Advarselen er klar: Sikkerhet er ikke lenger et back-office-bekymring; Det er grunnlaget for vekst, tillit og etterlevelse.
«2025 har vært en vekker,» sier Yevheniia Broshevan, medgründer av Hacken. «Cybersecurity er ikke lenger bare et teknisk problem; det er en virksomhetsaktivering. Når prosjekter integrerer operativ motstandskraft og investerer i sikkerhet, reduserer de ikke bare risiko, de bygger tillit og beskytter innovasjon.»
Rudytsia la til: «Selv når en plattform er hacket, møter brukere ofte tilbaketrekning fryser, tapte midler eller redusert tillit. I defi tapper smarte kontraktsugs direkte brukerinnskudd med liten sjanse for utvinning. Storskala fiske.
En oversikt over skaden
Rapporten katalogiserer 3,09 milliarder dollar i Web3 -tap fra januar til juni 2025. Fordelingen avslører dypere mønstre:
- 59 prosent ($ 1,83B) stammet fra feil i tilgangskontroll, et operativt problem, ikke en kodefeil.
- 19 prosent (594 millioner dollar) kom fra phishing og sosialteknikk, inkludert et tyveri av 330 millioner dollar fra en enkelt eldre investor.
- 9 prosent ($ 273 millioner) gikk tapt for smarte kontraktssårbarheter, inkludert $ 223 millioner Cetus -utnyttelsen – Defis verste på over ett år.
- Andre tap inkluderte teppetrekk og UNISWAP V4 Hook -utnyttelser, som alle pekte på en fragmentert og moden infrastruktur.
Første kvartal alene så over to milliarder dollar i tap, hovedsakelig drevet av BYBIT -bruddet, der angripere utnyttet et kompromittert signatørgrensesnitt for å drenere 1,46 milliarder dollar gjennom en enkelt ondsinnet transaksjon.
Tilgang: Det skjulte sårbarheten
Brudd på tilgangskontroll dominerte sikkerhetslandskapet. En enkelt lekket nøkkel, feilkonfigurert multisig eller uovervåket administratorrolle førte til utnyttelse av multimillion-dollar på prosjekter som UPCX, Kiloex, Roar og Zksync. I de fleste tilfeller fungerte kryptografien perfekt; Det var det menneskelige laget som mislyktes.
«En halv milliard dollar kan forsvinne selv når koden er riktig,» bemerker Broshevan. «Det som ofte mangler er formelle rammer for tilgangskontroll, tredjeparts valideringer og overvåking i sanntid.»
Et spesielt edruelig eksempel var Nobitex, Irans største kryptoutveksling, som tapte 90 millioner dollar i det som ser ut til å ha vært et politisk motivert angrep. Angriperne traktet eiendeler til brenneradresser, og reiser spørsmål om nasjonal infrastrukturberedskap.
Hackens svar: Forebygging av sanntid
Som svar på disse systemiske feilene har Hacken doblet seg på automatiserte hendelsesresponsverktøy. Uttrekksplattformen tilbyr nå:
- En sikker multisig -skjerm, som verifiserer signerehandlinger i sanntid.
- En TVL-skjerm, som oppdager unormale overføringer og initierer sanntidsinneslutning.
- Automatiserte funksjoner for å pause kontrakter, rotere nøkler og fjerne kompromitterte signere.
Disse verktøyene ville ha redusert mange av årets største brudd, ofte i løpet av sekunder.
Sosialteknikk: Den menneskelige faktoren
Den psykologiske dimensjonen av Web3 -angrep vokser. Nesten 600 millioner dollar ble stjålet gjennom phishing og etterligning av svindel, med angripere som poserer som Coinbase Support Staff, utnyttet lekkede kundedata og bruk av sofistikerte sosiale taktikker for å trekke ut passkoder og tilgang til lommebok.
Den største tyveriet involverte en eldre amerikansk statsborger som ble manipulert til å overlate 330 millioner dollar i Bitcoin. Angriperen hvitvasket midler gjennom hundrevis av lommebøker, pumpet Moneros pris med 50 prosent og forsvant inn i defi -eteren.
