Czy to tylko kolejny rozdział w historii kryptowalutowego dzikiego zachodu, czy może znak, że branża dojrzewa poprzez bolesne lekcje? Pieniężny bilans pierwszych sześciu miesięcy 2025 r. jest gorszy niż kiedykolwiek wcześniej – przebija nawet rekordową pierwszą połowę 2022 r.. Wydawałoby się, że po tylu latach istnienia blockchaina ekosystem okrzepł, zabezpieczenia powinny być lepsze, a inwestorzy ostrożniejsi. A jednak hakerzy nadal rozbijają bank – i to na skalę, której pozazdrościłby niejeden kasynowy hochsztapler.

Zdecydowanie najgłośniejszym skokiem było włamanie na giełdę Bybit w lutym 2025 r., uznane za największą kradzież w historii krypto. Z dnia na dzień z portfeli Bybit wyparowało ok. 1,4–1,5 mld USD – kwota, która stanowiła lwią część wszystkich strat krypto w tym okresie. Za atakiem stała berlińska grupa hakerów Lazarus z Korei Północnej (która już wcześniej „wsławiła się” rekordowymi skokami) – najwyraźniej państwo Kimów uczyniło z cyberkradzieży dochodowy dział gospodarki.

Bybit padło ofiarą sprytnej kombinacji ataku na tzw. front-end portfela (najprawdopodobniej przez błąd w zabezpieczeniach interfejsu lub socjotechnikę), co pokazuje, że czas wielkich włamań do smart kontraktów może ustępować nowym metodom. Kolejne ogromne włamanie dotknęło protokołu DeFi Cetus na blockchainie Sui – tu zginęło około 225 mln USD, z czego szczęśliwie udało się odzyskać sporą część (162 mln) dzięki wysiłkom społeczności.

Te dwa incydenty odpowiadały za większość strat w 2025 r. i wstrząsnęły rynkiem, wymuszając nerwowe przeglądy zabezpieczeń w całej branży. Oprócz nich odnotowano dziesiątki pomniejszych ataków – w sumie 75 incydentów w pół roku – co oznacza, że średnio co kilka dni ktoś wyciąga rękę po cudze kryptomonety.

Jeszcze parę lat temu królowały ataki na kod smart kontraktów – protokoły DeFi były prawdziwym szwedzkim stołem dla hackerów. W rekordowym roku 2022 aż 82% skradzionych kryptowalut pochodziło z włamań do zdecentralizowanych finansów (np. protokoły pożyczkowe czy giełdy DEX). Szczególnie upodobali sobie mosty międzyłańcuchowe (cross-chain bridges), które służą do przenoszenia tokenów między blockchainami – w 2022 r. odpowiadały za 64% wszystkich strat DeFi.

Głośnym przykładem był atak na most Ronin (Axie Infinity) w 2022 r., skąd Lazarus wyciągnął ponad 600 mln USD. Deweloperzy uczyli się jednak na błędach: zaczęto masowo audytować kod, wprowadzać mechanizmy bezpieczeństwa (jak np. automatyczne kill switche zatrzymujące protokół przy wykryciu podejrzanej aktywności) i coraz trudniej znaleźć w dużych projektach oczywisty błąd do exploita.

Niestety, gdy hakerom utrudniono ataki od strony kodu, przerzucili się na najsłabsze ogniwo – ludzi. Ponad 80% skradzionych w 2025 r. środków pochodziło z naruszeń infrastruktury, takich jak kradzieże kluczy prywatnych, ataki na aplikacje i front-endy czy oszustwa pracowników z dostępem. Innymi słowy: phishing, socjotechnika, przekupienie lub zhackowanie administratora – to obecnie przynosi hakerom znacznie większe łupy niż żmudne wyszukiwanie dziur w smart kontraktach.

