Взломы DeFi привели к потерям более чем на $840 млн в 2026 году на данный момент

Один из худших годов на record. Децентрализованные финансы хакерские атаки, и мы только на полпути.

За первые пять месяцев 2026 года атаки на DeFi, вызвавшие ущерб на сумму более 840 миллионов долларов США, привели к потерям более 600 миллионов долларов — только в апреле было украдено более 600 миллионов долларов, причем две крупнейшие атаки года: эксплуатация уязвимости KelpDAO с ущербом в 292 миллиона долларов и уязвимость протокола Drift на 285 миллионов долларов.

Убытки продолжались до мая. Исследователи безопасности 雷神链 обнаружили подозрительную уязвимость в мосте, затронувшую более 10 миллионов долларов, после чего сделки были приостановлены.

Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Volore Protocol,Rhea Finance,Verus-Ethereum Bridge и многие другие компании также присоединились к этому кризису, и этот список напоминает стресс-тест для каждой доверительной гипотезы, на которой основан DeFi.DeFiLlama Data.

Эксперты расшифровывают: участники в целом согласны с таким диагнозом: недавние хакерские атаки на DeFi выявили структурные недостатки в сфере DeFi. Мосты и системы управления, а прогресс в области искусственного интеллекта, возможно, помогает злоумышленникам быстрее обнаруживать уязвимости.

Наталья Ньюсон, старший блокчейн-исследователь в платформе веб-безопасности CertiK, сказала Decrypted, что, хотя атаки в криптовалюте в апреле были особенно серьезными, общая тенденция остается стабильной и ниже пикового числа инцидентов 2023 года.

«Апрель 2026 года стал месяцем частых атак на криптовалютные уязвимости; только три дня прошли без атак, и каждый день похищали как минимум 10 000 долларов США», — сказала она.

«Однако с более широкой точки зрения количество инцидентов (за исключением фишинга) можно считать относительно стабильным и все еще ниже пика 2023 года», — отметил Ньюсон, добавив, что серьезность в апреле была обусловлена 14 атаками с убытками более чем на 1 миллион долларов, что второе по величине число после 16 в сентябре 2025 года.

Ари Редборд, директор по глобальной политике и правительственным вопросам TRM Laboratories, сообщил Decrypted, что это [усиление] можно отследить до государственного актора, который за пять лет превратился из периферийной фигуры в решающую угрозу.

Редбод заявил: «Северная Корея является основным драйвером, и эта кампания становится все более точной, а не все более широкой». Он также отметил, что в этой кампании участвуют лица, связанные с Северной Кореей. Зарегистрировано, что в первые четыре месяца 2026 года 76% потерь от кибератак на криптовалюты по всему миру произойдут здесь, что выше, чем 64% в 2025 году и менее 10% в 2020 году.

Он сказал: «Северная Корея использует не только технологические атаки в космосе, но и сложные, тщательно спланированные методы социальной инженерии».

Самой крупной хакерской атакой в DeFi в этом году стала атака 18 апреля, в ходе которой злоумышленники похитили около 116 500 rsETH на сумму примерно 292 миллиона долларов США.

LayerZero является поставщиком базовой инфраструктуры передачи сообщений для этого мостового протокола, и в последнем заявлении компания сообщила, что... 尸检报告 атака началась 6 марта, когда разработчик подвергся социальной инженерии, и его сессионный ключ был украден.

Мы поделимся отчетом об инциденте, подготовленным по событию 18 апреля, который был составлен … @Mandiant и @CrowdStrike. Полный отчет и краткое изложение будут опубликованы по следующей ссылке.

За последние четыре недели мы вместе с сотнями партнеров помогли им... pic.twitter.com/yVZdqjLTeT

— LayerZero (@LayerZero_Core)2026年5月20日

Протокол межсетевой передачи сообщений утверждает, что Mandiant, CrowdStrike и независимые исследователи приписывают эту атаку северокорейскому угрожающему деятелю TraderTraitor, также известному как UNC4899.

Redbord добавил, что структурные причины постоянных ударов по DeFi в конечном итоге связаны с тем, где размещаются средства и как они перемещаются.

Он отметил: «Межсетевая сложность DeFi делает ее средой, полной целей для атак — мосты всегда становятся причиной самых крупных однократных потерь, а модели отказов повторяются с поразительной последовательностью, поскольку основная проблема имеет архитектурный характер».

Раз Нив, сооснователь и главный технолог платформы цепочки блоков Blockaid, сообщил Decrypt, что в крупнейших инцидентах этого года повторялись три технические модели: сбои в контроле привилегированного доступа, злонамеренное обновление прокси (когда атакующие заменяют смарт-контракт на версию с бэкдором) и уязвимости в проверке межцепочечных сообщений.