Disse hendelsene understreker den økende viktigheten av brukergrensesnittgjennomsiktighet, utdanning og multifaktorgodkjenning, spesielt for individer med høy nettoverdi.
Smarte kontrakter blør fortsatt
Til tross for bransjens modenhet, fortsetter smarte kontraktsfeil å være en betydelig angrepsvektor. Defi-plattformer tapte 264 millioner dollar i H1 2025, med Cetus Flash-lånangrep som skilte seg ut. På bare 15 minutter utnyttet angriperen en subtil overløpsfeil, og feite gjennom 264 likviditetsbassenger og drenerte nesten en kvart milliarder dollar.
I Cork -protokollsaken tillot en manglende tillatelseskontroll en angriper å injisere tilpasset CallData til en Uniswap V4 -krok, og til slutt drenere 12 millioner dollar ved å konvertere falske symboler til konkrete eiendeler. Sårbarheten ble introdusert ved å endre en enkelt linje med standard uniswap -tillatelser.
Disse hendelsene taler til behovet for TV-bevisst overvåking, automatiserte forebyggende kontroller og strenge eksterne revisjoner.
AI: En ny klasse av trusler
AI-relaterte hendelser steg også, med en økning i 1,025 prosent i utnyttelsesvolum sammenlignet med 2023. Hackere utnyttet usikre API-er, hurtig injeksjoner, treningsdataforgiftning og RCES (ekstern kodeutførelse) i Open-source ML-biblioteker, som Langflow og Bentoml.
«Når det er sagt, har AI spilt en rolle i cyber i mer enn et tiår, og jeg vil hevde at piggen i svindel ganske enkelt skyldes markedsveksten når det gjelder verdi,» la han til.
Ettersom 34 prosent av Web3 -prosjekter nå bruker AI -agenter i produksjon, utvides angrepsoverflaten raskere enn styringsrammer kan holde tritt. Verktøy som Wormgpt gjør det mulig for angripere med lav ferdighet å lansere sofistikerte malware-kampanjer, som Hacken omtaler som «vibe hacking.»
«Løftet om AI er massivt, men det er også risikoen,» sier Stephen Ajayi, Hacken’s DAPP -revisjonstekniske ledelse. «Ved å legge inn sikkerhet på hvert trinn, fra rask design til distribusjon, hjelper vi team med å innovere med selvtillit.»
Regulering: å ta igjen, men sakte
Mens regulatorer har begynt å svare, ledet av EU AI Act, ISO/IEC 42001, og NIST AI RMF, fanger de fleste rammer fremdeles kompleksiteten til Web3-innfødte AI-distribusjoner. Standarder som ISO/IEC 27001 og SOC 2 tilbyr grunnleggende dekning, men mangler spesifisitet på trusler som rask injeksjon eller modell hallusinasjon.
«Overholdelse kan ikke være reaktiv,» sier Broshevan. «Bedrifter trenger proaktive rammer som samsvarer med hastigheten og omfanget av innovasjon. Det er der Hacken leder, fra revisjon til implementering.»
Hacken støtter klienter som navigerer mot kravene til glimmer, vara og VASP, og bygger bro mellom tradisjonell samsvar med desentralisert infrastruktur. Tjenestene inkluderer nå:
- AI og smarte kontraktsrevisjoner
- Access Control Frameworks (CCSS + ISO/IEC 27001)
- Rødt teamsimuleringer og motstanders AI -testing
- Beredskap og hendelses triage
Banen fremover
Halvårstallene i 2025 representerer mer enn bare tapte midler. De gjenspeiler et strategisk modenhetsgap. Inntil bedrifter behandler sikkerhet som integrert, ikke valgfritt, vil utnyttelser fortsette å skalere.
Men Hackens syn er til slutt optimistisk. «Vi sikrer ikke Web3 av frykt, vi sikrer det med tillit,» sier Broshevan. «Sikkerhet handler ikke om å bremse deg. Det handler om å låse opp fart, med selvtillit, klarhet og kontroll.»
