By
По мнению экспертов по криптобезопасности, большинство крипто-эксплойтов в следующем году не будут вызваны ошибкой нулевого дня в вашем любимом протоколе. Это будет вызвано вами.
Это потому, что 2025 год показал, что большинство взломов начинаются не с вредоносного кода; они начинаются с разговора, рассказал Cointelegraph Ник Перкоко, директор службы безопасности криптовалютной биржи Kraken.
«Злоумышленники не врываются, их приглашают».
Данные Chainaанализа показывают, что с января по начало декабря 2025 года в криптоиндустрии было совершено хищение более 3,4 миллиарда долларов США. Февральский компромисс Bybit составляет почти половину от этой суммы.
Во время атаки злоумышленники получили доступ с помощью социальной инженерии, внедрили вредоносную полезную нагрузку JavaScript, которая позволила им изменять детали транзакции и выводить средства.
Что такое социальная инженерия?
Социальный инженерия – это кибератака метод, который манипулирует людьми для раскрытия конфиденциальной информации или выполнения действий, ставящих под угрозу безопасность.
Перкоко сказал, что Поле битвы за криптобезопасность будет в сознании, а не в киберпространстве.
“Безопасность больше не заключается в возведении более высоких стен, а в том, чтобы научить свой разум распознавать манипуляции. Цель должна быть простой: не передавайте ключи от замка только потому, что кто-то говорит так, будто ему место внутри, или сеет панику”.
Совет 1. Используйте автоматизацию, где это возможно
По мнению Percoco, компрометация цепочки поставок также оказалась ключевой проблемой в этом году, поскольку, казалось бы, незначительное нарушение может оказаться разрушительным в дальнейшем, потому что «это цифровая башня Jenga, и целостность каждого отдельного блока имеет значение».
В предстоящем году Percoco рекомендует снизить уровень доверия людей за счет таких действий, как автоматизация защиты, где это возможно, и проверка каждого цифрового взаимодействия посредством аутентификации в «переходе от реактивной защиты к превентивному предотвращению».
“Будущее криптобезопасности будет определяться более разумной проверкой личности и обнаружением угроз с помощью искусственного интеллекта. Мы вступаем в эпоху, когда системы смогут распознавать ненормальное поведение до того, как пользователь или даже обученные аналитики безопасности смогут даже понять, что что-то не так”.
“Особенно в сфере криптографии самым слабым звеном остается человеческое доверие, усиленное жадностью и FOMO. Это уязвимость, которую злоумышленники используют каждый раз. Но никакая технология не заменит хорошие привычки”, – добавил он.
Совет 2. Разрозненная инфраструктура
Лиза, руководитель службы безопасности SlowMist, сказала, что в этом году злоумышленники все чаще нападали на экосистемы разработчиков, что в сочетании с утечками облачных учетных данных создало возможности для внедрения вредоносного кода, кражи секретов и отравления обновлений программного обеспечения.
«Разработчики могут снизить эти риски, закрепляя версии зависимостей, проверяя целостность пакета, изолируя среды сборки и проверяя обновления перед развертыванием», — сказала она.
По прогнозам Лизы, в 2026 году наиболее серьезные угрозы, скорее всего, будут исходить от все более изощренных операций по краже учетных данных и социальной инженерии.
“Злоумышленники уже используют созданные искусственным интеллектом дипфейки, специальный фишинг и даже фальшивые тесты по найму разработчиков для получения ключей кошелька, облачных учетных данных и токенов для подписи. Эти атаки становятся все более автоматизированными и убедительными, и мы ожидаем, что эта тенденция сохранится”, – сказала она.
Чтобы оставаться в безопасности, Лиза советует организациям внедрять строгий контроль доступа, ротацию ключей, аппаратную аутентификацию, сегментацию инфраструктуры, а также обнаружение и мониторинг аномалий.
Индивидуумы должны полагаться на аппаратные кошелькиизбегайте взаимодействия с непроверенными файлами, перепроверяйте личности по независимым каналам и с осторожностью относитесь к нежелательным ссылкам или загрузкам.
