A recent report by Kerberus, a Web3 security firm, suggests that human behavior is now the primary risk in Web3.

BeInCrypto spoke with the firm’s CEO, Alex Katz, and CTO, Danor Cohen, to understand why users continue to fall victim to attacks and what they can do to better protect themselves.

Human Error Drives Major Web3 Losses, Kerberus Report Finds 

In its latest report titled “The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025),” Kerberus revealed that human-focused attacks were the most structurally dangerous vector in Web3.

The report cites data showing that a significant share of industry losses stems from user mistakes. Roughly 44% of crypto thefts in 2024 resulted from the mismanagement of private keys. Another research indicates that human error is involved in approximately 60% of security breaches.

With 820 million active wallets in 2025, the threat landscape is expanding quickly, and everyone remains at risk. Katz told BeInCrypto that bad actors are targeting both newcomers and experienced users, but for very different reasons.

“New users are attractive because they don’t yet understand what ‘normal’ Web3 behavior looks like,” he said

Interestingly, the executive noted that long-time users are becoming increasingly higher-value targets compared to newcomers. According to him, 

“Veteran users interact with far more dApps, sign more transactions, and move larger amounts. That means a single moment of complacency can do far more damage. So the group most at risk today is anyone who assumes they’re not at risk.” 

Cohen added that one of the biggest misconceptions in Web3 is the belief that security failures stem from users not understanding the technology. His analysis points in the opposite direction. People are getting hacked because the system places an unrealistic burden on them.

“Users think, ‘I’m too smart to get drained, I know how wallets work – I’m safe.’ But the threat landscape changes faster than users do. Attackers aren’t trying to outsmart your wallet; they’re trying to outsmart you. And they’re extremely good at it.  What people misunderstand is that Web3 puts an enormous cognitive burden on the individual. Users shouldn’t have to decipher technical signals to stay safe – security must work for them automatically,” he mentioned.

Why Even Smart Web3 Users Keep Getting Drained in 2025

These human-driven risk persists despite record spending on security in 2025. Kerberus’ report stated that crypto-related services and investors lost over $3.1 billion to hacks and scams in the first half of the year. This is already more than the total for all of 2024. 

That number includes the historic Bybit breach. Excluding this, human-targeted attacks such as phishing and social engineering still accounted for $600 million. This represented 37% of the remaining $1.64 billion in losses.

The report noted that these attacks scale with growing adoption and bypass technical defenses entirely. This makes it difficult for traditional security models to prevent them.

While companies invest heavily in audits, monitoring, and code reviews, attackers increasingly exploit users directly at the transaction level. But what makes humans so vulnerable to these attacks?

“Humans are vulnerable because every scam is designed to exploit natural psychological shortcuts — urgency, authority, familiarity, fear of missing out, or comfort with routine. These are not flaws; they’re the same instincts that allow us to function in everyday life. Technology alone can’t change human psychology, but it can catch the moment when psychology is being weaponized,” Cohen detailed. 

He emphasized that the strongest form of protection isn’t relying on users to avoid mistakes through education alone, but rather stopping harmful actions in real-time before damage occurs. 

“That’s why real-time detection matters so much. If you can warn a user at the exact moment their trust is being manipulated, you can stop most losses before they occur,” Cohen added.

The executive noted that it’s unrealistic to expect an everyday user to distinguish between a malicious dApp, an airdrop, or a mint page. Modern fraudulent platforms often closely mirror legitimate ones. This makes them nearly indistinguishable.

He added that users can click phishing links repeatedly. They don’t do so out of carelessness, but because the attacks are intentionally crafted to deceive.

Even real-time warnings can sometimes appear to be false positives, highlighting the advanced nature of these scams.

“Users shouldn’t be expected to perform forensic checks. The burden has to shift to tools that analyze intent and behavior in real time,” Cohen suggested.

The report also states that these attacks exploit moments when users are least able to assess threats. It may happen when someone checks their wallet while distracted at work, reacts to an urgent message claiming their account will be frozen, or approves a transaction at the end of a long day when they’re exhausted.

According to the findings, the industry’s response has largely been to add more warnings and verification steps. But this approach often backfires due to “security fatigue.” As users become accustomed to constant alerts—many of which are false alarms that simply slow them down—their ability to make careful decisions diminishes under the continuous cognitive pressure.

