Raport o bezpieczeństwie BNBChain 2025

Zastrzeżenie

Dane finansowe podane tutaj są dokładne na podstawie naszego własnego systemu monitorowania i na podstawie kwoty w $USD kryptowaluty zaangażowanej w momencie incydentu. Z powodu zmieniającej się ceny kryptowalut całkowita strata może różnić się od bieżących wycen tokenów.

Ponadto dane finansowe mogą nie odzwierciedlać w pełni prawdziwej "wykorzystanej kwoty" incydentu. Dotyczy to w szczególności oszustw, w których całkowita kwota oszustwa jest zwykle mieszana z początkową kwotą bazową wprowadzoną przez stronę projektu oszustwa.

Kluczowa wiadomość

1. Po raz trzeci z rzędu straty z powodu haków i oszustw na BNB Chain zmniejszyły się, co odzwierciedla ciągłe ulepszenia w środkach bezpieczeństwa.

2. Łącznie 61 milionów dolarów stracono w 120 incydentach bezpieczeństwa w 2025 roku.

3. To oznacza spadek o 3% w kwocie straty i 20% w liczbie incydentów w porównaniu do 2024 roku.

4. Wrzesień przyniósł największe straty, z 23,5 miliona dolarów w 11 incydentach.

5. Q3 był najdroższym kwartałem, osiągając 30 milionów dolarów z 31 incydentów.

6. Najbardziej finansowo szkodliwy wektor ataku należy do Strat Ludzkich (Phishing / Inżynieria Społeczna / Kompromitacje Klucza Prywatnego), z 30 milionami dolarów straty.

7. BSC zajmuje 6. miejsce pod względem całkowitych strat wśród łańcuchów, reprezentując 2,2% całkowitych strat w Web3. Pierwsze miejsce zajęło Ethereum, reprezentując 66% całkowitych strat, z 1,87 miliarda dolarów strat w 207 incydentach.

Przegląd

BNB Chain ewoluował znacznie dalej, niż w swoich wczesnych dniach, ustanawiając się jako najczęściej używany łańcuch Layer 1 w Web3. Znany jako "łańcuch ludzi", dostarcza szybkie, niskokosztowe transakcje, które napędzają codzienny DeFi, gry i płatności dla milionów użytkowników na całym świecie.

Świętując swoją 5. rocznicę, 2025 okazał się przełomowym rokiem dla BNB Chain z rekordową aktywnością: średnio 2–5 milionów aktywnych użytkowników dziennie (prowadząc wszystkie inne łańcuchy), tygodniowe transakcje często przekraczające 100–170 milionów, a wolumeny DEX zdobywające znaczący udział w rynku, przewyższając Ethereum w wolumenie handlu spot w kluczowych okresach po raz pierwszy od 2021 roku.

Kluczowe kamienie milowe obejmowały

• Rekordowe ogólne wskaźniki:

  • Osiągnięto ponad 5 milionów aktywnych użytkowników dziennie (DAU), prowadząc wszystkie łańcuchy Layer 1 przez większość roku (średnio ~4,3 miliona do końca roku).

  • opBNB (Layer 2) również prowadził L2s w DAU.

  • Skumulowany wolumen handlu DEX przekroczył 2 biliony dolarów, z silnym wzrostem podaży stablecoinów (osiągając ~14 miliardów dolarów) oraz witalnością memecoinów.

• Twardy fork Maxwell (czerwiec 2025), który skrócił czas bloków do ~0,75 sekundy, obniżył średnie opłaty gazowe do około 0,01 dolara, zmniejszył złośliwy MEV o ponad 95% i umożliwił dzienne szczyty transakcji wynoszące 17,6 miliona - kładąc fundamenty pod skalowalność do 100M+ transakcji dziennie.

• Silny odbicie TVL, osiągające 11 miliardów dolarów na początku grudnia, napędzane przez boom RWA (z integracjami obejmującymi BUIDL BlackRock za pośrednictwem Securitize, Ondo Finance i BENJI Franklin Templeton) oraz ponad 60 projektów zasilanych AI. Inicjatywy bez gazu, takie jak przedłużony Karnawał 0-opłat i ulepszenia Megafuel, dodatkowo zwiększyły bezproblemowe wprowadzanie użytkowników.

• Nowe protokoły napędzające momentum:

  • Aster wyróżnił się jako wiodący perpetual DEX i silnik płynności, z TVL wzrastającym znacząco (do 1,75 miliarda dolarów) i zdobywając znaczący udział w globalnym rynku perps dzięki funkcjom międzyłańcuchowym i programom zachęt.

