Нещодавній звіт компанії Kerberus, яка займається безпекою Web3, свідчить, що людська поведінка тепер є основним ризиком у Web3.
BeInCrypto поспілкувався з генеральним директором компанії Алексом Кацом та технічним директором Данором Коеном, щоб зрозуміти, чому користувачі продовжують ставати жертвами атак і що вони можуть зробити, щоб краще захистити себе.
Людські помилки спричиняють значні втрати Web3, як показує звіт Kerberus
У своєму останньому звіті під назвою «Людський фактор – захист у реальному часі є непоміченим шаром кібербезпеки Web3 (2025)» Kerberus розкрив, що атаки, орієнтовані на людину, є найнебезпечнішим структурно вектором у Web3.
У звіті наведено дані, які показують, що значна частина втрат у галузі спричинена помилками користувачів. Приблизно 44% крадіжок криптовалюти у 2024 році сталися через неправильне управління приватними ключами. Інше дослідження показує, що людські помилки причетні приблизно до 60% порушень безпеки.
З 820 мільйонами активних гаманців у 2025 році ландшафт загроз швидко розширюється, і всі залишаються під загрозою. Кац розповів BeInCrypto, що зловмисники націлені як на новачків, так і на досвідчених користувачів, але з зовсім інших причин.
«Нові користувачі привабливі, бо вони ще не розуміють, як виглядає “нормальна” поведінка Web3», — сказав він
Цікаво, що керівник зазначив, що давні користувачі стають дедалі ціннішими цілями порівняно з новачками. За його словами,
“Досвідчені користувачі взаємодіють з набагато більшою кількістю dApps, підписують більше транзакцій і переміщують більші обсяги. Це означає, що один момент самозаспокоєння може завдати набагато більшої шкоди. Тож найбільша група сьогодні під загрозою — це ті, хто вважає, що вони не в зоні ризику.»
Коен додав, що одне з найбільших хибних уявлень у Web3 — це переконання, що збої безпеки виникають через те, що користувачі не розуміють технологію. Його аналіз вказує у протилежному напрямку. Людей зламають, бо система покладає на них нереалістичний тягар.
“Користувачі думають: ‘Я занадто розумний, щоб виснажуватися, я знаю, як працюють гаманці — я в безпеці.’ Але ландшафт загроз змінюється швидше, ніж користувачі. Зловмисники не намагаються перехитрити ваш гаманець; Вони намагаються тебе перехитрити. І вони надзвичайно вправні в цьому. Люди неправильно розуміють, що Web3 накладає величезне когнітивне навантаження на людину. Користувачі не повинні розшифровувати технічні сигнали, щоб залишатися в безпеці — безпека має працювати для них автоматично», — зазначив він.
Чому навіть розумні користувачі Web3 постійно виснажуються у 2025 році
Ці ризики, спричинені людиною, зберігаються, незважаючи на рекордні витрати на безпеку у 2025 році. У звіті Kerberus зазначено, що послуги та інвестори, пов’язані з криптовалютою , втратили понад $3,1 мільярда через зломи та шахрайства у першій половині року. Це вже більше, ніж за весь 2024 рік.
Ця цифра включає історичний витік Bybit. За винятком цього, атаки, спрямовані на людей, такі як фішинг і соціальна інженерія, все одно склали 600 мільйонів доларів. Це становило 37% із залишкових 1,64 мільярда доларів збитків.
У звіті зазначається, що ці атаки масштабуються разом із зростаючим впровадженням і повністю обходять технічні захисні механізми. Це ускладнює традиційним моделям безпеки запобігання таким проблемам.
Хоча компанії активно інвестують у аудити, моніторинг і перевірку коду, зловмисники дедалі частіше експлуатують користувачів безпосередньо на рівні транзакцій. Але що робить людей такими вразливими до таких атак?
«Люди вразливі, бо кожна афера створена для використання природних психологічних коротких шляхів — терміновості, авторитету, знайомства, страху щось пропустити або комфорту в рутині. Це не недоліки; Це ті самі інстинкти, які дозволяють нам функціонувати в повсякденному житті. Самі технології не можуть змінити людську психологію, але можуть зафіксувати момент, коли психологію використовують як зброю», — детально пояснив Коен.
Він наголосив, що найсильніша форма захисту — це не покладатися на те, що користувачі уникнуть помилок лише через навчання, а радше зупиняти шкідливі дії в режимі реального часу до виникнення шкоди.
“Ось чому виявлення в реальному часі так важливе. Якщо ви зможете попередити користувача в той самий момент, коли його довіра маніпулюється, ви зможете зупинити більшість втрат до того, як вони стануться,” додав Коен.
Керівник зазначив, що нереалістично очікувати, що звичайний користувач розрізнить шкідливий dApp, airdrop або сторінку Mint. Сучасні шахрайські платформи часто дуже нагадують легітимні. Це робить їх майже невідмінними.
Він додав, що користувачі можуть неодноразово натискати на фішингові посилання. Вони роблять це не з необережності, а тому, що атаки навмисно створені для обману.
Навіть попередження в реальному часі іноді можуть виглядати як хибнопозитивні результати, що підкреслює розвинений характер цих шахрайств.
“Від користувачів не слід очікувати, що вони будуть проводити судово-медичні перевірки. Тягар має перейти на інструменти, які аналізують наміри та поведінку в реальному часі», — запропонував Коен.
У звіті також зазначено, що ці атаки використовують моменти, коли користувачі найменше здатні оцінити загрози. Це може статися, коли хтось перевіряє гаманець, відволікаючись на роботі, реагує на термінове повідомлення про заморожування рахунку або схвалює транзакцію після важкого дня, коли виснажений.
Згідно з результатами, реакція галузі здебільшого полягала у додаванні додаткових попереджень і кроків верифікації. Але такий підхід часто обертається проти неї через «втому з безпеки». Оскільки користувачі звикають до постійних сповіщень — багато з яких є хибними тривогами, що просто уповільнюють їх — їхня здатність приймати обдумані рішення зменшується під постійним когнітивним тиском.
3 дії, які користувачі можуть зробити, щоб залишатися в безпеці у Web3
Щоб зменшити реальні втрати, Кац розкрив три практики, які користувачі можуть застосувати. Він радив користувачам:
- Пауза перед підписом: Більшість компромісів відбуваються менш ніж за десять секунд. Навіть коротка хвилина, щоб прочитати запит або підтвердити, чи відповідає запит запланованій дії, може запобігти значній частці успішних атак.
- Відокреміть цінні активи від повсякденної діяльності: Використання кількох гаманців залишається одним із найефективніших заходів захисту. Він запропонував користувачам зберігати свої довгострокові активи у холодному або малодоступному гаманці та використовувати окремий гаманець для дослідження, монетних дворів і dApps. Таке розділення обмежує потенційні пошкодження.
- Покладайтеся на захист транзакцій у режимі реального часу: Оскільки багато загроз пов’язані з соціальною інженерією, а не технічними експлойтами, користувачі отримують користь від інструментів, які інтерпретують дії на ланцюгу ще до їх завершення. Цей єдиний рівень захисту блокує багато більш складних шахрайств.
Мета, як він підкреслив, полягає не в тому, щоб перетворити користувачів на експертів з безпеки, а створити обмеження, які запобігають перетворенню помилок на фінансові втрати.