3 Actions Users Can Take to Stay Safer in Web3

To reduce real-world losses, Katz disclosed three practices users can adopt. He advised users to:

• Pause before signing: Most compromises occur in under ten seconds. Taking even a brief moment to read the prompt or confirm whether the request aligns with the intended action can prevent a large share of successful attacks.
• Separate high-value assets from everyday activity: Using multiple wallets remains one of the most effective safeguards. He suggested that users should keep their long-term holdings in a cold or low-touch wallet and use a separate wallet for exploration, mints, and dApps. This compartmentalization limits potential damage.
• Rely on real-time transaction protection: Because many threats involve social engineering rather than technical exploits, users benefit from tools that interpret on-chain actions before they’re finalized. This single layer of defense blocks many of the more advanced scams.

The intention, he stressed, is not to turn users into security experts, but to build guardrails that prevent mistakes from turning into financial losses.

The post Human-Targeted Attacks Are Now Web3’s Most Dangerous Threat, Report Finds appeared first on BeInCrypto.

Laporan terbaru oleh Kerberus, sebuah perusahaan keamanan Web3, menunjukkan bahwa perilaku manusia kini menjadi risiko utama dalam Web3.

BeInCrypto berbicara dengan CEO perusahaan tersebut, Alex Katz, dan CTO, Danor Cohen, untuk memahami mengapa pengguna terus jatuh korban serangan dan apa yang bisa mereka lakukan untuk melindungi diri dengan lebih baik.

Kesalahan Manusia Sebabkan Kerugian Web3 Besar, Laporan Kerberus Temukan 

Dalam laporan terbarunya berjudul “The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025),” Kerberus mengungkapkan bahwa serangan yang berfokus pada manusia adalah vektor paling berbahaya dalam Web3.

Laporan ini menyebutkan data yang menunjukkan bahwa sebagian besar kerugian industri berasal dari kesalahan pengguna. Sekitar 44% dari pencurian kripto di 2024 diakibatkan oleh salah pengelolaan kunci pribadi. Penelitian lain menunjukkan bahwa kesalahan manusia terlibat dalam sekitar 60% pelanggaran keamanan.

Dengan 820 juta wallet aktif di 2025, lanskap ancaman berkembang cepat, dan semua orang tetap berisiko. Katz menyampaikan kepada BeInCrypto bahwa pelaku jahat menargetkan baik pemula maupun pengguna berpengalaman, namun dengan alasan yang sangat berbeda.

“Pengguna baru menarik karena mereka belum memahami seperti apa perilaku ‘normal’ Web3,” ujar dia

Menariknya, eksekutif tersebut menyatakan bahwa pengguna lama semakin menjadi target bernilai tinggi dibandingkan pemula. Menurutnya,

“Pengguna veteran berinteraksi dengan lebih banyak dApps, menyetujui lebih banyak transaksi, dan memindahkan jumlah yang lebih besar. Itu berarti momen kecerobohan bisa menyebabkan kerugian lebih besar. Jadi, kelompok yang paling berisiko hari ini adalah mereka yang mengira mereka tidak berisiko.”

Cohen menambahkan bahwa salah satu kesalahpahaman terbesar dalam Web3 adalah kepercayaan bahwa kegagalan keamanan berasal dari pengguna yang tidak memahami teknologi. Analisisnya menunjukkan hal yang sebaliknya. Orang-orang dibobol karena sistem menempatkan beban yang tidak realistis pada mereka.

“Pengguna berpikir, ‘Saya terlalu pintar untuk terjebak, saya tahu bagaimana wallet bekerja – saya aman.’ Namun, lanskap ancaman berubah lebih cepat daripada pengguna. Penyerang tidak berusaha mengakali wallet Anda; mereka mencoba mengakali Anda. Dan mereka sangat mahir melakukannya. Apa yang kurang dipahami orang adalah bahwa Web3 memberikan beban kognitif yang besar pada individu. Pengguna tidak harus mengurai sinyal teknis untuk tetap aman – keamanan harus bekerja untuk mereka secara otomatis,” terang Cohen.

Mengapa Pengguna Web3 Pintar Tetap Kehabisan Dana di 2025

Risiko yang didorong oleh manusia ini terus bertahan meskipun terdapat pengeluaran rekor untuk keamanan di 2025. Laporan Kerberus menyebutkan bahwa layanan terkait kripto dan investor kehilangan lebih dari US$3,1 miliar akibat peretasan dan penipuan pada paruh pertama tahun ini. Jumlah ini sudah lebih banyak dibanding total sepanjang 2024.

Angka itu termasuk pelanggaran Bersejarah Bybit. Tanpa memasukkan ini, serangan yang menargetkan manusia seperti phishing dan rekayasa sosial masih mencapai US$600 juta. Ini mewakili 37% dari kerugian sisa US$1,64 miliar.

Laporan tersebut mencatat bahwa serangan ini berkembang seiring dengan adopsi yang meningkat dan sepenuhnya melewati pertahanan teknis. Ini membuat sulit bagi model keamanan tradisional untuk mencegahnya.