  • Four.meme prowadził uruchomienia memecoinów, osiągając szczyt przychodów dziennych na poziomie ~1,4 miliona dolarów i umożliwiając uruchamianie niskiego tarcia ściśle zintegrowane z Binance Wallet, tworząc wiralną uczestnictwo detaliczne.

  • Protokoły takie jak Lista DAO, Orderly Network i ożywiony PancakeSwap napędzały wzrost w DeFi, pożyczkach i rynkach prognoz, łącząc energię detaliczną z narzędziami instytucjonalnymi, aby umocnić BNB Chain jako blockchain o wysokiej przepustowości i mainstreamowy.

Rosnące zagrożenia bezpieczeństwa

Gdy BNB Chain wzbił się na nowe wyżyny w 2025 roku, witając miliony codziennych użytkowników, eksplodujące wolumeny DeFi i szaloną gorączkę memecoinów, nieuchronnie przyciągnął ciemniejsze cienie. Sukces namalował większy cel, a zagrożenia ewoluowały szybciej niż kiedykolwiek.

To, co zaczęło się jako znane oszustwa, takie jak drenaż portfeli i sztuczki phishingowe, stało się bardziej wyrafinowane, atakując dokładnie w momentach szczytowej euforii. Główny protokół pożyczkowy zobaczył, jak wieloryb został oszukany na podpisanie milionów w sprytnie ukrytym ataku. Własne konto sieci społecznościowej łańcucha zostało przejęte, aby szerzyć panikę fałszywymi airdropami. Nowo powstające platformy zmierzyły się z bezwzględnym front-runningiem w chaotycznych pulach oraz kluczowymi kompromisami, które wyczerpały fundusze z dnia na dzień. Fałszywe strony, podszywanie się i pochopne zatwierdzenia podczas szczytów rynku byka zamieniły chwile ekscytacji w surowe lekcje dla użytkowników detalicznych.

To nie były przypadkowe fluktuacje. Odzwierciedlały one bóle wzrostu łańcucha radzącego sobie z prawdziwą skalą i poważnymi pieniędzmi. W gorączce akcji jeden lekkomyślny klik mógł wymazać wszystko. Jednak wśród burz, szybkie reakcje ekosystemu, czujność społeczności oraz ciągłe ulepszenia bezpieczeństwa pomogły ograniczyć szkody, torując drogę do bardziej odpornej przyszłości.

Diagram osi czasu incydentów

Wykres kołowy podziału strat

Jak wzrost BNBChain wiąże się z bezpieczeństwem

Nowe rozwiązania bezpieczeństwa na BNB Chain w 2025 roku

W miarę jak zagrożenia stawały się coraz bardziej przebiegłe w 2025 roku, BNB Chain nie tylko reagował. Walczył z inteligentniejszymi, warstwowymi obronami, które zamieniły potencjalne katastrofy w bliskie przypadki, przywracając pewność milionom codziennych użytkowników.

Przełom nastąpił wczesnym etapem z Goodwill Alliance, inicjatywą prowadzącą społeczność uruchomioną w marcu, która zredukowała ataki kanapkowe o ponad 95% poprzez skoordynowane wysiłki walidatorów i budowniczych chronionych przez MEV. Zintegrowane płynnie z głównymi portfelami, takimi jak Binance Web3 Wallet, Trust Wallet i OKX Wallet, te zabezpieczenia chroniły handlowców nawet w najdzikszych szaleństwach memecoinów.

Więcej strażników bezpieczeństwa również stanęło na wysokości zadania. Guardrail, platforma monitorowania bezpieczeństwa w czasie rzeczywistym, dołączyła do Programu Kickstart, aby dostarczyć natychmiastowe alerty on-chain i dedykowane wsparcie dla budowniczych. Podobnie, Cantina, znana z konkursów crowdsourcingowych i dużych programów nagród za błędy, stała się oficjalnym dostawcą usług Kickstart, dając projektom łatwy dostęp do audytów smart kontraktów i programów nagród za błędy.

Jedność społeczności błyszczała najjaśniej w czasach kryzysu. RedAlarm DappBay wciąż ostrzegał użytkowników o ryzykownych projektach i adresach, AvengerDAO i Hashdit skoordynowały szybkie reakcje, a po październikowym kompromisie konta X, ekosystem zapewnił pełne odszkodowanie wszystkim dotkniętym użytkownikom, zamieniając bolesny moment w dowód solidarności.

W roku, w którym hype często kusił do pochopnych decyzji, a fałszywe strony czaiły się w cieniu, te zautomatyzowane, proaktywne narzędzia stały się niesławnymi bohaterami. Strzegli w momentach wysokiego ryzyka i udowodnili, że na błyskawicznie działającej sieci jak BNB, innowacja może wyprzedzić atakujących, pozwalając użytkownikom handlować i budować z rosnącym spokojem.

