Topp kryptohack 2025: incidenter som blottlade branschens svaga punkter

2025 var ett stort år för kryptoindustrin, men det kom som ett tveeggat svärd när man ser till helheten.

Å ena sidan mognade branschen vad gäller institutionell adoption, med ett rekordantal fusioner och förvärv.

Det fanns 267 affärer till ett totalt värde av 8,6 miljarder dollar, vilket gjorde det till ett lönsamt år för dem som låg på rätt sida av handeln.

Å andra sidan når förlusterna från hack och exploits rekordhöga nivåer, vilket visar hur långt utrymmet fortfarande har kvar på säkerhetsfronten.

Data från säkerhetsföretag som SlowMist och CertiK rapporterade att antalet säkerhetsincidenter minskade med 50 % år över år, från över 400 år 2024 till cirka 200 år 2025.

Men omfattningen av de ekonomiska förlusterna berättar en annan historia. Det totala antalet stulna medel ökade med 55 % jämfört med föregående år och steg till över 3,4 miljarder dollar.

Medan grundläggande säkerhetshygien, såsom rutinmässiga granskningar av smarta kontrakt och automatiserad buggupptäckt, framgångsrikt eliminerar de lågthängande frukter som amatörhackare brukade rikta in sig på, har attackernas natur fundamentalt förändrats.

Moderna angripare kastar inte längre ut ett brett nät efter små protokollsårbarheter.

Istället tillbringar professionella grupper, framför allt den nordkoreanska Lazarusgruppen, månader med spaning och infrastrukturinfiltration för att genomföra enskilda, katastrofala attacker.

Branschen står nu inför en kvalitetskris framför kvantitet, där färre attacker sker, men de som sker är betydligt mer skadliga.

När 2026 börjar följer en tillbakablick på fyra av de största säkerhetsincidenterna 2025, som blottlade många av branschens svaga punkter.

Bybit Exchange: 1,5 miljarder dollar

Årets största incident inträffade vid Dubai-baserade kryptobörs Bybit, vilket blev den största bekräftade stölden någonsin kopplad till Nordkoreas statligt stödda Lazarus Group.

Angripare tillbringade månader med att bygga förtroende med en utvecklare på Safe{Wallet}, en ledande leverantör av multisig-infrastruktur, innan de lyckades introducera ett skadligt Docker-projekt som tyst etablerade en bestående bakdörr.

Väl inne injicerade angriparna skadlig JavaScript i frontendkoden för Safe-plånboksgränssnittet som används av Bbits interna signeringsteam.

När Bytits chefer loggade in för att signera vad som verkade vara rutinmässiga interna transaktioner, visade användargränssnittet korrekta plånboksadresser och belopp.

På kodnivå byttes dock destinationsadressen tyst mot angriparstyrda plånböcker.

Ungefär 1,46 till 1,5 miljarder dollar i ETH dränerades, vilket påverkade ett stort antal användare som utsattes för ett av de allvarligaste säkerhetsbristerna branschen har sett.

Incidenten avslöjade en kritisk svaghet i branschen kring UI-förtroende och förstärkte att hårdvaruplånböcker och multisig-tröskelvärden erbjuder litet skydd om mjukvaruskiktet som presenterar transaktionsdetaljerna har komprometterats.

Och Bitcoin-val: 330 miljoner dollar

I april blev en Bitcoin-val från Satoshi-eran, som hållit sina mynt orörda i över ett decennium, offer för en förödande social engineering-attack som resulterade i förlusten av 3 520 BTC, värda cirka 330,7 miljoner dollar vid den tiden.

Händelsen blev inristad i historien som den största enskilda stölden i branschens historia, inramad av den kedjebaserade detektiven ZachXBT.

Till skillnad från attacker som riktar sig mot kod, beväpnade denna AI-drivna deepfakes och röstkloning för att kringgå offrets psykologiska försvar under flera månader.

Gärningsmännen, som misstänktes vara ett organiserat syndikat som drevs från ett sofistikerat callcenter i Camden, Storbritannien, med alias som "Nina" och "Mo", byggde upp en falsk trygghet med det äldre offret genom att utge sig för att vara betrodda juridiska och tekniska rådgivare.