Sementara perusahaan berinvestasi besar-besaran dalam audit, pemantauan, dan peninjauan kode, penyerang semakin mengeksploitasi pengguna langsung di tingkat transaksi. Tapi apa yang membuat manusia begitu rentan terhadap serangan ini?

“Manusia rentan karena setiap penipuan dirancang untuk mengeksploitasi jalan pintas psikologis alami—rasa urgensi, otoritas, keakraban, ketakutan akan kehilangan, atau kenyamanan dengan rutinitas. Ini bukanlah kekurangan; ini adalah naluri yang sama yang memungkinkan kita berfungsi dalam kehidupan sehari-hari. Teknologi saja tidak dapat mengubah psikologi manusia, tetapi dapat menangkap momen ketika psikologi sedang dipersenjatai,” papar Cohen. 

Dia menekankan bahwa bentuk perlindungan terkuat bukanlah bergantung pada pengguna untuk menghindari kesalahan melalui pendidikan saja, melainkan mencegah tindakan berbahaya secara real-time sebelum kerusakan terjadi.

“Itu sebabnya deteksi real-time sangat penting. Jika Anda bisa memperingatkan pengguna tepat pada saat mereka sedang dimanipulasi, Anda bisa menghentikan sebagian besar kerugian sebelum terjadi,” tambah Cohen.

Eksekutif itu mencatat bahwa tidak realistis untuk mengharapkan pengguna sehari-hari untuk membedakan antara dApp berbahaya, airdrop, atau halaman mint. Platform penipuan modern seringkali sangat mirip dengan yang sah. Ini membuat mereka hampir tidak bisa dibedakan.

Dia menambahkan bahwa pengguna bisa terus mengklik tautan phishing. Mereka tidak melakukannya karena ceroboh, tetapi karena serangan tersebut dengan sengaja dirancang untuk menipu.

Bahkan peringatan real-time kadang terlihat seperti positif palsu, menyoroti sifat maju dari penipuan ini.

“Pengguna seharusnya tidak diharapkan untuk melakukan pemeriksaan forensik. Beban harus bergeser ke alat yang menganalisis maksud dan perilaku secara real-time,” saran Cohen.

Laporan ini juga menyatakan bahwa serangan ini mengeksploitasi momen ketika pengguna paling tidak mampu menilai ancaman. Ini bisa terjadi saat seseorang memeriksa wallet mereka saat terganggu saat bekerja, bereaksi terhadap pesan mendesak yang mengklaim akun mereka akan dibekukan, atau menyetujui transaksi pada akhir hari yang panjang ketika mereka kelelahan.

Menurut temuan tersebut, respons industri sebagian besar adalah dengan menambahkan lebih banyak peringatan dan langkah verifikasi. Namun pendekatan ini seringkali berbalik arah akibat “kelelahan keamanan.” Ketika pengguna terbiasa dengan peringatan yang terus-menerus—banyak di antaranya adalah alarm palsu yang hanya memperlambat mereka—kemampuan mereka untuk membuat keputusan yang hati-hati berkurang di bawah tekanan kognitif yang terus-menerus.

3 Tindakan yang Dapat Diambil Pengguna untuk Lebih Aman di Web3

Untuk mengurangi kerugian di dunia nyata, Katz mengungkapkan tiga praktik yang dapat diadopsi pengguna. Dia menyarankan pengguna untuk:

• Berhenti sejenak sebelum menandatangani: Kompromi biasanya terjadi dalam waktu kurang dari sepuluh detik. Meluangkan waktu sebentar untuk membaca prompt atau memastikan apakah permintaan sesuai dengan tindakan yang dimaksud bisa mencegah sebagian besar serangan yang berhasil.
• Pisahkan aset bernilai tinggi dari aktivitas sehari-hari: Menggunakan beberapa wallet tetap menjadi salah satu pengaman paling efektif. Dia menyarankan agar pengguna menyimpan kepemilikan jangka panjang mereka di wallet dingin atau low-touch dan menggunakan wallet terpisah untuk penjelajahan, mint, dan decentralized application. Pembagian ini membatasi potensi kerusakan.
• Andalkan perlindungan transaksi real-time: Karena banyak ancaman melibatkan rekayasa sosial daripada eksploitasi teknis, pengguna diuntungkan dari alat yang menginterpretasikan tindakan on-chain sebelum diselesaikan. Lapisan pertahanan tunggal ini memblokir banyak penipuan yang lebih canggih.

Tujuannya, ujar dia, bukan untuk menjadikan pengguna ahli keamanan, tapi membangun batas perlindungan yang mencegah kesalahan berubah menjadi kerugian finansial.