Gdzie użytkownicy naprawdę tracą pieniądze i jak poprawić

Nawet gdy obrony w całym łańcuchu się wzmocniły, a ogólne straty kontynuowały wieloletni spadek w 2025 roku, jedna uparta prawda pozostała: większość funduszy utraconych na BNB Chain zniknęła nie z rozbudowanych exploitów kontraktów, ale z głęboko ludzkich momentów: gdy ekscytacja, chciwość lub prosta pośpiech przeważyły nad ostrożnością.

Na przykład w wrześniu, jeden z głównych wielorybów na protokole Venus padł ofiarą wyrafinowanego ataku phishingowego, który skompromitował ich urządzenie i wyczerpał około 13,5 miliona dolarów z gorącego portfela. Lekkomyślne zarządzanie kluczami prywatnymi, przechowywanie fraz seed w niezabezpieczonych aplikacjach lub na zainfekowanych urządzeniach, nadal były głównym winowajcą. Jednak zatrucie adresu okazało się równie podstępne, co widać w niedawnym przypadku, gdy użytkownik stracił prawie pół miliona dolarów po skopiowaniu złośliwego podobnego adresu, który pozostał niezauważony w historii transakcji przez CZTERY miesiące wcześniej, nawet po sprawdzeniu znaków z przodu i z tyłu.

Te incydenty wszystkie żerowały na tej samej podstawowej podatności: tym ulotnym momencie, gdy ekscytacja lub pośpiech zasłaniają osąd, zamieniając jedną lekkomyślną akcję w nieodwracalną stratę.

Tradycyjne ostrzeżenia, takie jak "bądź wyedukowany, sprawdzaj wszystko podwójnie i zawsze zatrzymaj się, aby pomyśleć", często okazywały się bezsilne pod rzeczywistą presją. Gdy okazje wydają się pilne, a rynek byka ryczy, nawet doświadczeni użytkownicy mogą bezmyślnie zatwierdzić transakcję, nie w pełni rozumiejąc ryzyko. Podstawowy problem pozostaje w krytycznym "oknie podpisu", w ułamku sekundy decyzji, której żaden alert nie jest w stanie skutecznie zatrzymać. Portfele, będące główną bramą dla milionów wchodzących do Web3, niosą największy potencjał do zmiany. Muszą ewoluować w inteligentnych strażników: symulując transakcje z wyprzedzeniem, wyjaśniając ryzyka w jasnym codziennym języku i natychmiast oznaczając podejrzane adresy. Dla znacznych zasobów portfele sprzętowe w połączeniu z wymaganiami multisig i opóźnieniami czasowymi zapewniają istotną ochronę, podczas gdy gorące portfele ograniczone są do niewielkich codziennych kwot. Ostatecznie, edukacja i czujność mają znaczenie, ale prawdziwe trwałe bezpieczeństwo pochodzi z automatycznych zabezpieczeń wbudowanych bezpośrednio w nasze codzienne narzędzia. Tylko wtedy możemy przekształcić te ulotne momenty zaufania w pewne, niezłomne kroki, pozwalając użytkownikom cieszyć się ekscytacją żywego łańcucha jak BNB bez ciągłego cienia nieodwracalnych strat.

Gdzie protokoły naprawdę tracą pieniądze i jak poprawić

Przyjrzyj się bliżej potężnym protokołom napędzającym wzrost BNB Chain w 2025 roku, takim jak wielkie pożyczki jak Venus, liderzy handlu perpetualnego jak Aster oraz wiecznie zielone DEXy jak PancakeSwap, wszystkie zarządzające miliardami wolumenu. Nawet te sprawdzone systemy ujawnily ukryte pęknięcia. Straty tutaj wyniosły miliony, wynikające nie tylko z izolowanych błędów, ale z luk, które atakujący wykorzystywali z precyzją.

Kompromitacje kluczy prywatnych prowadziły, drenując około 12 milionów dolarów. Znaczące przypadki obejmowały stratę 3,1 miliona dolarów przez GANA Payment z powodu wycieku klucza właściciela oraz 2 miliony strat w New Gold Protocol. Mimo audytów i zaawansowanych narzędzi, zespoły pozostały podatne na elementy ludzkie: podstępne złośliwe oprogramowanie, ryzyko wewnętrzne lub przebiegła inżynieria społeczna, która ominęła zabezpieczenia.

Manipulacje ceną i oracle wkrótce zajęły drugie miejsce, roszcząc około 8 milionów dolarów. Pożyczki błyskawiczne zniekształcały rezerwy i oracle w ekstremalnych scenariuszach, amplifikowane przez wysoką prędkość BNB Chain, gdzie szybkie bloki zamieniały małe przewagi w ogromne zyski dla atakujących.