Till slut hänvisade angriparna offret till en falsk "säkerhetsverifierings"-portal som efterliknade en välkänd plånboksleverantörs officiella supportsida, där offret manipulerades att ange sina privata uppgifter eller signera en specifik transaktion på sin hårdvaruenhet under förevändning av en "kontouppgradering." Pengarna flyttades omedelbart.

Medel tvättades snabbt genom "peel chains" och omvandlades till integritetsmyntet Monero (XMR), vilket orsakade en prisökning på 50 % på Monero på grund av den plötsliga, massiva efterfrågan.

Händelsen avslöjade slutligen den extrema sårbarheten hos förmögna individer utan institutionella vårdnadstjänster, och visade att ingen mängd kryptering kan skydda tillgångar om det mänskliga lagret manipuleras effektivt.

Cetusprotokollets exploatering: 223 miljoner dollar

Cetus-protokollet, som är den största decentraliserade börsen på Sui-nätverket , utnyttjades i maj på grund av ett tekniskt fel i dess smartkontraktslogik.

Exploatören identifierade en kritisk aritmetisk brist i ett delat öppen källkodsbibliotek för matematik som användes för likviditetsberäkningar, vilket gjorde det möjligt för dem att dränera ungefär 223 miljoner dollar i likviditetstillgångar.

Specifikt var funktionen utformad för att säkert skala fixpunktstal genom att flytta dem åt vänster med 64 bitar.

Den innehöll dock ett logiskt fel i sin överflödeskontroll. Jämförelsen använde en mask som var för stor, vilket möjliggjorde bitvisa skiften som borde ha avvisats.

Genom att använda ett flash-lån för att skapa en likviditetsleverantörsposition med ett extremt smalt tickintervall utlöste angriparen ett aritmetiskt överflöde, mer exakt en bitvis trunkering, vilket gjorde att kontraktet beräknade en nödvändig insättning på endast 1 enhet av en token samtidigt som angriparen krediterades med massiv likviditet.

Angriparen tog sedan helt enkelt bort likviditeten och hävdade poolens reala reserver baserat på den falskt uppblåsta redovisningen.

Även om Sui-validerarna lyckades samordna en nödstopp på 162 miljoner dollar av tillgångarna innan de kunde överbryggas, förblev nettoförlusten en av de största under 2025.

Det bevisade för det decentraliserade finansekosystemet att moderna, säkerhetsinriktade språk som Move inte är immuna mot matematiska buggar, och förstärkte att matematisk stringens fortfarande är ett icke-förhandlingsbart krav i protokolldesign.

Balancer V2: 128 miljoner dollar

Balancer drabbades av en sofistikerad ekonomisk ingenjörsexploit över flera kedjor (Ethereum, Arbitrum och Base) i november, då en angripare lyckades använda en liten avvikelse i hur protokollet hanterade precisionsavrundning under interna swaps.

Balancers Composable Stable Pools använde olika avrundningsriktningar för upp- och nedskalning av tokenbelopp för att skydda protokollets Invariant, som fungerar som det matematiska ankare för StableSwap-algoritmen och säkerställer att poolen upprätthåller ett konstant totalvärde och jämvikt under tillgångsbyten.

Angriparen upptäckte att genom att flytta poolbalanser till ett specifikt 8 till 9 Wei-intervall kunde de få heltalsdivisionen att sjunka upp till 10 % av värdet genom avrundningsfel nedåt.

Därefter, med hjälp av ett automatiserat kontrakt, initierade angriparen en enda transaktion som innehöll över 65 mikroswappar.

Varje byte skalade upprepade gånger bort några Wei i värde, vilket ökade precisionsförlusten tills poolens interna bokföring var helt förvrängd.

Som ett resultat kunde de dra nytta av den sammansatta precisionsförlusten tills poolens interna redovisning var helt förvrängd, varefter de kunde prägla LP-tokens till ett undertryckt pris och omedelbart lösa in dem till fullt värde, vilket extraherade miljoner utan att utlösa några av protokollets säkerhetskontroller.