Ang 2025 ay naging mapanakit na taon para sa cybersecurity sa digital assets, na nagtapos sa mahigit $3.4 bilyon na crypto na ninakaw sa daan-daang insidente. Ayon sa mga independenteng tala, higit sa 300 malalaking insidente ng seguridad ang naitala sa taon. Hindi bababa sa North Korean hackers ang itinurong responsable sa malaking bahagi ng mga pagnanakaw na ito, partikular sa kaso ng pag-hack sa Bybit.
Narito na ang 2025 Skynet Hack3d Report.
$3.35B ang nawala. 700+ na insidente. Bagong paraan ng pag-atake. Mga pangunahing trend.
Kunin ang pinaka-detalye na pagsusuri ng seguridad ng Web3 sa 2025, mula sa mga exploit hanggang sa mga insight.
Basahin ang buong ulat👇
— CertiK (@CertiK) Disyembre 23, 2025
Nasa ibaba ang limang pinakamalalaking pagnanakaw ng 2025, kabilang ang isa na pangunahing ginamitan ng social engineering.
Bybit: $1.5b (Pebrero 2025)
Itinuro ng mga awtoridad ng U.S. ang pinakamalaking crypto theft sa kasaysayan sa Lazarus Group ng North Korea. Ayon sa mga imbestigador, nakuha ng mga umaatake ang kontrol ng isang cold ETH wallet, at mabilis na nilabhan ang mga pondo sa iba’t ibang chain gamit ang BTC at iba pang currency. Ayon sa mga pahayag ng exchange at forensic analysis, malaking bahagi ng mga pondo ay dinaan sa THORChain at hinati-hati sa sampu-sampung libong address.
Ayon sa isang ulat ng Crystal Intelligence, ang pag-atake sa Bybit ay isang sofisticadong operasyon na kinompromiso ang frontend nito, dahilan upang malinlang ang mga empleyado na akala nila ay lehitimong transaksyon ang kanilang pinipirmahan. Katulad na paraan ang ginamit sa pag-hack sa WazirX at Phemex.
Matapos ang insidente, naglunsad ang Bybit ng 10% recovery bounty at kumuha ng mga blockchain investigator upang tumulong i-freeze ang mga ninakaw na pondo. Natrack ang ilang bahagi, ngunit karamihan ay nananatiling gumagalaw.
Cetus DEX (Sui): $220m (Mayo)
Ang pinakamalaking DEX at liquidity provider ng Sui, ang Cetus, ay nawalan ng $220 milyon sa loob lamang ng 15 minuto. Ayon sa Merkle Science, hindi smart contract vulnerability ang na-exploit ng mga hacker, na karaniwan sa industriya. Sa halip, napakinabangan nila ang isang rounding bug sa third-party math library na ginagamit para sa liquidity at pricing calculation.
Isang umaatake ang nang-abuso sa rounding/MSB-check flaw upang manipulahin ang pool parameters at kunin ang mga asset. Agad na kumilos ang mga team upang i-pause ang mga kontrata at kalaunan ay iniulat na humigit-kumulang $160 milyon ang na-freeze o narekober.
Gayunpaman, higit $60M ang nanatiling nanganganib. Ito ang pinakamalaking DeFi exploit ng taon at pansamantalang pinahinto ang trading sa Sui ecosystem.
Balancer: $116m (Nobyembre)
Isang breach sa Balancer, isang kilalang DeFi protocol, ang unang napansin ng mga crypto sleuths sa X. Isang umaatake ang nag-exploit ng rounding bug sa stable pool logic ng Balancer V2 sa Ethereum at ilang L2s at sidechains. Kinumpirma ng Balancer ang teknikal na sanhi ng insidente.
Ang paunang tantiya ng pagkalugi ay halos $120 milyon, karamihan ay sa Ethereum mainnet. Bukod dito, isang dormant whale ang nag-withdraw ng $6.5 milyon matapos ang pag-hack. Ang Total Value Locked (TVL) ng Balancer ay nabawasan ng kalahati mula $442 milyon pababa sa $214.5 milyon sa loob ng isang araw.
Gayunpaman, ayon sa Crystal Intelligence, karamihan ng mga pondo ay natrack. Mahigpit na mino-monitor ngayon ang mga wallet para sa posibleng mga transaksyon upang ma-freeze ang mga ninakaw na pondo.