Что касается привилегированного доступа, Нив отметил, что компания отслеживает «необычные события выдачи ролей и несанкционированное повышение прав», например, такие события, как:эксплуатация уязвимости Echo Protocol, связанные с утечкой администраторских ключей или ошибками конфигурации.

«Злоумышленники либо получают приватные ключи с помощью социальной инженерии, либо используют неправильно спроектированные пороговые значения многоподписной подписи», — добавил он.

Он указал на сбои в таких областях, как контроль доступа по привилегиям, злонамеренное обновление прокси и система межцепочечной проверки, и отметил, что недавние атаки выявили более глубокие слабости в предположениях, связанных с подключением все более сложной инфраструктуры.

Нив сказал: «Общая черта заключается не в сложности как таковой, а в том, что каждый уровень абстракции (агенты, роли администраторов, межцепочечная передача сообщений) вводит предположения о доверии, которыми злоумышленники систематически пользуются».

Niv отметил, что искусственный интеллект все больше меняет подход к обнаружению уязвимостей, но предупредил, что влияние искусственного интеллекта часто неправильно понимают.

Он отметил, что текущие модели становятся все более эффективными в масштабном выявлении известных уязвимостей и «автоматизируют работу квалифицированных аудиторов», при этом предупредив, что «настоящая опасность заключается не в том, что искусственный интеллект заменит человеческих злоумышленников», а в том, что искусственный интеллект «усиливает возможности злоумышленников» за счет обработки разведывательных задач, позволяя им сосредоточиться на более сложных технологиях.

«Хорошая новость в том, что защитники могут использовать те же инструменты. Искусственный интеллект для мониторинга и моделирования становится критически важным для команд безопасности, стремящихся не отставать от времени», — добавил Нив.

Nessen noted that the surge in DeFi hacking attacks has shown a similar trend, saying: "Advancements in artificial intelligence may be one of the factors contributing to this phenomenon, although it is not the only one."

Она добавила, что CertiK обнаружила рост случаев использования старых и неверифицированных контрактов, что «логично указывает на то, что искусственный интеллект помогает выявлять уязвимости».

Также Redbord отметил, что «злоумышленники масштабно внедряют искусственный интеллект» для разведки, социальной инженерии и проектирования уязвимостей, добавив, что сложность атак, подобных Drift, кажется «согласованной с рабочими процессами, поддерживаемыми искусственным интеллектом».

Аналитик TRM считает, что северокорейские боевые оперативники все чаще интегрируют инструменты искусственного интеллекта в свои действия, заявив: «Решение заключается в агрессивной интеграции искусственного интеллекта в оборону с той же решимостью, с какой противник применяет его в атаке».

Redbord отметил, что хакерские атаки на DeFi — это «проблема, которую можно решить», но одновременно заявил, что отрасли необходимо более откровенно указывать, где именно происходят сбои.

Он отметил, что «аудит может предотвратить уязвимости в коде», но не может защитить от сложных социальных инженерных атак, подобных атаке на Drift, в которой, как сообщается, участвовали агенты Северной Кореи. Затратив месяцы на получение доступа до того, как произошло нарушение.

Этот эксперт добавил: «Эффективная модель — это реальное государственно-частное партнерство.»

Ньюсон отметил, что 2026 год может стать «переломным моментом в эволюции», подчеркнув, что отрасль осознает кибербезопасность как «проблему всего стека», охватывающую «искусственный интеллект, КНДР, а также инфраструктуру и персонал».

«Если ваши оффчейн ручные процессы содержат уязвимости, то даже самые совершенные математические расчеты на цепочке не помогут», — сказала она, отметив, что отрасль все больше переходит к «практически реализуемым структурным решениям» для борьбы с рисками инфраструктуры и социальной инженерии.

Степень потери доверия к DeFi трудно количественно оценить, но ее легко заметить.

Уязвимость Kelp DAO вызвала отток средств на сумму 6,2 млрд долларов. Эви в одиночку инициировал спасательную операцию под руководством генерального директора Aave Стани Кулечова, известную как «DeFi United», которая собрала около 303 миллионов долларов США в виде 132 650 ETH для покрытия безнадежных долгов.

Эта согласованная реакция показывает, что отрасль способна мобилизоваться. Это также демонстрирует, сколько средств требуется, чтобы скрыть кражу через мост.

Ньюсон заявил, что последствия полностью зависят от того, кто будет затронут.

«Опытные специалисты могут воспринимать последние шесть недель как нечто само собой разумеющееся — как обычную часть следующего этапа развития и как болезненный урок, из которого нужно извлечь выводы», — сказала она.

Она отметила, что повторяющиеся атаки по-разному влияют на новых участников рынка, и предупредила, что для пользователей, потерявших значительные суммы денег, последствия не являются «опытом обучения», а вызывают «выживательные вопросы» относительно долгосрочной «пригодности и безопасности» криптовалют, причем технические исправления часто приходят слишком поздно, чтобы восстановить утраченные средства.