CertiK از ضرر ۳.۳۵ میلیارد دلاری در سراسر ۶۳۰ خبر داد Web3 هکها در سال ۲۰۲۵، با میانگین افزایش ۶۶ درصدی ضرر
به طور خلاصه
در سال ۲۰۲۵، اسکاینتِ شرکت CertiK Web3 گزارش امنیتی با سرعت بیشتری برجسته شد Web3 فعالیت، افزایش شفافیت نظارتی، افزایش خسارات ناشی از سوءاستفادههای عمده و فیشینگ، و نقش رو به رشد هوش مصنوعی در حملات و دفاعها.
شرکت متخصص در امنیت بلاکچین CertiK، نسخه ۲۰۲۵ اسکاینت خود را منتشر کرد Web3 گزارش امنیتی، که مروری تحلیلی بر تحولات امنیتی، نقاط ضعف و الگوهای تهدید در سراسر ... ارائه میدهد. Web3 این گزارش، بررسی دقیقی از سوءاستفادهها و آسیبپذیریهای مؤثر بر محیطهای بلاکچین و قراردادهای هوشمند ارائه میدهد که هدف آن پشتیبانی از ارزیابی ریسک آگاهانه برای شرکتکنندگان در این اکوسیستم است.
گزارش حاکی از آن است Web3 فعالیت در سال ۲۰۲۵ به دلیل بهبود شرایط اقتصادی، اعتماد بیشتر به بازار و فضای سیاسی حمایتیتر برای داراییهای دیجیتال در ایالات متحده، شتاب گرفت. دولت ایالات متحده رویکردی استراتژیک نسبت به نوآوری در حوزه کریپتو نشان داد و مشارکت مجدد توسعهدهندگان و سرمایهگذاران را تشویق کرد. در عین حال، برنامههای غیرمتمرکز به حوزههایی مانند پرداختها، بازیها، هویت دیجیتال و داراییهای توکنیزه شده گسترش یافتند و نقش این فناوری را در استفاده روزمره تقویت کردند. این گسترش با افزایش فعالیتهای مخرب همزمان شد، زیرا بازیگران تهدید، هم حملات فنی و هم روشهای دستکاری اجتماعی را توسعه دادند.
مقایسه بین سالهای ۲۰۲۴ و ۲۰۲۵ نشان میدهد که کل خسارات گزارششده از تقریباً ۲.۴۵ میلیارد دلار به ۳.۳۵ میلیارد دلار افزایش یافته است که نشاندهنده رشدی حدود ۳۷ درصد است. با این حال، یک حادثه بزرگ مربوط به Bybit تقریباً ۱.۴۵ میلیارد دلار از این خسارات را به خود اختصاص داده است و صرف نظر از آن رویداد، منجر به کاهش کلی وجوه سرقت شده میشد. این تغییر نشان میدهد که در حالی که حملات جزئی همچنان مکرر هستند، مهاجمان منابع بیشتری را بر روی عملیاتهای کمتر اما به طور قابل توجهی بزرگتر متمرکز میکنند که نشاندهنده حضور رو به رشد دشمنان بسیار سازمانیافته و دارای بودجه کافی است.
وقتی رویداد Bybit را مستثنی کرده و به عنوان یک حادثه زنجیره تأمین طبقهبندی کنیم، فیشینگ به عنوان مخربترین نوع حمله ظاهر میشود، با بیش از ۷۲۲ میلیون دلار خسارت در ۲۴۸ مورد، و پس از آن سوءاستفاده از آسیبپذیریهای نرمافزاری قرار دارد که منجر به تقریباً ۵۵۵ میلیون دلار در ۲۴۰ حادثه شده است. نکته قابل توجه این است که تقریباً نیمی از وجوه از دست رفته از طریق آسیبپذیریهای کد، بعداً مسدود یا بازیابی شدند، از جمله در مورد Cetus که در گزارش مورد بحث قرار گرفته است.
هوش مصنوعی به یک عامل اصلی تبدیل شد Web3 امنیت در طول سال ۲۰۲۵، بر استراتژیهای دفاعی و تهاجمی تأثیر گذاشت. توسعهدهندگان به طور فزایندهای از ابزارهای هوش مصنوعی برای بهبود آزمایش، شناسایی نقاط ضعف و سادهسازی فرآیندهای حسابرسی استفاده کردند. در همین حال، مهاجمان از هوش مصنوعی برای ایجاد پلتفرمهای فیشینگ بسیار متقاعدکننده، راهاندازی کلاهبرداریهای چندزبانه خودکار، انجام تجزیه و تحلیل پیشرفته هدف با استفاده از دادههای درون زنجیرهای و اجتماعی، انجام کمپینهای جعل هویت واقعگرایانه از جمله استفاده از دیپفیک و بازتولید سریع سوءاستفادههای موفق در مقیاس بزرگ استفاده کردند.
