Більшість криптовалютних експлойтів у наступному році будуть спричинені не вразливістю нульового дня у вашому улюбленому протоколі, кажуть експерти з безпеки криптовалют. Це буде спричинено вами.
Це тому, що 2025 рік показав, що більшість зломів не починаються зі шкідливого коду; вони починаються з розмови, розповів Cointelegraph Нік Перкоко, головний офіцер з безпеки криптовалютної біржі Kraken.
З січня до початку грудня 2025 року, дані від Chainalysis показують, що криптовалютна індустрія стала свідком крадіжки понад 3,4 мільярда доларів, причому компрометація Bybit у лютому склала майже половину цієї суми.
Понад 3,4 мільярда доларів було вкрадено зловмисниками цього року. Джерело: ChainalysisПід час атаки зловмисники отримали доступ через соціальну інженерію, впровадили шкідливе навантаження JavaScript, яке дозволило їм змінювати деталі транзакцій та викачувати кошти.
Що таке соціальна інженерія?
Соціальна інженерія - це метод кібератаки, який маніпулює людьми для розголошення конфіденційної інформації або виконання дій, які компрометують безпеку.
Перкоко сказав, що поле битви за безпеку криптовалют буде у свідомості, а не у кіберпросторі.
Порада 1: використовуйте автоматизацію де це можливо
Компрометації ланцюга постачання також виявилися ключовим викликом цього року, за словами Перкоко, оскільки на перший погляд незначна брешь може виявитися руйнівною пізніше, тому що "це цифрова вежа Дженга, і цілісність кожного окремого блоку має значення."
У наступному році Перкоко рекомендує зменшити точки людської довіри через такі дії, як автоматизація захисту, де це можливо, та перевірка кожної цифрової взаємодії через автентифікацію у "переході від реактивного захисту до проактивної профілактики."
"Особливо у криптовалюті найслабшою ланкою залишається людська довіра, посилена жадібністю та FOMO. Це тріщина, яку зловмисники використовують кожного разу. Але жодна технологія не замінить хороших звичок," додав він.
Порада 2: ізолюйте інфраструктуру
Ліза, керівник операцій безпеки від SlowMist, сказала, що зловмисники все частіше атакували екосистеми розробників цього року, що в поєднанні з витоками облікових даних хмарних сервісів створило можливості для впровадження шкідливого коду, крадіжки секретів та отруєння оновлень програмного забезпечення.
"Розробники можуть пом'якшити ці ризики, закріплюючи версії залежностей, перевіряючи цілісність пакетів, ізолюючи середовища збірки та переглядаючи оновлення перед розгортанням," сказала вона.
Переходячи до 2026 року, Ліза прогнозує, що найбільш значущі загрози, ймовірно, виникнуть з дедалі більш витончених операцій крадіжки облікових даних та соціальної інженерії.
Джерело: SlowMist"Зловмисники вже використовують згенеровані ШІ дипфейки, цільовий фішинг і навіть фальшиві тести для найму розробників, щоб отримати ключі гаманців, облікові дані хмарних сервісів та токени підпису. Ці атаки стають більш автоматизованими та переконливими, і ми очікуємо, що ця тенденція триватиме," сказала вона.
Щоб залишатися в безпеці, порада Лізи для організацій полягає у впровадженні сильного контролю доступу, ротації ключів, апаратної автентифікації, сегментації інфраструктури та виявлення аномалій та моніторингу.
Приватні особи повинні покладатися на апаратні гаманці, уникати взаємодії з неперевіреними файлами, перевіряти ідентичність через незалежні канали та ставитися обережно до непрошених посилань або завантажень.
Порада 3: підтвердження особистості для боротьби з ШІ дипфейками
Стівен Волброел, співзасновник та головний технічний директор блокчейн-компанії з кібербезпеки Halborn, прогнозує, що посилена ШІ соціальна інженерія відіграватиме значну роль у посібниках криптовалютних хакерів.
У березні щонайменше троє засновників криптовалютних компаній повідомили про зрив спроби від імовірних північнокорейських хакерів викрасти конфіденційні дані через фальшиві Zoom-дзвінки, які використовували дипфейки.
