Вместо введения: $3,3 млрд убытков за 2025 год
Совокупные потери криптоиндустрии от действий злоумышленников по итогам 2025 года составили $3,3 млрд. Эти цифры приводит компания CertiK — один из авторитетных игроков в аудите безопасности блокчейн-проектов. Цифра внушительная, но ещё тревожнее — её структура.Два инцидента принесли почти половину всей суммы убытков: $1,45 млрд пришлось на атаки на цепочки поставок (supply chain attacks). Самый громкий из них — взлом биржи Bybit в феврале 2025 года. Это не просто кража со взломом сейфа. Это удар по инфраструктуре: хакеры атаковали не саму биржу напрямую, а одного из её ключевых поставщиков или инструментов.
Именно такие атаки старший аналитик CertiK Натали Ньюсон называет одним из трёх главных трендов 2026 года. Два других — дипфейки в реальном времени и фишинг нового поколения. Всё это — на фоне стремительного развития искусственного интеллекта, который работает на обе стороны баррикад.
Атаки на цепочки поставок: невидимая угроза
Что такое атака на цепочку поставок в криптомире? Упрощённо: злоумышленники взламывают не сам проект, а его подрядчика, библиотеку, инфраструктурного провайдера или инструмент разработки. А затем через эту «дыру» добираются до целевой платформы — часто с полным обходом всех её внутренних защит.Классический пример из традиционного IT — атака на SolarWinds (2020 год). В криптоиндустрии похожие схемы становятся всё более популярными, потому что:
- Проекты зависят от стороннего кода (смарт-контракты, оракулы, интерфейсы).
- Один взломанный инструмент разработки может скомпрометировать десятки протоколов.
- Хакеры стали лучше финансироваться и координироваться.
Последний пример: протокол Volo (платформа BTCFi и ликвидного стейкинга в сети Sui Network) сообщил об атаке, в результате которой из трёх хранилищ вывели средства на почти $3,5 млн. Среди затронутых активов — WBTC, XAUm и USDC. Это свежий звонок, который подтверждает тезис: страдают не только гиганты вроде Bybit, но и средние протоколы.
Дипфейки в реальном времени: поверить глазам — опасно
Второй большой тренд — дипфейки, работающие в реальном времени. Раньше для создания поддельного видео требовались часы работы мощного сервера и видеомастер. Сейчас это могут быть ИИ-агенты, которые в режиме «здесь и сейчас» генерируют убедительную картинку, голос или даже видеозвонок.Представьте: вам звонит «техподдержка биржи». Голос — точь-в-точь как у знакомого менеджера. Лицо (если включено видео) — его же. А они просят «срочно подтвердить транзакцию, иначе заморозят активы». Это не фантастика. Это уже случалось в корпоративном секторе (вспомните историю с дипфейком, обманувшим сотрудника на $25 млн). В крипте угроза удесятеряется, потому что операции необратимы.
Ньюсон обращает внимание: ИИ одновременно усиливает защиту и атаку. С одной стороны, нейросети помогают быстрее находить уязвимости в смарт-контрактах и автоматически блокировать подозрительные транзакции. С другой — те же ИИ-агенты способны самостоятельно сканировать контракты в поисках ошибок, писать код для эксплойтов и запускать атаки на скорости, недоступной человеку.
Фишинг 2.0: проверка URL уже не спасает
Фишинг стара как мир, но в 2026 году он мутировал. Классическая схема «прислали ссылку на поддельный сайт» всё ещё работает. Но теперь добавились:- Фишинговые смарт-контракты, которые маскируются под легитимные (отличается одной буквой в адресе).
- Подмена интерфейсов DeFi-приложений через взлом DNS или расширений браузера.
- Атаки через ботов Telegram и Discord, которые «от лица поддержки» просят seed-фразу или ссылку на подпись транзакции.
Холодные кошельки: скучно, надёжно, немодно
Отдельный блок рекомендаций касается хранения активов. Ньюсон советует пересмотреть подход и рассмотреть варианты вне централизованных платформ. А именно — использовать холодные кошельки для активов, которыми вы не пользуетесь регулярно.Холодный кошелёк (аппаратный вроде Ledger или Trezor) позволяет подписывать транзакции, не раскрывая закрытые ключи в интернете. Даже если ваш компьютер заражён, а вы перешли по фишинговой ссылке — подписать транзакцию без физической кнопки на устройстве злоумышленник не сможет.
Но есть нюанс: холодные кошельки неудобны для трейдинга и активного DeFi. Поэтому рациональная стратегия выглядит так:
- Холодный кошелёк — для долгосрочных накоплений (60-80% активов).
- Тёплый кошелёк (например, на базе смарт-контракта с мультиподписью) — для средне- и краткосрочных операций.
- Горячий кошелёк на бирже — только для «карманных денег» на торговлю.
Что делать обычному пользователю и проекту
Резюмируем вызовы 2026 года и ответы на них.Для инвестора / держателя активов:
- Проверяйте адреса смарт-контрактов через несколько независимых источников (Etherscan, официальный сайт, канал проекта в Discord).
- Не переходите по ссылкам из подозрительных сообщений, даже если они пришли от знакомого ника (аккаунт могли взломать).
- Для видео- или голосовых звонков с «поддержкой» — перезванивайте по официальному номеру или пишите в верифицированный чат.
- Используйте холодное хранение для сумм, которые вы не готовы потерять завтра.
- Включите двухфакторную аутентификацию (2FA) везде, где можно — и лучше через приложение вроде Google Authenticator, а не через SMS (SIM-своп до сих пор жив).
Для криптопроектов и команд:
- Аудит цепочки поставок — не только своего кода, но и зависимостей, SDK, библиотек.
- Мониторинг в реальном времени через ИИ-системы, которые замечают аномалии на ранней стадии.
- Мультиподпись на ключевые действия (вывод средств, обновление контрактов).
- PR-план на случай атаки — реакция в первые 15 минут решает, спасёте ли вы репутацию.
Заключение: гонка без финиша
Развитие ИИ сделало кибербезопасность в крипте асимметричной игрой. Защитникам нужно закрыть все дыры. Атакующим достаточно найти одну. Дипфейки, фишинг нового типа и supply chain атаки — это не гипотетические угрозы. Это сегодняшний день, подтверждённый цифрами: 3,3млрдпотерьисвежие3,3млрдпотерьисвежие3,5 млн из Volo.Совет Натали Ньюсон звучит почти банально: «базовая кибергигиена». Но в 2026 году «базовая» означает совсем другой уровень паранойи. Проверять не только ссылки, но и голос в трубке. Сомневаться даже в видео. Хранить ключи там, до чего физически не дотянутся хакеры из интернета.
И помнить главное правило криптоиндустрии: not your keys, not your coins. В эпоху ИИ-угроз оно становится актуальнее, чем когда-либо.