Potwierdza to także raport firmy CertiK, według którego większość z tych 2,1 mld USD straconych w 2025 r. to efekt przejęć portfeli, błędów operacyjnych i złego zarządzania kluczami. Gdy nie da się sforsować sejfu, można spróbować wyłudzić kod do zamka od samego właściciela – i dokładnie tak czynią cyberprzestępcy.

Naturalnie, nie zniknęły całkiem dawne metody. Nadal dochodzi do ataków na protokoły DeFi (np. flash loan czy manipulacja cen oracle), lecz w 2025 r. odpowiadały już tylko za około 12% łącznych strat – to znaczący spadek wobec poprzednich lat. Rug pulle, czyli oszustwa, w których twórcy projektu kryptowalutowego po zebraniu funduszy znikają z kasą, również wciąż zbierają żniwo. Tego typu wyrafinowane piramidy finansowe i shitcoiny nabrały profesjonalnego charakteru – działają niemal jak start-upy (z „programami szkoleniowymi” dla nowych oszustów i wyznaczonymi celami do zgarnięcia).

W pierwszym kwartale 2025 same rug pulle pozbawiły inwestorów około 300 mln USD. Mimo to trzeba zauważyć, że tempo i skala kradzieży wyraźnie przyspieszyły. Dla porównania, w całym 2024 r. skradziono ok. 2,2 mld USD, a więc niemal tyle samo, ile w zaledwie pół roku 2025. Rekordowy 2022 zamknął się sumą 3,8 mld USD strat, 2021 – ok. 3,3 mld, a 2023 „jedynie” ~1,7–1,8 mld (co i tak oznaczało ponad trzydzieści kolejnych ataków miesięcznie). Jeśli trend się utrzyma, 2025 może pobić wszelkie negatywne rekordy, dobijając może i do 4 mld zrabowanych kryptodolarów. Wygląda na to, że hakerzy wciąż traktują branżę krypto jak ogromne kasyno online, gdzie od czasu do czasu pada jackpot – tyle że wypłacany na konto złodzieja.

Tak spektakularne afery oczywiście przyciągnęły uwagę władz. Po serii giełdowych upadków (vide FTX) i hacków, regulatorzy na całym świecie coraz głośniej domagają się zaostrzenia przepisów i ochrony konsumentów.

W Unii Europejskiej uchwalono już MiCA (Markets in Crypto-Assets) – kompleksowe rozporządzenie, które w 2024–2025 r. stopniowo wprowadza licencje dla firm krypto, wymogi zabezpieczeń, raportowania i procedury ochrony klientów. Co prawda MiCA nie zapobiegnie bezpośrednio atakom hakerskim (tak jak znak drogowy nie zatrzyma pirata), ale zmusza giełdy i projekty do większej transparentności i zabezpieczeń.

Przykładowo dostawcy usług krypto w UE będą musieli spełniać wymogi kapitałowe i cyberbezpieczeństwa podobne do instytucji finansowych. Niewykluczone, że doczekamy się wymogu posiadania ubezpieczeń od włamań czy funduszy rezerwowych na pokrycie strat klientów – w tradycyjnych finansach to standard, w krypto wciąż rzadkość. W USA również trwają dyskusje, choć tam spór toczy się między zwolennikami innowacji a agencjami (SEC, CFTC) walczącymi z nieuregulowanym rynkiem. Trend jest jednak jasny: koniec pobłażania dla „dzikiego zachodu”.

Państwa od Korei Południowej po Brazylię wprowadzają obowiązki rejestracji giełd, procedury KYC/AML przeciw praniu brudnych pieniędzy, a nawet bezprecedensowe próby banowania mikserów transakcji (jak zrobiły USA, nakładając sankcje na Tornado Cash). Wszystko to ma zniechęcić przestępców – choć ci jak widać, wciąż czują się dość swobodnie. CertiK sugeruje nawet, że regulatorzy powinni ustanowić minimalne standardy bezpieczeństwa dla projektów DeFi – bo jeśli branża sama się nie ogarnie, to prędzej czy później nadzór zrobi to za nią.