Phemex (CEX): $73m (Enero)
Ang Phemex, isang centralized exchange (CEX) na nakabase sa Singapore, ay na-kompromiso ang hot-wallet sa 16 na chain. Natukoy ng mga security firm ang dose-dosenang kahina-hinalang paglabas ng pondo mula sa Phemex hot wallets sa iba’t ibang major networks.
Ito ang unang malaking hack ng 2025 na yumanig sa komunidad. Si ZachXBT, isang kilalang eksperto sa X na kasali sa imbestigasyon ng Bybit, ang nagpatunay na ang mga pag-atake sa Phemex at Bybit ay isinagawa ng Lazarus at gumamit ng magkatulad na mga address.
Kakakonekta lang ng Lazarus Group ang Bybit hack sa Phemex hack direkta on-chain, pinagsama-sama ang pondo mula sa initial theft address ng parehong insidente.
Overlap address:
0x33d057af74779925c4b2e720a820387cb89f8f65Bybit hack txns noong Peb 22, 2025:…
— ZachXBT (@zachxbt) Pebrero 22, 2025
Matapos ang insidente, tuluyang itinigil ng kumpanya ang deposito at withdrawal, ngunit pagsapit ng Pebrero, ganap nang naibalik ang serbisyo na may dagdag na seguridad.
Upbit (CEX): mahigit $30m (Nobyembre)
Ang pinakamalaking exchange sa South Korea, ang Upbit, ay nag-ulat ng pag-hack noong Nobyembre, na may kabuuang epekto na 44.5 bilyong won (tinatayang $34 milyon). Pinunan ang mga kliyente mula sa reserba, habang 5.9B won ($4 milyon) mula sa pondo ng Upbit corporate ang nawala. Maliit na bahagi na $1.77 milyon ang na-freeze sa pamamagitan ng tracing.
Itinigil ng Upbit ang Solana flows, inilipat ang mga pondo sa cold storage, nagtulungan sa issuers/exchanges para sa freeze, at unti-unting muling binuksan ang mga wallet gamit ang bagong deposit address. Kahit na na-refund ang mga customer, itinampok ng insidente ang panganib ng konsentrasyon sa CeFi.
2025 Crypto Hacks sa Mga Numero
- Kabuuang nanakaw: $3.3-3.4 bilyon (ang range ay nagpapakita ng pagkakaiba-iba sa methodologies ng Chainalysis at Beosin/Footprint).
- Bilang ng mga insidente: ~313 malalaking kaso (Beosin/Footprint).
- H1 snapshot: humigit-kumulang $2.5 bilyon ang nanakaw sa mahigit 300 insidente. Ayon kay CertiK, lumampas na ito sa kabuuan ng 2024.
- Karaniwang pag-atake: mga kinompromisong wallet at phishing/social engineering ang pangunahing sanhi.
- Mga target na platform: Ilang infrastructure-level na pag-atake ang nangibabaw sa pagkalugi (hal., Bybit), habang mas marami pa ring DeFi incidents ngunit mas maliit ang pagkalugi kada insidente.
🛡️ Masaya ang Beosin na ilabas ang 2025 Global Web3 Security Report!
🔍 Mga Pangunahing Highlight:
Noong 2025, umabot sa $3.375 bilyon ang kabuuang pagkalugi sa Web3 ecosystem mula sa hacks, #phishing scams, at rug pulls sa 313 malalaking security incidents.Malalaking Insidente: Ang pinakamalaking single loss…
— Beosin 🛡 Web3 Security & Compliance (@Beosin_com) Disyembre 29, 2025
Bakit Mas Naging Mahalaga ang Social Engineering
Sa pangkalahatan, napansin ng mga security firm ang pag-shift patungo sa human-factor at supply-chain compromises. Lumipat ang mga hacker mula sa poisoned frontends at multisig UI tricks patungo sa executive impersonation at pagnanakaw ng susi, kaya nabawasan ang bahagi ng mga pure solidity bug. Ang mga pinakamalaking pagkalugi sa 2025 ay dulot ng access-control failures, hindi ng bagong on-chain math.
Sumali si Yana Khlebnikova sa CoinSpeaker bilang editor noong Enero 2025, matapos ang mga naunang trabaho sa Techopedia, crypto.news, Cointelegraph, at CoinMarketCap, kung saan pinahusay niya ang kanyang kaalaman sa cryptocurrency journalism.
