Klucze prywatne odpowiadają za 40% strat po atakach na kryptowaluty
Nowe dane CertiK pokazują, że największym ryzykiem pozostaje zarządzanie kluczami. Coraz większe znaczenie zyskują MPC wallets, account abstraction i social recovery jako odpowiedź na kradzieże kluczy prywatnych.

Najważniejsze informacje
- Około 40% strat w kryptowalutach o łącznej wartości 16,69 mld USD wynika z ujawnionych lub skradzionych kluczy prywatnych.
- CertiK odnotowuje więcej incydentów operacyjnych, podczas gdy liczba exploitów smart contracts maleje.
- Branża coraz mocniej stawia na MPC wallets, account abstraction, hardware wallets oraz bardziej rygorystyczne zarządzanie kluczami.
Projekty kryptowalutowe wciąż tracą miliony dolarów w wyniku hacków i exploitów, ale według nowych danych branżowych źródło problemu nie leży wyłącznie w samym blockchain. Z łącznej kwoty 16,69 mld USD (14,6 mld EUR) strat związanych z hackami, DeFi-exploitami i atakami na mosty około 40% można powiązać z wyciekiem lub kradzieżą private key. To pokazuje, że key management pozostaje jednym z najsłabszych punktów sektora krypto, a smart contracts rzadziej są dziś bezpośrednią przyczyną strat.
Private keys pozostają słabym punktem
Private key działa w praktyce jak hasło do kryptowalutowego wallet. Kto go przejmie, może uzyskać dostęp do środków bez bankowej procedury odzyskiwania i bez działu ds. nadużyć, który mógłby cofnąć transakcję. Według CertiK zagrożenie dodatkowo się zmienia: liczba incydentów operacyjnych rośnie, a exploitów smart contracts jest coraz mniej.
Taki obraz dobrze oddaje sposób, w jaki dochodzi do wielu ataków. Czasem sprawcy próbują brute-force, ale nierzadko nawet nie wiadomo, w jaki sposób klucz wyciekł. Efekt pozostaje jednak ten sam: atakujący przejmuje wallet i może przenieść aktywa.
Branża ma też za sobą długą historię dużych kradzieży, od wczesnego hacku Mt. Gox po atak na LuBian mining pool w 2020 roku, który pokazał, jak ogromne mogą być straty, gdy zawodzą klucze dostępu lub procesy zarządzania nimi. W 2025 roku wyraźnie wzrosła również liczba fizycznych ataków na posiadaczy kryptowalut, co przypomina, że bezpieczeństwo nie kończy się na warstwie cyfrowej. To wpisuje się w szersze ostrzeżenia, że bezpieczeństwo krypto wymaga czegoś więcej niż samych audytów, ponieważ słabości ludzkie i operacyjne często mają większe znaczenie niż błędy w kodzie.
Bezpieczeństwo przesuwa się w stronę zarządzania kluczami
Jak podkreśla Wish Wu, współzałożyciel i CEO Pharos, branża próbuje dziś ograniczyć ryzyko związane z private key, ale nie robi tego jeszcze w jednolity sposób. Wskazuje on między innymi MPC wallets, account abstraction z social recovery, logowanie za pomocą passkey, hardware wallets oraz bardziej rygorystyczne procedury key management jako rozwiązania, które zyskują na znaczeniu. Jednocześnie zwraca uwagę, że wiele z tych mechanizmów nadal funkcjonuje jako opcjonalny dodatek, a nie jako podstawowy element protokołu.
Założyciel Cysic, Le Fan, ujmuje problem jeszcze bardziej bezpośrednio: jego zdaniem nie chodzi o błąd kryptograficzny, lecz o błąd w key management. Matematyka stojąca za krzywą nie stanowi problemu. Problemem jest sposób przechowywania, używania i zabezpieczania kluczy.
Co to oznacza dla europejskich czytelników
Dla europejskich inwestorów w kryptowaluty to ważny sygnał, ponieważ bezpieczeństwo coraz częściej zależy od dyscypliny operacyjnej, a nie wyłącznie od audytów kodu. Dotyczy to zarówno platform, rozwiązań custody, jak i użytkowników, którzy samodzielnie zarządzają swoimi kryptowalutami. W tym kontekście większego znaczenia mogą nabierać multi-signature wallets i inne formy rozproszonej autoryzacji, zwłaszcza przy większych kwotach, gdzie jeden klucz oznacza zbyt duże ryzyko.