Brak walidacji danych wejściowych okazał się kolejną krytyczną słabością, wyczerpując około 7 milionów dolarów. Niezweryfikowane dane wejściowe przeszły, umożliwiając dowolne wywołania i chaotyczne zachowanie, które zrujnowały protokoły i zdradziły ufnych użytkowników w powiązanych aplikacjach.

Jednak celowe ulepszenia oferowały jasne rozwiązania. W zakresie kluczowego bezpieczeństwa protokoły wdrożyły izolację sprzętową, mandaty multisig, ścisłe kontrole dostępu, unieważnianie przestarzałych kluczy oraz rygorystyczne weryfikowanie partnerów i nowych pracowników. W obliczu manipulacji wyczerpujące audyty testów obciążeniowych wprowadziły bezpieczniki i solidne oracle, aby zatrzymać exploity na wczesnym etapie. Luki w weryfikacji zamknięto poprzez wielokrotne przeglądy kodu, badania ryzyka osób trzecich i dokładną sanitację danych wejściowych.

Te ukierunkowane ulepszenia przekształciły kruche giganty w odporne fundamenty, pozwalając innowacji BNB Chain bezpiecznie kwitnąć.

Rozwiązanie HashDit

2025 był przełomowym rokiem dla Hashdit, gdy pogłębiliśmy nasze zobowiązanie do ochrony ekosystemu BNB Chain w obliczu eksplozji wzrostu i ewoluujących zagrożeń. Nasze narzędzia i działania szybkiej reakcji odegrały bezpośrednią rolę w zmniejszeniu ogólnych strat na BNB Chain w porównaniu do 2024 roku, udowadniając, że proaktywne, zautomatyzowane bezpieczeństwo może nadążyć za innowacjami.

Kluczowe osiągnięcia w skrócie

• Zgłoszono 123 miliony adresów phishingowych, w tym drenaż portfeli, zatrucie adresów i wyrafinowane warianty oszustw.

• Zidentyfikowano i zablokowano 547 000 złośliwych adresów URL phishingowych, zanim mogły dotrzeć do użytkowników.

• Uruchomiono ulepszoną wersję rozszerzenia Chrome Pro w Q3: z symulacją transakcji, wyjaśnieniami zasilanymi AI i rozszerzonymi zasadami zagrożeń, szybko zdobywając ponad 200 aktywnych instalacji.

• Rozszerzyliśmy nasze narzędzia internetowe o ulepszone kontrolery adresów, tokenów i stron internetowych do oceny ryzyka w czasie rzeczywistym.

• Zwiększyliśmy widoczność społeczności do 823 000 wyświetleń X i prawie 3 000 nowych obserwujących, odzwierciedlając rosnącą świadomość kluczowej roli bezpieczeństwa w Web3.
  

Współpraca i usługi

• Wprowadziliśmy 5 nowych dużych projektów, dostarczając kompleksowe audyty, połączone monitorowanie Web2/Web3, bezpieczeństwo API, niestandardowe ramy oraz szczegółowe raporty edukacyjne.

• Nasz zespół ds. reakcji na incydenty sprawdził się, obsługując 12 incydentów o dużym wpływie w naszym jednogodzinnym celu, zapewniając szybkie śledzenie funduszy, analizę przyczyn źródłowych, ograniczenie oraz dalsze usuwanie luk.

Patrząc w przyszłość: bezpieczeństwo jako kluczowa infrastruktura

Kontynuacja skalowania BNB Chain nieuchronnie przyciągnie bardziej wyrafinowanych przeciwników, a ataki na poziomie portfela będą ewoluować tak szybko, jak innowacje w łańcuchu. Manualna czujność i edukacja same nie mogą zamknąć tej luki. Ciągłe, zautomatyzowane bezpieczeństwo musi stać się standardem domyślnym, sprawiając, że praktycznie niemożliwe będzie dla użytkowników zatwierdzenie niebezpiecznych transakcji w pierwszej kolejności.

Integracje produkcyjne Hashdit z liderami branży, takimi jak Trust Wallet i Lista DAO, stanowią konkretne postępy w kierunku tej wizji: cicha, zawsze aktywna ochrona działająca w tle, aby budowniczowie mogli budować, handlowcy mogli handlować, a użytkownicy mogli uczestniczyć z pewnością. W miarę jak BNB Chain dąży do mainstreamowej adopcji, jesteśmy dumni, że możemy pomóc zapewnić, aby bezpieczeństwo rosło równolegle z tym, pozwalając ekosystemowi skupić się na tym, co robi najlepiej: innowować bez strachu.