Волброел попереджає, що хакери використовують ШІ для створення дуже персоналізованих, контекстно-орієнтованих атак, які обходять традиційне навчання обізнаності з безпеки.
Для боротьби з цим він пропонує впровадити криптографічне підтвердження особистості для всіх критичних комунікацій, апаратну автентифікацію з біометричною прив'язкою, системи виявлення аномалій, які встановлюють базові нормальні шаблони транзакцій, та встановлення протоколів перевірки з використанням попередньо поділених секретів або фраз.
Порада 4: тримайте свою криптовалюту при собі
Атаки з використанням фізичного насильства, або фізичні напади на власників криптовалюти, також були помітною темою 2025 року, з щонайменше 65 зареєстрованими випадками, згідно зі списком GitHub Bitcoin OG та шифропанка Джеймсона Лоппа. Останній пік бичачого ринку в 2021 році був раніше найгіршим роком у записах, із загальною кількістю 36 зареєстрованих атак
Користувач X під ніком Бо, колишній офіцер ЦРУ, сказав у публікації X 2 грудня, що атаки з використанням фізичного насильства все ще відносно рідкісні, але він все одно рекомендує користувачам криптовалюти вживати запобіжних заходів, не розповідаючи про багатство або не розголошуючи криптовалютні активи або екстравагантний спосіб життя онлайн для початку.
Джерело: BeauВін також пропонує стати "важкою ціллю", використовуючи інструменти очищення даних для приховування приватної особистої інформації, такої як домашні адреси, та інвестуючи в домашній захист, такий як камери безпеки та сигналізації.
Порада 5: не економте на перевірених і надійних порадах з безпеки
Девід Швед, експерт з безпеки, який працював у Robinhood як головний директор з інформаційної безпеки, сказав, що його головна порада полягає в тому, щоб дотримуватися авторитетних компаній, які демонструють пильні практики безпеки, включаючи ретельні та регулярні сторонні аудити безпеки всього їх стеку, від смарт-контрактів до інфраструктури.
Однак, незалежно від технології, Швед сказав, що користувачі повинні уникати використання одного і того ж пароля для кількох облікових записів, обирати використання апаратного токена як методу багатофакторної автентифікації та захищати seed фразу, безпечно шифруючи її або зберігаючи офлайн у безпечному фізичному місці.
Він також радить використовувати спеціальний апаратний гаманець для значних активів та мінімізувати активи на біржах.
Пов'язане: Цільовий фішинг є головною тактикою північнокорейських хакерів: як залишатися в безпеці
"Безпека залежить від рівня взаємодії. Користувачі повинні залишатися надзвичайно пильними при підключенні апаратного гаманця до нового веб-додатка і повинні ретельно перевіряти дані транзакції, відображені на екрані апаратного пристрою перед підписанням. Це запобігає 'сліпому підписанню' шкідливих контрактів," додав Швед.
Ліза сказала, що її найкращі поради полягають у тому, щоб використовувати лише офіційне програмне забезпечення, уникати взаємодії з неперевіреними URL-адресами та розділяти кошти між гарячими, теплими та холодними конфігураціями.
Для протидії зростаючій витонченості шахрайств, таких як соціальна інженерія та фішинг, Перкоко з Kraken рекомендує "радикальний скептицизм" завжди, перевіряючи автентичність та припускаючи, що кожне повідомлення є тестом обізнаності.
"І одна універсальна істина залишається: жодна легітимна компанія, сервіс чи можливість ніколи не попросить вашу seed фразу або облікові дані для входу. У той момент, коли вони це роблять, ви розмовляєте з шахраєм," додав Перкоко.
Тим часом Волброел рекомендує генерувати ключі, використовуючи криптографічно безпечні генератори випадкових чисел, сувору сегрегацію між середовищами розробки та виробництва, регулярні аудити безпеки та планування реагування на інциденти з регулярними навчаннями.
Журнал: Коли закони про конфіденційність та AML конфліктують: неможливий вибір криптовалютних проєктів
Джерело: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