Совет 3. Доказательство личности для борьбы с дипфейками искусственного интеллекта
Стивен Уолбрёл, соучредитель и технический директор компании Halborn, занимающейся кибербезопасностью на блокчейне, прогнозирует, что социальная инженерия с использованием искусственного интеллекта будет играть значительную роль в сценариях криптохакеров.
В марте не менее трех Основатели криптографии сообщили о предотвращении попытки от предполагаемых северокорейских хакеров с целью кражи конфиденциальных данных посредством фальшивых вызовов Zoom с использованием дипфейков.
Уолбрёл предупреждает, что хакеры используют ИИ для создания персонализированных, контекстно-зависимых атак, которые обходят традиционное обучение по вопросам безопасности.
Чтобы бороться с этим, он предлагает внедрить криптографическое подтверждение личности для всех критически важных коммуникаций, аппаратную аутентификацию с биометрической привязкой, системы обнаружения аномалий, которые определяют нормальные шаблоны транзакций, и установить протоколы проверки с использованием заранее общих секретов или фраз.
Совет 4. Держите свою криптовалюту при себе
Атаки с помощью гаечного ключа, или физические атаки на держателей криптовалют, также были заметной темой 2025 года: согласно списку GitHub Bitcoin OG и шифропанка Джеймсона Лоппса, было зарегистрировано не менее 65 случаев. Последний Пик бычьего рынка в 2021 году ранее был худшим годом за всю историю наблюдений: в общей сложности было зарегистрировано 36 нападений.
Пользователь X под ником Бо, бывший офицер ЦРУ. сказал в сообщении X от 2 декабря, что приступы гаечного ключа все еще относительно редкино он по-прежнему рекомендует пользователям криптовалют принимать меры предосторожности и не говорить о богатстве или раскрывать криптоактивы или экстравагантный образ жизни в Интернете для начала.
Он также предлагает стать «жесткой мишенью», используя инструменты очистки данных для сокрытия частной личной информации, такой как домашние адреса, и инвестируя в средства защиты дома, такие как камеры видеонаблюдения и сигнализация.
Совет 5. Не экономьте на проверенных и надежных советах по безопасности.
Дэвид Швед, эксперт по безопасности, который работал в Robinhood в качестве директора по информационной безопасности, сказал, что его главный совет — придерживаться авторитетных компаний, которые демонстрируют бдительные методы обеспечения безопасности, включая строгие и регулярные сторонние проверки безопасности всего своего стека, от смарт-контрактов до инфраструктуры.
Однако, по словам Шведа, независимо от технологии, пользователям следует избегать использования одного и того же пароля для нескольких учетных записей, предпочитать использовать аппаратный токен в качестве метода многофакторной аутентификации и защищать исходную фразу, надежно зашифровывая ее или сохраняя в автономном режиме в безопасном физическом месте.
Он также советует использовать специальный аппаратный кошелек для значительных запасов и минимизировать запасы на биржах.
Связанный: Целевой фишинг — лучшая тактика северокорейских хакеров: как обезопасить себя
“Безопасность зависит от уровня взаимодействия. Пользователи должны сохранять повышенную бдительность при подключении аппаратного кошелька к новому веб-приложению и должны тщательно проверять данные транзакции, отображаемые на экране аппаратного устройства, перед подписанием. Это предотвращает “слепое подписание” вредоносных контрактов”, – добавил Швед.
Лиза сказала, что ее лучшие советы — использовать только официальное программное обеспечение, избегать взаимодействия с непроверенными URL-адресами и разделять средства на «горячие», «теплые» и «холодные» конфигурации.
Чтобы противостоять растущей сложности мошенничество, такое как социальная инженерия и фишинга, Percoco от Kraken рекомендует всегда проявлять «радикальный скептицизм», проверяя подлинность и предполагая, что каждое сообщение является проверкой осведомленности.
“И остается одна универсальная истина: ни одна законная компания, служба или возможность никогда не запросит вашу исходную фразу или учетные данные для входа. В тот момент, когда они это сделают, вы разговариваете с мошенником”, – добавил Перкоко.
Между тем, Уолбрёл рекомендует генерировать ключи с использованием криптографически безопасных генераторов случайных чисел, строгого разделения между средами разработки и производства, регулярными проверками безопасности и планированием реагирования на инциденты с помощью регулярных тренировок.
