Top kryptohacks i 2025: hændelser, der afslørede branchens svage punkter

2025 var et stort år for kryptoindustrien, men det kom som et tveægget sværd, når man ser på det større billede.

På den ene side modnedes branchen med hensyn til institutionel adoption med et rekordstort antal fusioner og opkøb.

Der var 267 handler til en samlet værdi af 8,6 milliarder dollars, hvilket gjorde det til et profitabelt år for dem, der befandt sig på den rigtige side af handlen.

På den anden side når tabene fra hacks og exploits et rekordhøjt niveau, hvilket afslører, hvor langt der stadig er tilbage at gå på sikkerhedsfronten.

Data fra sikkerhedsfirmaer som SlowMist og CertiK rapporterede, at antallet af sikkerhedshændelser faldt med 50 % år-til-år, fra over 400 i 2024 til cirka 200 i 2025.

Men omfanget af de økonomiske tab fortæller en anden historie. Det samlede antal stjålne midler steg med 55 % sammenlignet med året før og steg til over 3,4 milliarder dollars.

Selvom grundlæggende sikkerhedshygiejne, såsom rutinemæssige smart contract-revisioner og automatiseret fejlopdagelse, med succes eliminerer de lavthængende frugter, som amatørhackere tidligere gik efter, har angrebenes karakter grundlæggende ændret sig.

Moderne angribere kaster ikke længere et bredt net efter små protokolsårbarheder.

I stedet bruger professionaliserede grupper, især den nordkoreanske Lazarus-gruppe, måneder på rekognoscering og infrastrukturinfiltration for at udføre enkelte, katastrofale angreb.

Branchen står nu over for en kvalitetskrise frem for kvantitet, hvor færre angreb finder sted, men de angreb, der sker, er langt mere skadelige.

Når 2026 begynder, er her et tilbageblik på fire af de største sikkerhedshændelser i 2025, som afslørede mange af branchens svage punkter.

Bybit Exchange: 1,5 milliarder dollars

Årets største hændelse fandt sted på det Dubai-baserede kryptobørs Bybit, som blev det største bekræftede tyveri nogensinde forbundet med Nordkoreas statsstøttede Lazarus Group.

Angriberne brugte måneder på at opbygge tillid til en udvikler hos Safe{Wallet}, en førende multisig-infrastrukturudbyder, før de formåede at introducere et ondsindet Docker-projekt, der stille og roligt etablerede en vedvarende bagdør.

Når de var inde, injicerede angriberne ondsindet JavaScript i frontend-koden til Safe wallet-grænsefladen, som blev brugt af Bbits interne signeringsteam.

Mens Bybit-ledere loggede ind for at underskrive, hvad der så ud til at være rutinemæssige interne transaktioner, viste brugergrænsefladen korrekte wallet-adresser og -beløb.

På kodeniveau blev destinationsadressen dog lydløst byttet ud med angriberstyrede wallets.

Cirka 1,46 til 1,5 milliarder dollars i ETH blev drænet, hvilket påvirkede et stort antal brugere, der blev udsat for en af de mest alvorlige sikkerhedsfejl, branchen har set.

Hændelsen afslørede et kritisk svagt punkt i branchen omkring UI-tillid og understregede, at hardware-wallets og multisig-tærskler giver ringe beskyttelse, hvis softwarelaget, der præsenterer transaktionsdetaljerne, er blevet kompromitteret.

Og Bitcoin-hval: 330 millioner dollars

Tilbage i april blev en Bitcoin-hval fra Satoshi-æraen, som havde holdt deres mønter urørt i over et årti, offer for et ødelæggende socialt engineering-angreb, der resulterede i tabet af 3.520 BTC, til en værdi af cirka 330,7 millioner dollars på det tidspunkt.

Hændelsen blev skrevet ind i historien som det største individuelle tyveri i branchens historie, som blev indrammet af den on-chain detektiv ZachXBT.

I modsætning til angreb, der målretter kode, har dette våben AI-drevne deepfakes og stemmekloning for at omgå offerets psykologiske forsvar over en periode på flere måneder.

Gerningsmændene, der mistænkes for at være et organiseret syndikat fra et sofistikeret callcenter i Camden, Storbritannien, under aliaser som "Nina" og "Mo", opbyggede en falsk tryghed hos det ældre offer ved at udgive sig for betroede juridiske og tekniske rådgivere.