پیشرفت نظارتی جهانی و چالشهای امنیتی نوظهور
در طول سال ۲۰۲۵، شرایط نظارتی برای داراییهای دیجیتال به طور فزایندهای افزایش یافت. defiدر سراسر حوزههای قضایی اصلی مورد نیاز است. در ایالات متحده، معرفی قانون GENIUS استانداردهای اولیهای را برای شفافیت در داراییهای دیجیتال و نظارت بر استیبل کوینها تعیین کرد که منعکس کننده یک وضعیت نظارتی مشارکتیتر است. راهنماییهای بیشتر در مورد مالیات و نگهداری داراییها، ثبات و قابلیت پیشبینی را برای توسعهدهندگان و شرکتکنندگان نهادی بیشتر بهبود بخشید.
در سطح بینالمللی، تحولات سیاسی به موازات هم پیش رفتند. اتحادیه اروپا به پیشرفت خود در جهت اجرای کامل چارچوب MiCA ادامه داد و الزامات مربوط به افشا، انتشار دارایی و حفاظت از مصرفکننده را افزایش داد. مراکز مالی مانند سنگاپور و هنگ کنگ، محیطهای نظارتی خود را گسترش دادند تا از آزمایش اوراق بهادار توکنیزه شده و ابتکارات تسویه فرامرزی پشتیبانی کنند. در آمریکای لاتین، برزیل و کلمبیا ساختارهای نظارتی واضحتری را برای توکنیزه کردن کالاها، به ویژه در بخشهای کشاورزی و معدنی، معرفی کردند و پاسخگویی برای نمایشهای درون زنجیرهای داراییهای فیزیکی را تقویت کردند. در مجموع، این تغییرات، یک محیط حاکمیتی هماهنگتر و ساختاریافتهتر را تشویق کرد و نحوه برخورد پروژهها با الزامات، طراحی سیستم و شیوههای امنیتی را شکل داد.
با نگاهی به آینده تا سال ۲۰۲۶، الگوهای نوظهور نشان میدهند که بازیگران مخرب به طور فزایندهای به جعل هویت مبتنی بر هوش مصنوعی و کمپینهای مهندسی اجتماعی در مقیاس بزرگ متکی خواهند بود، در حالی که انتظار میرود حملات به زنجیرههای تأمین و زیرساختهای توسعه پیچیدهتر شوند. به موازات آن، بهبود بلوغ نظارتی، گسترش قابلیتهای نظارت بلادرنگ و استقرار گستردهتر فناوریهای دفاعی پشتیبانیشده با هوش مصنوعی، احتمالاً دستههای خاصی از خطرات قابل اجتناب را کاهش میدهد. محیط به سرعت در حال تغییر، اهمیت گنجاندن ملاحظات امنیتی در تمام مراحل توسعه و عملیات را برجسته میکند.
CertiK به عنوان یک ارائه دهنده اصلی فعالیت میکند. Web3 خدمات امنیتی، با تمرکز بر تقویت اکوسیستم گستردهتر بلاکچین از طریق تأیید رسمی پیشرفته و نظارت مداوم بر سیستمهای بلاکچین و قراردادهای هوشمند. این سازمان فناوریهای مبتنی بر تحقیق را در برنامههای سازمانی به کار میگیرد و از مقیاسپذیری ایمن و قابل اعتماد سیستم پشتیبانی میکند. تاریخچه عملیاتی آن شامل تعامل با هزاران مشتری سازمانی، حفاظت از داراییهای دیجیتال با ارزش صدها میلیارد دلار و شناسایی حجم زیادی از آسیبپذیریهای نرمافزاری است. نمونه کارهای آن شامل همکاری با پروژههای پیشرو بلاکچین است و از شرکتهای سرمایهگذاری برجسته حمایت دریافت کرده و به ارزش چند میلیارد دلاری دست یافته است.
