Wektory Ataku 2025: Co Się Zmieniło i Co Nadchodzi
Od błędów access control do fałszywych rekruterów. Krajobraz ataków zmienił się w 2025. Oto co faktycznie działa dla hakerów i jak się chronić.
Pogłęb temat z AI
Kliknij → prompt skopiowany → wklej w czacie AI
Ataki zmieniły się w 2025.
Nie tylko cele. Metody.
Mniej incydentów, większe wypłaty. Ataki supply chain uderzające w rozszerzenia przeglądarek. Północnokoreańscy hakerzy udający rekruterów zamiast szukających pracy. AI znajdujące podatności szybciej niż audytorzy.
Jeśli twoja wiedza o bezpieczeństwie jest z 2023, już jesteś w tyle.
Liczby mówią same za siebie
Przegląd 2025:
- $2.94 miliarda stracone w 200 incydentach
- 46% wzrost strat mimo mniejszej liczby ataków
- 69% wartości skradzione przez kompromitację portfeli
- 63% incydentów celowało w protokoły DeFi
Matematyka jest prosta: ataki stały się bardziej efektywne. Mniej strzałów, większe trafienia.
OWASP Smart Contract Top 10: Co faktycznie ma znaczenie
Lista 2025 pokazuje gdzie deweloperzy wciąż zawodzą:
#1 Podatności Access Control
Wciąż numer jeden. Wciąż największy zabójca.
$953.2 miliona strat z powodu źle zaimplementowanych uprawnień. Nieautoryzowane akcje admina. Exploity funkcji prywatnych. Podstawy które zespoły wciąż psują.
#2 Manipulacja Oracle'ami Cenowymi
Nowe znaczenie w tym roku. 31% strat DeFi z początku 2025 pochodziło z ataków na oracle.
Atakujący manipulują feedami cenowymi, potem exploitują protokoły które ufają tym feedom. KiloEx stracił $117 milionów w kwietniu 2025 dokładnie w ten sposób.
#3 Błędy Logiczne
Kod który robi to co mu kazano—ale nie to co powinien.
Cetus DEX stracił $223 miliony w maju 2025 przez pominięty overflow check. Jedna linia kodu. Dziewięć cyfr zniknęło.
#4 Ataki Flash Loan
Niezabezpieczone pożyczki używane do manipulacji rynkami w ramach jednej transakcji. $33 miliony w Q1 2024 z 10 głośnych ataków.
#5 Reentrancy
Klasyk. Spadł z #1 na #5 dzięki lepszym narzędziom, ale wciąż łapie deweloperów nieprzygotowanych w yield farmingu i protokołach pożyczkowych.
Konkluzja: Access control i oracle powodują większość szkód. Reszta to szum w porównaniu.
Zmiana: Z on-chain do off-chain
Oto niepokojący trend:
W miarę jak audyty smart contractów się poprawiają i bug bounty stają się standardem, hakerzy przenieśli się wyżej w stosie.
Gdzie teraz dzieją się ataki:
- Rozszerzenia przeglądarek
- Narzędzia deweloperskie
- Zależności supply chain
- Social engineering
- Kradzież credentiali
Katastrofa Trust Wallet (grudzień 2025):
W Wigilię atakujący wypchnęli złośliwą aktualizację do rozszerzenia Chrome Trust Wallet. $8.5 miliona odpłynęło z 2,520 portfeli w ciągu godzin.
Jak? Atak supply chain Shai-Hulud skompromitował narzędzia deweloperskie w wielu branżach. Klucz API Chrome Web Store Trust Wallet wyciekł. Atakujący wgrali skompromitowane rozszerzenie bezpośrednio, omijając wszystkie wewnętrzne przeglądy kodu.
Użytkownicy zaktualizowali rozszerzenie i zostali okradzeni. Żaden phishing. Żaden błąd użytkownika. Tylko legitymicznie wyglądająca aktualizacja.
$713 milionów skradziono przez kompromitację portfeli w 2025—20% całej kradzieży crypto. Większość działa się "ponad" blockchainem: przeglądarki, rozszerzenia, supply chain.
Nowy playbook Korei Północnej
Dostosowali się.
Stary sposób: Fałszywi pracownicy IT aplikują o pracę, zostają zatrudnieni, kradną od środka.
Nowy sposób: Fałszywi rekruterzy z prominentnych firm przeprowadzają rozmowy z ofiarami, zbierają credentiale i wdrażają malware podczas "procesu rekrutacji".
Taktyki:
- Tworzenie firm-słupów (BlockNovas LLC, Angeloper Agency, SoftGlide LLC)
- Podszywanie się pod rekruterów na LinkedIn, Upwork i giełdach pracy crypto
- Prowadzenie fałszywych rozmów które wdrażają malware
- Używanie deepfake'ów AI w czasie rzeczywistym w video callach
- Celowanie w kadrę kierowniczą z fałszywymi spotkaniami akwizycyjnymi
Skala:
- $2.02 miliarda skradzione w 2025 (51% wzrost rok do roku)
- 136 firm nieświadomie zatrudniło północnokoreańskich agentów
- Miliony przekazane na programy zbrojeniowe
Aresztowania: W styczniu i czerwcu 2025, pięciu rezydentów USA przyznało się do pomagania północnokoreańskim pracownikom w zdobywaniu pracy przy użyciu skradzionych tożsamości. W czerwcu czterech faktycznych północnokoreańskich agentów zostało oskarżonych o oszustwa i pranie pieniędzy.
