Kryptovaluta-tap i 2025
Over $3,1 milliarder i kryptovaluta har blitt tapt så langt i 2025 på grunn av problemer som feil i smarte kontrakter, sårbarheter i tilgangskontroll, rug pulls og svindel, ifølge en rapport fra blockchain-sikkerhetsrevisjonsfirmaet Hacken. Dette tallet for første halvdel av 2025 overskrider totalen på $2,85 milliarder fra hele 2024. Selv om hacken på $1,5 milliarder på Bybit i Q1 2025 kan ha vært et unntak, fortsetter den bredere kryptovaluta-sektoren å møte betydelige utfordringer.
Tapstyper og trender
Fordelingen av tapstyper forblir stort sett konsistent med trendene observert i 2024. Utnyttelser av tilgangskontroll har vært den primære drivkraften bak tapene, og står for rundt 59 % av totalen. Sårbarheter i smarte kontrakter bidro til omtrent 8 % av tapene, med $263 millioner stjålet. Yehor Rudytsia, leder for forensikk og hendelsesrespons, fortalte Cointelegraph at de har observert betydelig utnyttelse av GMX V1, med dens utdaterte kodebase som ble målrettet fra og med Q3 2025. Rudytsia sa:
“Prosjekter må ta vare på sin gamle/legacy kodebase hvis den ikke ble stoppet helt.”
Angripernes fokus
Etter hvert som kryptovaluta-rommet modnes, har angripere skiftet fokus fra å utnytte kryptografiske feil til å målrette menneskelige og prosessuelle svakheter. Disse sofistikerte teknikkene inkluderer blind signing-angrep, lekkasjer av private nøkler og omfattende phishing-kampanjer. Dette utviklende landskapet fremhever en avgjørende sårbarhet: Tilgangskontroll i krypto forblir et av de mest underutviklede og høy-risiko områdene, til tross for økende tekniske sikkerhetstiltak.
DeFi og smarte kontrakter eksponerer sårbarheter
Operasjonelle sikkerhetsfeil var ansvarlige for majoriteten av tapene, med $1,83 milliarder stjålet på tvers av både DeFi- og CeFi-plattformer. Den fremtredende hendelsen i Q2 var Cetus-hacken, hvor $223 millioner ble tappet på bare 15 minutter, noe som markerte DeFi’s dårligste kvartal siden tidlig 2023 og stoppet en fem-kvartals nedadgående trend i utnyttelsesrelaterte tap. Før dette, så Q4 2024 og Q1 2025 en dominans av tilgangskontrollfeil, som overskygget de fleste feilbaserte utnyttelser. Imidlertid så dette kvartalet tilgangskontrolltap i DeFi falle til bare $14 millioner, det laveste siden Q2 2024, selv om utnyttelser av smarte kontrakter økte.
Cetus-angrepet utnyttet en overflow-sjekk-sårbarhet i sin likviditetsberegning. Angriperen brukte et flash-lån for å åpne små posisjoner, og deretter feide gjennom 264 puljer. Hvis sanntids overvåking av total verdi låst (TVL) med auto-pause hadde blitt implementert, kunne opptil 90 % av midlene vært reddet, ifølge Hacken.
AI som en voksende trussel
AI og store språkmodeller (LLMs) er dypt integrert i både Web2- og Web3-økosystemer. Selv om denne integrasjonen tenner innovasjon, utvider den også angrepsflaten og introduserer nye og utviklende sikkerhetstrusler. AI-relaterte utnyttelser har økt med 1.025 % sammenlignet med 2023, med en svimlende 98,9 % av disse angrepene knyttet til usikre API-er. I tillegg ble fem store AI-relaterte Common Vulnerabilities and Exposures (CVEs) lagt til listen, og 34 % av Web3-prosjektene implementerer nå AI-agenter i produksjonsmiljøer, noe som gjør dem til et voksende mål for angripere.
Tradisjonelle cybersikkerhetsrammer, som ISO/IEC 27001 og National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF), er dårlig rustet til å håndtere AI-spesifikke risikoer som modellhallusinasjon, promptinjeksjon og fiendtlige datagift. Disse rammene må utvikles for å tilby omfattende styring som inkluderer de unike utfordringene som AI medfører.
