У 2025 році обсяг втрат від криптовалютних зломів різко зріс і склав $4,04 млрд, що більш ніж удвічі перевищує результати попереднього року. Кількість інцидентів зросла лише на 4%, однак масштаби збитків стали рекордними: понад 36% усіх втрат припали на атаку на криптобіржу Bybit, яка втратила $1,46 млрд.
Про це розповідає Finway
Динаміка атак і роль міксерів
Хакери значно прискорили свої дії: у другому півріччі 2025 року в окремих випадках переміщення викрадених коштів починалося вже через дві секунди після злому — це вдвічі швидше, ніж у першому півріччі. У середньому зловмисники випереджали оприлюднення інформації про інцидент на 11 годин 13 хвилин.
Водночас у 84,6% випадків у другій половині року кошти переміщувалися ще до публікації звітів про зломи (проти 68,1% у першому півріччі). Загалом у 2025 році 76% атак супроводжувались таким раннім рухом активів. Хоча темпи відмивання коштів стали повільнішими — у середньому 10,6 дня у другому півріччі проти 8 днів у першому, — хакери використовували багатоступеневі схеми з фрагментацією активів через некастодіальні гаманці, кросчейн-мости, DEX, сервіси миттєвого обміну та міксери.
«Наш аналіз 255 зломів показує, що таймінг зараз є найслабшим місцем індустрії. У найшвидшому випадку хакери перемістили викрадену криптовалюту всього за дві секунди після атаки — швидше, ніж потрібно, щоб прочитати це речення. У понад 76% випадків цей рух починався ще до публічного повідомлення. Цей розрив дає зловмисникам контроль над подальшими кроками — приховуванням слідів через численні переходи між мостами, DEX, сервісами миттєвого обміну та міксерами».
У 45,1% криптозломів було використано міксери, причому сервіс Tornado Cash фігурував у 41,57% випадків. Після скасування санкцій у січні 2025 року Tornado Cash знову став широко доступним, що сприяло його активному використанню для приховування походження коштів. За рік через Tornado Cash у мережі Ethereum пройшло понад $2,05 млрд, з яких близько $655 млн походили з високоризикових операцій. Вихідний обсяг транзакцій склав $1,57 млрд, а значна частина коштів потрапила на централізовані біржі, зокрема після зняття обмежень (до 21 березня — 0,16%, після — вже 4,74%).
Кошти з Tornado Cash також фігурували у зломах минулих років, таких як атаки на Poloniex у листопаді 2023 року ($132 млн) та Clipper DEX у грудні 2024-го ($450 тис.).
Головні джерела збитків: КНДР, біржі та блокчейни
Хакери, пов’язані з КНДР, стояли щонайменше за $1,89 млрд втрат у 2025 році — це близько 46,8% від загальної суми. П’ять великих атак у першому півріччі принесли понад $1,55 млрд збитків, а у другому півріччі ця сума зменшилася до $134,86 млн. Частка атак на централізовані біржі (CEX) з боку КНДР зросла з 40% у першій половині року до понад 83% у другій.
Серед масштабних інцидентів — зломи BigONE ($29,7 млн), WOO X ($13,7 млн), BtcTurk ($48,1 млн), Seedify ($1,7 млн), SwissBorg ($41,5 млн) та Upbit ($36,8 млн). У цілому CEX стали найбільш вразливими цілями: втрати склали $1,85 млрд (45,8%), хоча у другій половині року цей показник скоротився у 7,6 раза. Платформи DeFi втратили $601,9 млн (14,9%), продемонструвавши зростання у 2,6 раза за півріччя.
Ethereum залишилась головною ціллю хакерів — на її частку припало $2,44 млрд втрат (60,6%). Далі за рівнем втрат йдуть біткоїн ($456 млн) та Solana ($446 млн). Основними причинами інцидентів стали смартконтрактні експлойти (64%), компрометація приватних ключів (13,3%) та зловмисні схвалення, які завдали $1,51 млрд збитків — переважно через атаку на Bybit.
Майже половина викрадених у 2025 році коштів — $1,97 млрд (48,8%) — досі не були переміщені. Заморожено $384,8 млн, а повернуто лише $263,2 млн (6,5%).
Експерти галузі підкреслюють, що для зниження ризиків необхідний перехід до безперервного моніторингу, стандартизованої звітності та проактивного реагування на інциденти. Зокрема, CEO Hacken Євгенія Брошеван наголосила на важливості саме безперервного моніторингу й оперативного реагування, а дослідник Річард Сандерс звернув увагу на необхідність перевірки даних перед маркуванням адрес. CEO Deconflict Мудассар Малік вказав, що повільніший темп відмивання відкриває більше можливостей для розслідувань та блокування активів, якщо впроваджено автоматизований моніторинг.