Згідно з доповіддю, атаки, націлені на людей, тепер є найбільшою небезпекою для Web3.

Джерело: CryptoNewsNet Оригінальна назва: Атаки, націлені на людину, тепер є найбільшою небезпекою для Web3, стверджує звіт Оригінальне посилання: Останній звіт компанії Kerberus, фірми з безпеки Web3, свідчить про те, що людська поведінка тепер є основним ризиком у Web3. Генеральний директор компанії, Алекс Кац, та технічний директор, Данор Коен, поділилися думками про те, чому користувачі продовжують ставати жертвами атак і що вони можуть зробити, щоб краще захистити себе.

Людська помилка викликає великі втрати в Web3

У своєму останньому звіті під назвою “Людський фактор — захист у реальному часі є непомітним шаром кібербезпеки Web3 (2025),” Kerberus виявив, що атаки, орієнтовані на людей, були найструктурно небезпечнішим вектором у Web3.

Звіт наводить дані, які свідчать про те, що значна частка втрат в індустрії виникає через помилки користувачів. Приблизно 44% крадіжок криптовалюти у 2024 році стали наслідком неправильного управління приватними ключами. Інше дослідження вказує на те, що людський фактор відіграє роль приблизно в 60% випадків порушення безпеки.

З 820 мільйонами активних гаманців у 2025 році, загроза швидко розширюється, і кожен залишається під ризиком. Кац зазначив, що зловмисники націлюються як на новачків, так і на досвідчених користувачів, але з зовсім різних причин.

“Нові користувачі привабливі, тому що вони ще не розуміють, якою має бути 'нормальна' поведінка в Web3,” сказав він.

Цікаво, що давні користувачі стають все більш цінними мішенями в порівнянні з новачками. За його словами:

“Ветерани користувачі взаємодіють з набагато більшою кількістю dApp, підписують більше транзакцій і переміщують більші суми. Це означає, що одна мить самовдоволення може завдати набагато більшої шкоди. Отже, група, яка сьогодні найбільше піддається ризику, - це будь-хто, хто вважає, що він не піддається ризику.”

Коен додав, що однією з найбільших помилок у Web3 є віра в те, що збої безпеки виникають через те, що користувачі не розуміють технології. Його аналіз вказує в протилежному напрямку. Люди стають жертвами хакерських атак, оскільки система покладає на них нездійсненне навантаження.

“Користувачі думають: 'Я надто розумний, щоб потрапити на гачок, я знаю, як працюють гаманці - я в безпеці.' Але ландшафт загроз змінюється швидше, ніж користувачі. Зловмисники не намагаються обманути ваш гаманець; вони намагаються обманути вас. І вони в цьому надзвичайно хороші. Те, що люди неправильно розуміють, це те, що Web3 накладає величезний когнітивний тягар на особу. Користувачі не повинні розшифровувати технічні сигнали, щоб залишатися в безпеці - безпека повинна працювати для них автоматично.”

Чому розумні користувачі Web3 продовжують зазнавати втрат

Ці ризики, що виникають через людський фактор, залишаються, незважаючи на рекордні витрати на безпеку у 2025 році. Звіт Kerberus вказав, що послуги, пов'язані з криптовалютою, та інвестори втратили понад 3,1 мільярда доларів через зломи та шахрайство в першій половині року. Це вже більше, ніж загальна сума за весь 2024 рік.

Ця цифра включає в себе історичний витік на великій біржі. Якщо не враховувати це, атаки, націлені на людей, такі як фішинг та соціальна інженерія, все ще становили $600 мільйон, що представляє 37% від залишків $1,64 мільярда збитків.

У звіті зазначено, що ці атаки зростають зі зростанням впровадження та повністю обминають технічні засоби захисту. Це ускладнює традиційним моделям безпеки їхнє запобігання.

Хоча компанії значно інвестують в аудити, моніторинг та перевірки коду, зловмисники все частіше безпосередньо експлуатують користувачів на рівні транзакцій. Але що робить людей такими вразливими до цих атак?

“Люди вразливі, оскільки кожен шахрайство розроблено для використання природних психологічних скорочень — терміновість, авторитет, знайомство, страх пропустити можливість або комфорт з рутинними справами. Це не недоліки; це ті ж інстинкти, які дозволяють нам функціонувати в повсякденному житті. Технології самі по собі не можуть змінити людську психологію, але вони можуть зафіксувати момент, коли психологію використовують як зброю,” - детально пояснив Коен.

Він підкреслив, що найсильнішою формою захисту є не покладання на користувачів у уникненні помилок лише через освіту, а скоріше зупинка шкідливих дій в реальному часі до того, як завдано шкоди.

“Ось чому важливе виявлення в реальному часі. Якщо ви можете попередити користувача в той самий момент, коли його довіра маніпулюється, ви можете зупинити більшість втрат до того, як вони стануться.”

Керівник зазначив, що нереалістично очікувати, що звичайний користувач зможе розрізнити шкідливий dApp, аірдроп або сторінку для випуску. Сучасні шахрайські платформи часто дуже схожі на легітимні, що робить їх майже невідрізнюваними.

Користувачі можуть неодноразово натискати на фішингові посилання не через недбалість, а тому що атаки спеціально створені для обману. Навіть сповіщення в реальному часі іноді можуть здаватися хибнопозитивними, що підкреслює розвинений характер цих шахрайств.

“Користувачі не повинні очікувати, що їм доведеться виконувати судові перевірки. Відповідальність має перейти на інструменти, які аналізують наміри та поведінку в реальному часі,” - запропонував Коен.

Звіт також зазначає, що ці атаки використовують моменти, коли користувачі найменше здатні оцінити загрози. Це може статися, коли хтось перевіряє свій гаманець, будучи відволіканим на роботі, реагує на термінове повідомлення, що стверджує, що їхній акаунт буде заморожено, або підтверджує трансакцію наприкінці довгого дня, коли вони виснажені.

Згідно з висновками, реакція індустрії в основному полягала в додаванні більше попереджень і етапів перевірки. Але цей підхід часто має зворотний ефект через “втомленість від безпеки”. Коли користувачі звикають до постійних сповіщень—багато з яких є хибними тривогами, які просто уповільнюють їх—їхня здатність приймати обережні рішення зменшується під постійним когнітивним тиском.

3 Дії, які можуть вжити користувачі для підвищення безпеки

Щоб зменшити реальні втрати, Кац розкрив три практики, які користувачі можуть прийняти:

• Пауза перед підписанням: Більшість компромісів відбувається менш ніж за десять секунд. Навіть короткий момент, щоб прочитати підказку або підтвердити, чи відповідає запит запланованій дії, може запобігти значній частині успішних атак.
• Відокремлення активів високої вартості від щоденної діяльності: Використання кількох гаманців залишається одним із найбільш ефективних засобів захисту. Користувачі повинні зберігати свої довгострокові активи в холодному або малоконтактному гаманці та використовувати окремий гаманець для досліджень, ментів та dApps. Це розподілення обмежує потенційні збитки.
• Покладайтеся на захист транзакцій у реальному часі: Оскільки багато загроз пов'язані з соціальною інженерією, а не з технічними експлуатаціями, користувачі отримують вигоду від інструментів, які інтерпретують дії в мережі до їх фіналізації. Цей єдиний рівень захисту блокує багато більш просунутих шахрайств.

Він підкреслив, що намір полягає не в тому, щоб перетворити користувачів на експертів з безпеки, а в тому, щоб створити бар'єри, які запобігають перетворенню помилок на фінансові втрати.