant į 2026 metus, 4 mlrd. JAV dolerių nuostolių skaičius tarnauja kaip blaivinantis priminimas apie pavojus, kurie yra neatsiejami nuo savarankiško aktyvų saugojimo (self-custody). Tiems, kurie aktyviai užsiima kripto azartiniais žaidimais ir prekyba, kelių pagrindinių saugumo priemonių tapo privalomos:
- Patvirtinkite visą pagalbos tarnybos komunikaciją: Niekada neteikite jautrios informacijos ir nepasirašinėkite sandorių pagal telefono skambutį ar tiesioginį pranešimą. Legitimios biržos, tokios kaip Coinbase, niekada neprašys jūsų privačių raktų ar „bandomojo sandorio“.
- Naudokite aparatinės įrangos pinigines ilgalaikiam saugojimui: Aktyvios prekybos ar lošimų sesijoms „karštas“ lėšas laikykite tik naršyklės pagrindu veikiančiose piniginėse. Didžioji jūsų portfelio dalis turėtų likti šaltojo saugojimo (cold storage) aplinkoje.
- Auditavimas jūsų tokeno patvirtinimai: Reguliariai naudokite tokius įrankius kaip Revoke.cash, kad pamatytumėte, kurioms decentralizuotoms programoms (dApps) suteikta teisė naudoti jūsų tokenus.
- Įgyvendinkite daugiaveiksnį autentifikavimą (MFA): Venkite SMS pagrįsto MFA, kuris yra pažeidžiamas SIM-swapping. Visoms biržos paskyroms naudokite aparatinės įrangos saugumo raktus arba autentifikavimo programas.
2025 m. duomenys rodo, kad nors blokų grandinės technologija tampa saugesnė, metodai, naudojami vartotojams atskirti nuo jų aktyvų, vis labiau orientuojasi į žmogų. Tol, kol egzistuos milijonų dolerių vertės „laimikių“ galimybė, spaudimas dėl kripto ekosistemos saugumo tik didės.