Til sidst henviste angriberne offeret til en falsk "sikkerhedsverifikations"-portal, der efterlignede en velkendt wallet-udbyders officielle supportside, hvor offeret blev manipuleret til at indtaste sine private legitimationsoplysninger eller underskrive en specifik transaktion på sin hardwareenhed under dække af en "kontoopgradering." Midlerne blev straks flyttet.

Midler blev hurtigt hvidvasket gennem "peel chains" og omdannet til privatlivsmønten Monero (XMR), hvilket forårsagede en prisstigning på 50% i Monero på grund af den pludselige, massive efterspørgsel.

Hændelsen afslørede i sidste ende den ekstreme sårbarhed hos velhavende personer, der mangler institutionel forvaltningsservice, og viste, at ingen mængde kryptering kan beskytte aktiver, hvis det menneskelige lag effektivt manipuleres.

Cetus-protokollens udnyttelse: 223 millioner dollars

Cetus-protokollen, som er den største decentraliserede udveksling på Sui-netværket, blev udnyttet i maj på grund af en teknisk fejl i dens smart contract-logik.

Udnytteren identificerede en kritisk regnefejl i et delt open source-matematikbibliotek, der blev brugt til likviditetsberegninger, hvilket gjorde det muligt for dem at tømme cirka 223 millioner dollars i likviditetsaktiver.

Specifikt var funktionen designet til sikkert at skalere fastpunkttal ved at flytte dem 64 bit til venstre.

Dog indeholdt den en logikfejl i overflow-tjekket. Sammenligningen brugte en maske, der var for stor, hvilket tillod bitvise skift, der burde være blevet afvist.

Ved at bruge et flash-lån til at oprette en likviditetsudbyderposition med et ekstremt snævert tick-interval, udløste angriberen et aritmetisk overflow, mere præcist en bitvis afskæring, som fik kontrakten til at beregne et krævet depositum på kun 1 enhed af en token, mens angriberen stadig blev krediteret med massiv likviditet.

Angriberen fjernede derefter blot likviditeten og gjorde krav på puljens reelle reserver baseret på den falsk oppustede regnskab.

Selvom Sui-validatorerne formåede at koordinere en nødstop på 162 millioner dollars af aktiverne, før de kunne udbygges, forblev nettotabet stadig et af de største i 2025.

Det beviste for det decentraliserede finansøkosystem, at moderne, sikkerhedsorienterede sprog som Move ikke er iboende immune over for matematiske fejl, og understregede, at matematisk stringens stadig er et ikke-forhandlingsbart krav i protokoldesign.

Balancer V2: 128 millioner dollars

Balancer blev i november udsat for en sofistikeret økonomisk ingeniørudnyttelse på tværs af flere kæder (Ethereum, Arbitrum og Base), da en angriber formåede at bruge en lille uoverensstemmelse i, hvordan protokollen håndterede præcisionsafrunding under interne swaps.

Balancers Composable Stable Pools benyttede forskellige afrundingsretninger til op- og nedskalering af tokenbeløb for at beskytte protokollens Invariant, som fungerer som det matematiske anker for StableSwap-algoritmen og sikrer, at puljen opretholder en konstant samlet værdi og ligevægt under aktivudvekslinger.

Angriberen opdagede, at ved at presse puljebalancer ind i et specifikt 8 til 9 Wei-interval, kunne de få heltalsdivisionen til at falde op til 10 % af værdien gennem afrundingsfejl.

Efterfølgende initierede angriberen ved hjælp af en automatiseret kontrakt en enkelt transaktion med over 65 mikroswaps.

Hver byttehandel skar gentagne gange nogle Wei af værdi, hvilket forstærkede præcisionstabet, indtil puljens interne regnskab var fuldstændig forvrænget.

Som følge heraf kunne de udnytte det sammensatte præcisionstab, indtil puljens interne regnskab var fuldstændig forvrænget, hvorefter de kunne præge LP-tokens til en undertrykt pris og indløse dem øjeblikkeligt til deres fulde værdi, hvilket udtrak millioner uden at udløse nogen af protokollens sikkerhedskontroller.