En ny rapport från CertiK undersökte RWA-marknaden (real-world assets) år 2025 och fann en ökande våg av hack. Kriminella har börjat ändra sin strategi under årets första halva och utnyttjar teknikens svagheter.
Rapporten visar också att de flesta tokeniserade tillgångar finns på Ethereum och några dominerande protokoll. Denna koncentration innebär att en enda stor exploatering kan påverka hela RWA-sektorn på över 13,9 miljarder USD.
RWA-attacker ökar
CertiKs blockchain-säkerhetsforskare publicerade sin Skynet RWA Security Report idag. Den visar hur hoten mot RWA-projekt har utvecklats sedan 2023, och attackytan sträcker sig nu över både on-chain och off-chain tillgångar.
Från januari till juli förlorade RWA-sektorn 14,6 miljoner USD till hack och bedrägerier, nästan lika mycket som hela 2023. Hittills finns det inga tecken på att det avtar, särskilt eftersom RWA fick mycket marknadsuppmärksamhet i år.
Unika hybrida sårbarheter
Trots detta tillskriver CertiK inte ekonomiska krafter som orsaken till denna förändring. Tidigare år fokuserade RWA-brott på off-chain hot, där kredit- och lånefallissemang utgjorde en stor del av alla incidenter.
Idag blir dock RWA-marknaden utan tvekan mer mottaglig för hack:
“Data visar en tydlig förändring i RWA-hotlandskapet. Första halvan av 2025 visar en fullständig förändring: förlusterna steg till nästan 14,6 miljoner USD och orsakades helt av on-chain och operativa misslyckanden. Hotet har utvecklats från att utnyttja externa finansiella arrangemang till att attackera kärnteknologin själv,” hävdade CertiK.
Ändå gör RWAs unika integration med TradFi det sårbart för hack från båda håll. Orakler är den viktiga länken mellan on-chain och off-chain världar, vilket innebär att ett enda intrång här kan få smarta kontrakt att bete sig irrationellt. Det kan helt koppla loss RWA från de underliggande tillgångarna, vilket möjliggör lönsamma exploateringar.
Med andra ord kan ett företag erbjuda RWAs baserat på “bergsäkra” tillgångar som guld eller amerikanska statsobligationer, men ett välplacerat hack kan få hela säkerhetsstrukturen att kollapsa.
Många företag baserar RWAs på andra stabila tillgångar som fastigheter, men den illikvida naturen på denna marknad möjliggör också orakelmanipulation. De flesta RWAs på den amerikanska marknaden består för närvarande av sådana tillgångar, inte privat kredit, men det erbjuder inte nödvändigtvis verkligt skydd.
Säkerhetsåtgärder och TradFis roll
CertiK beskriver några säkerhetslager, varav några kan vara lite kontraintuitiva. För att vara tydlig prioriterar det de klassiska kännetecknen för kryptoskydd, men inkluderar också andra steg.
Till exempel betonade CertiK starkt vikten av juridiskt solida kontrakt eftersom “ett dåligt utformat avtal kan…göra hela strukturen ogenomförbar.” Detta skulle vara katastrofalt vid ett större intrång.
Av denna anledning hävdade företaget att TradFi-institutionellt deltagande är en viktig del av RWA-säkerheten. Företag som BlackRock har redan väletablerade principer för de flesta av CertiKs rekommendationer, från juridiskt språk, solid tillgångsförvaring, administrativa skyddsräcken och mer.
Tyvärr gör detta JPMorgans senaste rapport att TradFi-institutioner tappar intresse för RWAs desto mer oroande. Om kryptoinfödda företag snart kommer att representera majoriteten av RWA-marknaden, behöver de noggranna förberedelser för att undvika denna växande hackvåg.
För närvarande beskriver denna rapport många åtgärder som kan vidtas, och den bedömer alla de största aktörerna på dagens RWA-marknad utifrån deras säkerhetsprinciper. Så länge dessa företag fortsätter att proaktivt förbättra sin säkerhetsställning kan de överträffa dessa attacker.