Pozostaje zadać pytanie: czy świat kryptowalut uczy się na tych błędach, czy dalej beztrosko igra z ogniem? Z jednej strony, widać postęp technologiczny i organizacyjny. Duże projekty coraz częściej zatrudniają zespoły ds. bezpieczeństwa, prowadzą audyty, a użytkownicy są edukowani, by uważać na phishing.

Gdy porówna się stan wiedzy i narzędzi dziś vs pięć lat temu – to jak przesiadka z malucha do tesli. Kod wielu protokołów DeFi stał się trudniejszy do złamania, co… przegnało napastników na inne pola. Paradoksalnie więc dojrzewanie branży odsłoniło nowy problem: czynnik ludzki. Jak trafnie ujął to ekspert z CertiK, atakujący „zawsze uderzą w najsłabszy punkt” – kiedyś były nim błędy w smart kontraktach, a teraz najwyraźniej łatwiej złamać człowieka niż kod. Świadczy to o pewnej dojrzałości ekosystemu – bo technologie stają się bezpieczniejsze – lecz też o tym, że pewne ryzyka pozostają nieusuwalne.

Z drugiej strony, wciąż obecna jest w branży pewna hazardowa mentalność. Kusi szybki zysk, gonitwa za wysokimi stopami zwrotu sprawia, że w pogoni za procentami inwestorzy czasem przymykają oko na ryzyko. Deweloperzy zaś w boomie rynkowym wolą dostarczać nowe funkcje „na już”, niż zatrzymać się i testować zabezpieczenia. Taka atmosfera sprzyja katastrofom – bo apetyt na ryzyko w krypto przypomina momentami grę Va banque. Młody rynek najwyraźniej wciąż dojrzewa metodą prób i błędów, niestety kosztownych.

Jeżeli ktoś w Polsce interesuje się kryptowalutami – czy to inwestując parę stówek w bitcoina, czy śledząc medialne sensacje – powinien zrozumieć, że te spektakularne hacki to nie tylko daleka egzotyka.

One uderzają w zaufanie do całej branży. Nawet jeśli nie trzymamy środków na egzotycznych DeFi czy mostach blockchainowych, to skutki odczujemy pośrednio: choćby w postaci ostrożniejszych regulatorów, spadków cen spowodowanych paniką po ataku, czy zaostrzenia zasad korzystania z giełd. Dla polskiego inwestora sygnał jest jasny: dywersyfikuj ryzyko i nie trzymaj wszystkich jaj w jednym koszyku (zwłaszcza jeśli to koszyk krypto).

W tradycyjnym banku mamy Bankowy Fundusz Gwarancyjny, w świecie krypto – mamy co najwyżej własny hardware wallet i nadzieję, że nikt nie pozna naszego klucza prywatnego. Jeśli korzystamy z giełdy, wybierajmy te uregulowane, o dobrej reputacji, choć i one nie dają 100% pewności. Każdy kolejny miliard ukradziony przez hackerów to przypomnienie, że łatwe zyski idą w parze z dużym ryzykiem – a w kryptowalutowej dolinie krzemowej nadal łatwiej o rewolwerowca niż o szeryfa. Świat krypto robi postępy, ale w 2025 r. widać jak na dłoni, że do pełnej dojrzałości jeszcze daleka droga. Czy to wciąż hazard?

Cóż, jeśli spojrzeć na tę ruletkę z boku – wygląda na to, że stół w kasynie wciąż jest otwarty. Miejmy nadzieję, że zanim kolejna fala nowych użytkowników rzuci się do gry, krupierzy (czytaj: giełdy i projekty) solidniej zabezpieczą żetony, a organy nadzoru przygotują kilka zasad fair play. Inaczej te swoiste kryptowalutowe kasyno nadal będzie przyciągać zarówno żądnych zysku graczy, jak i sprytnych krupierów-oszustów gotowych zgarnąć całą pulę.