Крипторынок выдохнул: убытки от взломов в марте упали в 52 раза
NewsMakerОднако снижение ущерба не означает снижение числа атак.
Потери крипторынка от взломов и мошенничества в марте резко сократились и составили $28,8 млн, что стало заметным снижением после февральского скачка до $1,5 млрд. Тогда резкий рост ущерба был вызван крупной атакой на биржу Bybit , однако в марте ситуация стабилизировалась благодаря частичному возврату похищенных средств и меньшему количеству крупных инцидентов.
Наибольший ущерб в марте был связан с уязвимостями в смарт-контрактах и программном коде. По данным компании CertiK, более $14 млн были украдены именно с помощью ошибок в логике работы децентрализованных протоколов. Ещё $8 млн злоумышленники получили через компрометацию криптокошельков, получив доступ к личным ключам или сид-фразам владельцев.
Крупнейшей атакой месяца стал взлом децентрализованного кредитного протокола Abracadabra.money 25 марта, приведший к потере $13 млн. Причиной послужил сбой в системе ликвидации долгов, из-за которого злоумышленник смог несколько раз занять средства и ликвидировать сам себя, не возвращая долги. Это стало возможным из-за того, что в смарт-контракте неправильно обрабатывались записи о залоге, позволившие повторно брать кредиты без покрытия.
Команда протокола предложила хакеру удвоенное вознаграждение в 20% от украденной суммы за добровольный возврат средств, однако по состоянию на начало апреля не сообщалось о каких-либо подвижках в этом направлении.
Второе по величине происшествие произошло с протоколом Zoth , работающим в сегменте Restaking. После компрометации кошелька разработчика злоумышленник вывел более $8,4 млн. Подобные инциденты поднимают вопросы о безопасности приватных ключей и необходимости многоуровневой защиты на стороне разработчиков.
Несмотря на общий уровень потерь в $33 млн, часть средств удалось вернуть. Так, агрегатор децентрализованных бирж 1inch смог договориться с атакующим, похитившим $5 млн 5 марта, о возврате большей части суммы в обмен на вознаграждение за найденную уязвимость .
Однако в расчётах CertiK не учитываются инциденты, подтверждение которых не получено на блокчейне. Один из таких случаев — возможная потеря 400 BTC (более $34 млн) неизвестным пользователем Coinbase, о которой сообщил криптоаналитик ZachXBT. Он также указал на рост числа фишинговых атак в марте, ущерб от которых может превышать $46 млн. Эти схемы часто включают подмену адреса отправителя и рассылку сообщений от имени популярных бирж с предложением перейти на поддельные сайты или ввести сид-фразы в специально подготовленные кошельки.
Отдельное внимание в марте привлекла мошенническая рассылка в Австралии, где полиция оповестила 130 человек о поддельных SMS, маскирующихся под сообщения от криптобирж. А 14 марта пользователи X жаловались на аналогичные попытки обмана с предложением создать новый кошелёк с уже сгенерированными фразами восстановления, полностью контролируемыми мошенниками.
Несмотря на уменьшение прямых потерь в марте, эксперты подчёркивают, что уровень угроз остаётся высоким, а вектор атак продолжает смещаться в сторону социальной инженерии и фишинга.
Потери крипторынка от взломов и мошенничества в марте резко сократились и составили $28,8 млн, что стало заметным снижением после февральского скачка до $1,5 млрд. Тогда резкий рост ущерба был вызван крупной атакой на биржу Bybit , однако в марте ситуация стабилизировалась благодаря частичному возврату похищенных средств и меньшему количеству крупных инцидентов.
Наибольший ущерб в марте был связан с уязвимостями в смарт-контрактах и программном коде. По данным компании CertiK, более $14 млн были украдены именно с помощью ошибок в логике работы децентрализованных протоколов. Ещё $8 млн злоумышленники получили через компрометацию криптокошельков, получив доступ к личным ключам или сид-фразам владельцев.
Крупнейшей атакой месяца стал взлом децентрализованного кредитного протокола Abracadabra.money 25 марта, приведший к потере $13 млн. Причиной послужил сбой в системе ликвидации долгов, из-за которого злоумышленник смог несколько раз занять средства и ликвидировать сам себя, не возвращая долги. Это стало возможным из-за того, что в смарт-контракте неправильно обрабатывались записи о залоге, позволившие повторно брать кредиты без покрытия.
Команда протокола предложила хакеру удвоенное вознаграждение в 20% от украденной суммы за добровольный возврат средств, однако по состоянию на начало апреля не сообщалось о каких-либо подвижках в этом направлении.
Второе по величине происшествие произошло с протоколом Zoth , работающим в сегменте Restaking. После компрометации кошелька разработчика злоумышленник вывел более $8,4 млн. Подобные инциденты поднимают вопросы о безопасности приватных ключей и необходимости многоуровневой защиты на стороне разработчиков.
Несмотря на общий уровень потерь в $33 млн, часть средств удалось вернуть. Так, агрегатор децентрализованных бирж 1inch смог договориться с атакующим, похитившим $5 млн 5 марта, о возврате большей части суммы в обмен на вознаграждение за найденную уязвимость .
Однако в расчётах CertiK не учитываются инциденты, подтверждение которых не получено на блокчейне. Один из таких случаев — возможная потеря 400 BTC (более $34 млн) неизвестным пользователем Coinbase, о которой сообщил криптоаналитик ZachXBT. Он также указал на рост числа фишинговых атак в марте, ущерб от которых может превышать $46 млн. Эти схемы часто включают подмену адреса отправителя и рассылку сообщений от имени популярных бирж с предложением перейти на поддельные сайты или ввести сид-фразы в специально подготовленные кошельки.
Отдельное внимание в марте привлекла мошенническая рассылка в Австралии, где полиция оповестила 130 человек о поддельных SMS, маскирующихся под сообщения от криптобирж. А 14 марта пользователи X жаловались на аналогичные попытки обмана с предложением создать новый кошелёк с уже сгенерированными фразами восстановления, полностью контролируемыми мошенниками.
Несмотря на уменьшение прямых потерь в марте, эксперты подчёркивают, что уровень угроз остаётся высоким, а вектор атак продолжает смещаться в сторону социальной инженерии и фишинга.