Ale schemat trwa. Jest aktywny i ewoluuje.
Co obrońcy robią dobrze
Nie wszystkie wiadomości są złe.
Proaktywny monitoring działa.
Niektóre protokoły wykryły ataki 18 godzin przed wykonaniem i wstrzymały kontrakty w porę. Kombinacja monitoringu w czasie rzeczywistym, szybkiej odpowiedzi i governance które może działać zdecydowanie zmieniła równanie.
Bug bounty się opłaca.
Proste podatności smart contractów maleją. Zespoły które implementują best practices bezpieczeństwa widzą mniej exploitów oczywistych błędów.
Portfele multi-sig i MPC.
Portfele o wysokiej wartości chronione wieloma podpisami przetrwały podczas gdy portfele z jednym kluczem były drenowane.
Zmiana w stratach:
Mimo wyższego Total Value Locked w DeFi, straty z hacków pozostały stłumione w porównaniu z wcześniejszymi latami. Ekosystem się uczy—powoli.
Co nadchodzi w 2026
Przewidywania:
-
Więcej ataków supply chain. Rozszerzenia przeglądarek i narzędzia deweloperskie pozostają miękkimi celami.
-
AI vs AI. Atakujący używający AI do znajdowania podatności. Obrońcy używający AI do wykrywania ataków. Wyścig zbrojeń trwa.
-
Wyrafinowanie ponad wolumen. Mniej ataków, większe wypłaty. Jakość ponad ilość.
-
Dominacja social engineeringu. W miarę jak kod staje się trudniejszy do exploitowania, ludzie stają się słabym punktem.
-
Presja regulacyjna. Rządy zaczynają wymagać standardów bezpieczeństwa dla platform crypto.
Wild cards:
- Duży breach scentralizowanej giełdy który przyćmi Bybit
- Zero-day odkryty przez AI który dotknie wiele protokołów
- Udany atak na dużego dostawcę stakingu
- Atak państwa-narodu na infrastrukturę stablecoinów
Praktyczna checklista obrony
Dla indywidualnych:
- [ ] Minimalizuj rozszerzenia przeglądarek—szczególnie rozszerzenia portfeli
- [ ] Używaj hardware walletów dla znaczących holdings
- [ ] Weryfikuj źródła aktualizacji przed instalacją
- [ ] Bądź sceptyczny wobec rekruterów i ofert pracy
- [ ] Włącz multi-factor authentication wszędzie
- [ ] Oddziel portfele codziennego użytku od portfeli przechowujących
Dla projektów:
- [ ] Implementuj multi-sig dla wszystkich funkcji admin
- [ ] Używaj wielu źródeł oracle
- [ ] Audytuj regularnie (włącznie z zależnościami)
- [ ] Prowadź programy bug bounty
- [ ] Monitoruj podejrzaną aktywność on-chain
- [ ] Miej plan reagowania na incydenty zanim go potrzebujesz
Dla wszystkich:
- [ ] Zakładaj że będziesz celem
- [ ] Weryfikuj, potem weryfikuj ponownie
- [ ] Szybkość nie jest warta skracania bezpieczeństwa
Niewygodna prawda
2025 udowodnił coś niewygodnego:
Bezpieczeństwo techniczne się poprawia. Bezpieczeństwo ludzkie nie.
Smart contracty są audytowane. Kod jest przeglądany. Ale rozszerzenia przeglądarek są kompromitowane. Deweloperzy pobierają złośliwe zależności. Pracownicy klikają linki phishingowe. Kadra kierownicza bierze spotkania z fałszywymi inwestorami.
Powierzchnia ataku przesunęła się z kodu na ludzi.
Branża zainwestowała miliardy w bezpieczeństwo smart contractów. Zainwestowała znacznie mniej w bezpieczeństwo operacyjne, integralność supply chain i czynniki ludzkie.
Ta luka jest gdzie poszły pieniądze.
Konkluzja
Wektory ataku w 2025 ewoluowały szybciej niż obrona.
Access control i oracle pozostały największymi ryzykami smart contractów. Ale prawdziwa akcja przeniosła się off-chain: supply chain, rozszerzenia przeglądarek, social engineering.
Korea Północna ukradła $2 miliardy używając fałszywych rekruterów i deepfake'ów. Atakujący wypchnęli złośliwe rozszerzenia przeglądarek w Wigilię. AI zaczęło znajdować podatności przed audytorami.
Wzorzec jest jasny: gdy jeden wektor ataku twardnieje, atakujący znajdują inny.
Bezpieczeństwo to nie destynacja. To ciągły wyścig.
Bądź paranoiczny. Bądź na bieżąco. Bądź pokorny wobec tego czego nie wiesz.
Źródła: