En ny rapport från Kerberus, ett Web3-säkerhetsföretag, antyder att mänskligt beteende nu är den största risken inom Web3.
BeInCrypto pratade med företagets vd, Alex Katz, och teknikchef, Danor Cohen, för att förstå varför användare fortsätter att bli offer för attacker och vad de kan göra för att skydda sig bättre.
Mänskliga misstag orsakar stora Web3-förluster, fann Kerberus-rapporten
I sin senaste rapport med titeln “The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025),” avslöjade Kerberus att mänskligt fokuserade attacker var den farligaste faktorn inom Web3.
Rapporten hänvisar till data som visar att en betydande del av industrins förluster kommer från användarfel. Ungefär 44 % av kryptostölderna 2024 berodde på felhantering av privata nycklar. En annan forskning visar att mänskliga fel är inblandade i cirka 60 % av säkerhetsbrotten.
Med 820 miljoner aktiva plånböcker 2025 expanderar hotbilden snabbt, och alla förblir i riskzonen. Katz berättade för BeInCrypto att onda aktörer riktar in sig både på nybörjare och erfarna användare, men av mycket olika skäl.
“Nya användare är attraktiva eftersom de ännu inte förstår vad ‘normalt’ Web3-beteende ser ut som,” sa han
Intressant nog noterade chefen att långvariga användare blir allt mer värdefulla mål jämfört med nybörjare. Enligt honom,
“Veteraner använder fler dAppar, skriver under fler transaktioner och flyttar större summor. Det betyder att en enda stund av oaktsamhet kan orsaka mycket större skada. Så gruppen som idag är mest utsatt är alla som tror att de inte är det.”
Cohen tillade att en av de största missuppfattningarna inom Web3 är tron att säkerhetsproblem beror på att användare inte förstår tekniken. Hans analys pekar åt motsatt håll. Folk hackas eftersom systemet lägger en orimlig börda på dem.
“Användare tänker, ‘Jag är för smart för att bli tömd, jag vet hur plånböcker funkar – jag är säker.’ Men hotbilden förändras snabbare än användarna. Angripare försöker inte överlista din plånbok; de försöker att överlista dig. Och de är extremt duktiga på det. Vad folk missförstår är att Web3 lägger en enorm kognitiv börda på individen. Användare ska inte behöva förstå tekniska signaler för att vara säkra – säkerheten måste fungera för dem automatiskt,” nämnde han.
Varför även smarta web3-användare fortsätter att bli lurade 2025
Dessa mänskliga risker kvarstår trots rekordhöga utgifter för säkerhet 2025. Kerberus rapport uppgav att kryptorelaterade tjänster och investerare förlorade över 3,1 miljarder USD till hackar och bedrägerier under första halvan av året. Detta är redan mer än den totala summan för 2024.
Den siffran inkluderar det historiska Bybit-intrånget. Exklusive detta utgjorde människo-inriktade attacker som nätfiske och social ingenjörskonst fortfarande 600 miljoner USD. Detta representerade 37 % av de återstående 1,64 miljarder USD i förluster.
Rapporten noterade att dessa attacker växer med ökad användning och kringgår tekniska försvar helt. Detta gör det svårt för traditionella säkerhetsmodeller att förhindra dem.
Medan företag investerar stora summor i granskningar, övervakning och kodgranskningar, utnyttjar angripare i allt högre grad användare direkt på transaktionsnivån. Men vad gör människor så sårbara för dessa attacker?
“Människor är sårbara eftersom varje bedrägeri är utformat för att utnyttja naturliga psykologiska genvägar — brådska, auktoritet, bekantskap, rädsla för att missa något eller komfort med rutiner. Dessa är inte brister; de är samma instinkter som gör att vi kan fungera i vardagen. Tekniken kan inte ensam förändra mänsklig psykologi, men den kan fånga ögonblicket när psykologin utnyttjas,” detaljerade Cohen.
Han betonade att det starkaste skyddet inte är att förlita sig på att användare undviker misstag genom utbildning ensam, utan snarare att stoppa skadliga handlingar i realtid innan skador uppstår.
“Därför är det så viktigt med upptäckt i realtid. Om du kan varna en användare exakt i det ögonblick deras förtroende utnyttjas, kan du stoppa de flesta förluster innan de sker,” tillade Cohen.
Chefen noterade att det är orealistiskt att förvänta sig att en vanlig användare ska kunna skilja mellan en skadlig dApp, en airdrop eller en mint-sida. Moderna bedrägliga plattformar liknar ofta legitima. Detta gör dem nästan omöjliga att skilja.
Han tillade att användare kan klicka på nätfiskelänkar upprepade gånger. De gör inte detta av vårdslöshet, utan eftersom attackerna är avsiktligt utformade för att vilseleda.
Även realtidsvarningar kan ibland verka som falska positiva, vilket belyser dessa bedrägeriers avancerade karaktär.
“Användare bör inte förväntas göra forensiska kontroller. Bördan måste förskjutas till verktyg som analyserar avsikt och beteende i realtid,” föreslog Cohen.
Rapporten uppger också att dessa attacker utnyttjar ögonblick när användare minst kan bedöma hot. Det kan hända när någon kollar plånboken medan de är distraherade på jobbet, reagerar på ett brådskande meddelande som påstår att deras konto kommer att frysas, eller godkänner en transaktion i slutet av en lång dag när de är utmattade.
Enligt resultaten har branschens svar främst varit att lägga till fler varningar och verifieringssteg. Men detta tillvägagångssätt slår ofta tillbaka på grund av “säkerhetsutmattning.” När användare blir vana vid ständiga larm — många av dem är falska och bara fördröjer dem — minskar deras förmåga att fatta noggranna beslut under det kontinuerliga kognitiva trycket.
3 åtgärder användare kan ta för att vara säkrare i Web3
För att minska faktiska förluster avslöjade Katz tre metoder användare kan tillämpa. Han rådde användare att:
- pausa före underskrift: De flesta kompromisser sker på under tio sekunder. Om du tar en kort stund för att läsa meddelandet eller bekräfta om begäran stämmer med den avsedda handlingen, kan det förhindra många lyckade attacker.
- separera högt värderade tillgångar från vardagliga aktiviteter: Att använda flera plånböcker är en av de mest effektiva skyddsåtgärderna. Han föreslog att användare bör ha sina långsiktiga innehav i en kall eller lite använd plånbok och använda en separat plånbok för utforskning, mintningar och dApps. Denna uppdelning begränsar möjliga skador.
- förlita dig på realtidstransaktionsskydd: För många hot handlar om social ingenjörskonst snarare än tekniska exploateringar. Användare tjänar på verktyg som tolkar på-kedjan handlingar innan de slutförs. Detta enkla skyddslager blockerar många av de mer avancerade bedrägerierna.
Avsikten, betonade han, är inte att göra användarna till säkerhetsexperter, utan att bygga stöd som förhindrar misstag från att bli ekonomiska förluster.
