Человекоориентированные атаки теперь являются самой опасной угрозой Web3, сообщает отчет.

Источник: CryptoNewsNet Оригинальное название: Атаки на людей теперь являются самой опасной угрозой Web3, согласно отчету Оригинальная ссылка: Недавний отчет компании Kerberus, фирмы по безопасности Web3, указывает на то, что человеческое поведение теперь является основным риском в Web3. Генеральный директор компании, Алекс Кац, и технический директор, Данор Коэн, поделились мнением о том, почему пользователи продолжают становиться жертвами атак и что они могут сделать, чтобы лучше защитить себя.

Человеческая ошибка приводит к значительным потерям в Web3

В своем последнем отчете под названием “Человеческий фактор – Защита в реальном времени является незаслуженно игнорируемым уровнем кибербезопасности Web3 (2025),” Kerberus раскрыла, что атаки, ориентированные на человека, были самым структурно опасным вектором в Web3.

В отчете приводятся данные, показывающие, что значительная доля убытков в отрасли возникает из-за ошибок пользователей. Примерно 44% краж криптовалюты в 2024 году произошло из-за неправильного управления приватными ключами. Другие исследования показывают, что человеческая ошибка участвует приблизительно в 60% случаев нарушения безопасности.

С 820 миллионами активных кошельков в 2025 году угроза быстро расширяется, и все остаются под риском. Кац отметил, что злоумышленники нацеливаются как на новичков, так и на опытных пользователей, но по совершенно разным причинам.

“Новые пользователи привлекательны, потому что они еще не понимают, как выглядит 'нормальное' поведение в Web3,” сказал он.

Интересно, что давние пользователи становятся все более ценными целями по сравнению с новичками. По его словам:

“Пользователи с опытом взаимодействуют с гораздо большим количеством dApps, подписывают больше транзакций и перемещают большие суммы. Это означает, что один момент самодовольства может нанести гораздо больший ущерб. Таким образом, группа, находящаяся в наибольшем риске сегодня, это любой, кто предполагает, что он не подвержен риску.”

Коэн добавил, что одно из самых больших заблуждений в Web3 – это убеждение, что сбои в безопасности возникают из-за того, что пользователи не понимают технологии. Его анализ указывает в противоположном направлении. Люди подвергаются атакам, потому что система возлагает на них нереалистичное бремя.

“Пользователи думают: 'Я слишком умный, чтобы попасться, я знаю, как работают кошельки — я в безопасности.' Но угроза меняется быстрее, чем пользователи. Злоумышленники не пытаются перехитрить ваш кошелек; они пытаются перехитрить вас. И они очень хороши в этом. Что люди неправильно понимают, так это то, что Web3 накладывает огромную когнитивную нагрузку на человека. Пользователи не должны разгадывать технические сигналы, чтобы оставаться в безопасности — безопасность должна работать для них автоматически.”

Почему умные пользователи Web3 продолжают терять деньги

Эти риски, связанные с человеческим фактором, продолжают существовать, несмотря на рекордные расходы на безопасность в 2025 году. В отчете Kerberus говорится, что услуги, связанные с криптовалютой, и инвесторы потеряли более 3,1 миллиарда долларов из-за взломов и мошенничества в первой половине года. Это уже больше, чем общая сумма за весь 2024 год.

Это число включает в себя историческую утечку на крупной бирже. Исключая это, атаки, нацеленные на людей, такие как фишинг и социальная инженерия, все еще составили $600 миллионов, что составляет 37% от оставшихся 1,64 миллиарда долларов убытков.

В отчете отмечается, что эти атаки масштабируются с растущей адаптацией и полностью обходят технические защиты. Это усложняет предотвращение таких атак традиционными моделями безопасности.

Хотя компании активно инвестируют в аудиты, мониторинг и проверки кода, злоумышленники все чаще эксплуатируют пользователей напрямую на уровне транзакций. Но что делает людей такими уязвимыми к этим атакам?

“Люди уязвимы, потому что каждая схема мошенничества разработана для того, чтобы использовать естественные психологические укорочения — срочность, авторитет, знакомство, страх упустить что-то важное или комфорт с рутиной. Это не недостатки; это те же инстинкты, которые позволяют нам функционировать в повседневной жизни. Технологии сами по себе не могут изменить человеческую психологию, но могут поймать момент, когда психологию используют как оружие,” детализировал Коэн.

Он подчеркнул, что самой надежной формой защиты является не полагание на пользователей в избежании ошибок только через обучение, а предотвращение вредоносных действий в реальном времени до того, как произойдет ущерб.

“Вот почему так важна реальная оценка. Если вы сможете предупредить пользователя в тот самый момент, когда его доверие манипулируется, вы сможете остановить большинство потерь до их возникновения.”

Исполнительный директор отметил, что нереалистично ожидать, что обычный пользователь сможет отличить вредоносное dApp,airdrop или страницу для чеканки. Современные мошеннические платформы часто очень похожи на законные, что делает их практически неразличимыми.

Пользователи могут многократно нажимать на фишинговые ссылки не из-за неосторожности, а потому что атаки намеренно созданы для обмана. Даже предупреждения в реальном времени иногда могут казаться ложными срабатываниями, подчеркивая сложный характер этих мошенничеств.

“Пользователей не следует ожидать, что они будут проводить судебные экспертизы. Бремя должно лечь на инструменты, которые анализируют намерения и поведение в реальном времени,” предложил Коэн.

В отчете также говорится, что эти атаки используют моменты, когда пользователи наименее способны оценить угрозы. Это может произойти, когда кто-то проверяет свой кошелек, будучи отвлеченным на работе, реагирует на срочное сообщение, утверждающее, что его аккаунт будет заморожен, или одобряет транзакцию в конце долгого дня, когда они уставшие.

Согласно выводам, реакция отрасли в значительной степени заключалась в добавлении большего количества предупреждений и этапов проверки. Но этот подход часто имеет обратный эффект из-за “усталости от безопасности”. Поскольку пользователи привыкают к постоянным предупреждениям, многие из которых являются ложными тревогами, которые просто замедляют их, их способность принимать взвешенные решения уменьшается под постоянным когнитивным давлением.

3 действия, которые пользователи могут предпринять для повышения безопасности

Чтобы уменьшить реальные потери, Кац раскрыл три практики, которые пользователи могут принять:

• Приостановите перед подписанием: Большинство компромиссов происходит менее чем за десять секунд. Даже краткий момент для прочтения запроса или подтверждения того, соответствует ли запрос предполагаемому действию, может предотвратить большую долю успешных атак.
• Отделите высокоценные активы от повседневной деятельности: Использование нескольких кошельков остается одним из самых эффективных средств защиты. Пользователи должны хранить свои долгосрочные активы в холодном или малозатрагиваемом кошельке и использовать отдельный кошелек для исследований, мятов и dApps. Эта компартментализация ограничивает потенциальный ущерб.
• Полагайтесь на защиту транзакций в реальном времени: Поскольку многие угрозы связаны с социальным инженерингом, а не с техническими уязвимостями, пользователи получают выгоду от инструментов, которые интерпретируют действия в блокчейне до их завершения. Этот единственный уровень защиты блокирует многие из более сложных мошенничеств.

Он подчеркнул, что намерение не в том, чтобы превращать пользователей в экспертов по безопасности, а в том, чтобы создать защитные механизмы, которые предотвратят превращение ошибок в финансовые потери.