فیشینگ رایجترین روش حمله در سال ۲۰۲۵ بود
طبق این مطالعه، در طول سال ۲۰۲۵، فیشینگ با ۲۴۸ مورد ثبتشده، مسئول بیشترین تعداد حوادث امنیتی بوده است که از تعداد موارد نقض زنجیره تأمین و نقص نرمافزاری فراتر رفته است. اگرچه فیشینگ در کل از نظر مالی بیشترین خسارت را به بار نیاورد، اما همچنان منجر به ضرر تقریباً ۷۲۳ میلیون دلاری شده است. این الگو نشان دهنده روند مداوم در ... Web3 امنیتی که در آن عاملان تهدید، روشهای ارزان و مقیاسپذیری را ترجیح میدهند که از رفتار کاربر سوءاستفاده میکنند، نه نقاط ضعف فنی پیچیده.
احتمالاً آمار گزارششدهی فیشینگ کمتر از واقعیت است، زیرا بسیاری از رویدادها فاش نمیشوند، بهویژه زمانی که ضررهای فردی کوچک باشند، بین قربانیان متعدد توزیع شده باشند، یا با کلاهبرداریهایی مرتبط باشند که معیارهای متعارف را برآورده نمیکنند. defiنمونههایی از هک. مجموعه دادههای مورد استفاده برای این تحلیل، طرحهای کلاهبرداری گسترده مختلف، از جمله کلاهبرداریهای اعتماد بلندمدت، سرقت مبتنی بر اجبار و دستکاری اجتماعی خارج از زنجیره را شامل نمیشود، که نشان میدهد ضررهای واقعی مرتبط با فیشینگ به طور قابل توجهی بیشتر است. با بهبود شفافیت و بلوغ چارچوبهای افشا، انتظار میرود گزارشهای آینده تصویر کاملتری از آسیبهای مرتبط با فیشینگ ارائه دهند.
در مقایسه با حملات متمرکز بر زیرساخت، فیشینگ به سرمایهگذاری فنی کمی نیاز دارد و مانع ورود به آن بسیار کم است. روشهای حمله اثباتشده را میتوان به سرعت تکثیر، اصلاح و برای دسترسی به جمعیتهای بزرگ در بازههای زمانی کوتاه به کار گرفت. در سال ۲۰۲۵، استفاده از هوش مصنوعی به طور قابل توجهی این عملیات را تسریع کرد. مهاجمان به طور فزایندهای به سیستمهای هوش مصنوعی برای تولید برنامههای کاربردی، کیف پولها و پلتفرمهای پشتیبانی جعلی بسیار واقعگرایانه، ساخت پیامهای سفارشی با استفاده از دادههای جمعآوریشده بلاکچین و اجتماعی، انجام کمپینهای چندزبانه در مقیاس بزرگ و گسترش تلاشهای مهندسی اجتماعی با سرعت بیسابقهای متکی بودند. انتظار میرود این تحولات همچنان به افزایش حجم و اثربخشی فعالیتهای فیشینگ ادامه دهند و در عین حال قابلیت اطمینان علائم هشدار دهنده سنتی مانند کیفیت پایین زبان یا پیامهای عمومی را کاهش دهند.
چندین حادثه بزرگ این روندها را نشان داد. در آوریل ۲۰۲۵، یک دارنده بزرگ بیت کوین از طریق دستکاری اجتماعی فریب خورد و منجر به از دست رفتن تقریباً ۳۳۰ میلیون دلار شد که بخشی از وجوه سرقت شده بعداً مسدود و چندین مظنون شناسایی شدند. در ماه مه، پروتکل Cetus، یک صرافی غیرمتمرکز پیشرو در شبکه Sui، نقض بزرگی را در ساختار قرارداد هوشمند خود تجربه کرد که منجر به سرقت تقریباً ۲۲۵ میلیون دلار دارایی شد که در نهایت ۱۶۲ میلیون دلار از آن از طریق مداخله اعتبارسنج و اقدامات نظارتی بازیابی شد. در اواخر سال، Balancer و پلتفرمهای مرتبط با آن Beets و Bex از طریق یک نقص در منطق پردازش تراکنش مورد سوء استفاده قرار گرفتند و در ابتدا باعث ضرر نزدیک به ۱۳۰ میلیون دلار شدند. بازیابیهای بعدی داراییها، تأثیر خالص را به حدود ۹۶ میلیون دلار کاهش داد. این موارد در مجموع نشان دهنده مقیاس، پیچیدگی و تأثیر مالی در حال تکامل فناوریهای مدرن هستند. Web3 تهدیدات امنیتی.
خطرات مربوط به هر کاربر و راهکارهای کاهش آن
در سال ۲۰۲۵، عوامل تهدید به طور فزایندهای کاربران شخصی را هدف قرار دادند، کاربرانی که اغلب دفاع ضعیفتری دارند و ضررهایشان گزارش نمیشود. بسیاری از کلاهبرداریها، از جمله طرحهای سرمایهگذاری مبتنی بر اعتماد و کلاهبرداریهای بلندمدت، تا حد زیادی مستند نشدهاند. استفاده روزافزون از هوش مصنوعی، فیشینگ را پیچیدهتر کرده است و شامل جعل عمیق و جعل صدا میشود، در حالی که حملات اجبار فیزیکی یا حملات آچار، در کنار افشای گسترده هویت کاربران از دادههای صرافی همراه با اطلاعات مکانی، افزایش یافته است.
کاهش مؤثر با آگاهی آغاز میشود: درک روشهای رایج حمله و آگاه ماندن از طریق منابع معتبر. به کاربران توصیه میشود داراییهای خود را در چندین کیف پول با میزان ریسک متفاوت، متنوع کنند و اطمینان حاصل کنند که به خطر افتادن یک کلید یا حساب، تمام داراییهای آنها را به خطر نمیاندازد. کنترلهای دسترسی قوی، از جمله رمزهای عبور منحصر به فرد، مدیران رمز عبور و احراز هویت دو عاملی، بسیار مهم هستند، همانطور که به حداقل رساندن افشای عمومی و تأیید همه URLها، آدرسها و مجوزها قبل از تأیید هر تراکنشی، بسیار مهم است.
محافظت در برابر فیشینگ نیاز به احتیاط بیشتری دارد. هر تعامل با کیف پول باید به عنوان یک فعالیت پرخطر تلقی شود و دامنهها، قراردادها و اقدامات درخواستی را برای جلوگیری از تأیید امضای جعلی تأیید کند. تنظیمات چند امضایی، کیف پولهای سختافزاری یا ابزارهای شبیهسازی تراکنش میتوانند قبل از انتقال وجه، اقدامات حفاظتی را ارائه دهند. نباید برای پشتیبانی به پیامهای خصوصی اعتماد کرد، زیرا پروژههای مشروع کمکهای ناخواسته ارائه نمیدهند. کاربران باید اطلاعیهها را از طریق کانالهای رسمی تأیید کنند و نظارت مداوم بر میزان توکنها داشته باشند و در صورت لزوم مجوزها را لغو کنند تا ضررهای احتمالی را محدود کنند. برای تیمها، آموزش تاکتیکهای مهندسی اجتماعی و پروتکلهای ارتباطی استاندارد میتواند خطرات داخلی را در طول عملیات یا بهروزرسانیهای حیاتی به طور قابل توجهی کاهش دهد. علاوه بر این، اقدامات امنیت سایبری مرسوم، مانند محافظت از نقاط پایانی، شیوههای مرور ایمن و ابزارهای ضد فیشینگ، همچنان ضروری هستند، زیرا بسیاری از حملات از خارج از سیستم سرچشمه میگیرند. Web3 محیط زیست است.
رفع مسئولیت
در خط با دستورالعمل های پروژه اعتماد، لطفاً توجه داشته باشید که اطلاعات ارائه شده در این صفحه به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا هر شکل دیگری در نظر گرفته نشده است و نباید تفسیر شود. مهم است که فقط در موردی سرمایه گذاری کنید که توانایی از دست دادن آن را دارید و در صورت شک و تردید به دنبال مشاوره مالی مستقل باشید. برای کسب اطلاعات بیشتر، پیشنهاد می کنیم به شرایط و ضوابط و همچنین صفحات راهنمایی و پشتیبانی ارائه شده توسط صادرکننده یا تبلیغ کننده مراجعه کنید. MetaversePost متعهد به گزارش دقیق و بی طرفانه است، اما شرایط بازار بدون اطلاع قبلی ممکن است تغییر کند.
درباره نویسنده
آلیسا، یک روزنامه نگار اختصاصی در MPostمتخصص در ارزهای دیجیتال، اثبات دانش صفر، سرمایه گذاری و حوزه گسترده Web3. او با نگاهی دقیق به روندها و فناوریهای نوظهور، پوشش جامعی را برای اطلاعرسانی و مشارکت خوانندگان در چشمانداز همیشه در حال تحول مالی دیجیتال ارائه میکند.
مقالات بیشتر
آلیسا، یک روزنامه نگار اختصاصی در MPostمتخصص در ارزهای دیجیتال، اثبات دانش صفر، سرمایه گذاری و حوزه گسترده Web3. او با نگاهی دقیق به روندها و فناوریهای نوظهور، پوشش جامعی را برای اطلاعرسانی و مشارکت خوانندگان در چشمانداز همیشه در حال تحول مالی دیجیتال ارائه میکند.
