Привет, Хабр! Бытует мнение, что блокчейн и криптовалюты — чуть ли не самый защищённый способ хранить активы, до которого хакеры если и доберутся, то только в формате физического завладения флешкой или социнженерии. А вот именно взломать такие протоколы очень и очень сложно.
Наш экспертно-аналитический центр InfoWatch (ЭАЦ) выпустил большой отчёт о киберпреступности в области децентрализованных финансов. В этой статье мы поделимся некоторыми данными из него. Для затравки — лишь за неполные пять месяцев 2026 финансовые потери DeFi-протоколов превысили 770 миллионов долларов. Худший месяц для индустрии в этом плане — апрель, на который пришлось 606 похищенных миллионов.
Впрочем, обо всём по порядку.
Понятия и термины
Decentralized Finance / децентрализованные финансы — построенная на блокчейне система финансов сервисов и приложений. Чаще всего большие DeFi-проекты строятся на базе высоколиквидных криптоактивов с заметной капитализацией и развитой экосистемой — Ethereum, Solana, BNB Chain и прочие. Создавали DeFi на замену классических финтех-посредникам (биржи, банки, брокеры).
Главные преимущества DeFi — автоматизированные информационные системы и смарт-контракты. Три кита DeFi — доступность (вам нужен только интернет и криптокошелёк), прозрачность (транзакции в блокчейне может проверить любой человек) и персональный ответственность (ваш приватный ключ — только ваш, никто не может распоряжаться деньгами без вас).
По разновидности финансовых сегментов DeFi делятся на шесть основных блоков:
Децентрализованные биржи (DEX)
Протоколы кредитования (Lending & Borrowing)
Децентрализованные стейблкоины (Stablecoins)
Ликвидный стейкинг (Liquid Staking & Restaking)
Деривативы и перпетуалы (Perpetuals / DeFi Derivatives)
Децентрализованное страхование (DeFi Insurance)
Важно понимать, что DeFi-протоколы не существуют изолированно, а строятся в формате модульного стека из нескольких уровней. Каждый уровень — это определённая технологическая функция. Всего таких уровней пять:
1. Инфраструктурный уровень (Infrastructure Layer)
Обеспечивает связь блокчейна с внешним миром и доступ к данным.
2. Расчетный уровень (Settlement / Base Layer)
Фундамент, на котором фиксируются права собственности и проходят базовые транзакции.
3. Протокольный уровень (Protocol Layer)
Свод правил, логика и математические алгоритмы, зафиксированные в виде открытого кода.
4. Прикладной уровень (Application Layer)
Пользовательские интерфейсы (UI/UX) и фронтенд-приложения (веб-сайты, мобильные апплеты), которые переводят команды пользователя в вызовы смарт-контрактов протокольного уровня.
5. Агрегационный уровень (Aggregation Layer)
Надстройки, для объединения нескольких прикладных протоколов и оптимизации операций пользователей (сведение ликвидности в одну точку, поиск наилучшего курса обмена или максимальной доходности).
О подробном устройстве платформ децентрализованного страхования, работе протоколов, архитектуре и прочем можете почитать в самом исследовании, мы же в рамках статьи сосредоточимся на киберинцидентах.
Самые крупные ИБ-инциденты в сфере DeFi за 2026 год
Kelp DAO, $293 млн (апрель)
На сегодня это крупнейший взлом в сети Ethereum. Хакеры атаковали уязвимую модель моста LayerZero, опиравшуюся всего на один узел валидатора (контролера). Выпустив 116 500 необеспеченных токенов rsETH, злоумышленники внесли их в качестве залога через протокол AAVE и, получив кредит, вывели реальные активы (в основном чистый ETH), оставив платформу с огромным непокрытым долгом перед ее участниками.
Drift Protocol, $285 млн (апрель)
Уникальная по своей подготовке атака через децентрализованную биржу (DEX). Северокорейские хакеры (предположительно Lazarus Group) в течение полугода внедрялись в команду проекта DRIFT под видом легальной торговой фирмы. Пополнив баланс на $1 млн для завоевания доверия, они в итоге получили от Совета Безопасности протокола административные права доступа, изменили смарт-контракт и вывели средства. Токен DRIFT был обесценен и потерял 98% своей стоимости.
Resolv Labs, $23 млн (март)
Блокчейн-код и смарт-контракты проекта работали корректно и прошли 14 независимых аудитов. Протокол пострадал из-за компрометации приватного закрытого ключа привилегированного аккаунта, который использовался для выпуска токенов. Ключ хранился в облачной среде AWS Key Management Service (KMS). Отсутствие ограничений на выпуск токенов (Mint Cap) на уровне смарт-контракта, позволило атакующему сгенерировать и вывести 80 млн стейблкоинов USR взамен депозита всего в $200 000.
Solv Protocol, $2.7 млн (март)
Классический случай использования уязвимости повторного входа (reentrancy exploit), вызванной особенностями архитектуры стандарта ERC-3525. В процессе обмена токена на фиксированный депозит повторный вызов функции обмена (до завершения первой операции) приводит к удвоению суммы полученных токенов. Киберпреступник смог повысить свой баланс с начальных 135 токенов BRO до 567 миллионов токенов, нанеся ущерб в размере $2,7 млн (38 SolvBTC).
Venus Protocol, $2 млн (март)
Атака на токен Thena (THE) через кредитный протокол Venus (в сети BNB Chain) привела к ущербу в виде задолженности в размере около $2,15 млн. В основе этого инцидента лежит редкое сочетание манипуляции ценой низколиквидного токена и логической уязвимостью смарт-контракта, которая позволила учесть завышенные в цене токены, как залог для получения кредита. Общая сумма выведенных активов (включая CAKE, USDC, BNB и Bitcoin), оценивается в $3,7 млн.
Общие тенденции в атаках и эра ИИ
Исследовав атаки на DeFi за последние пять месяцев, можем выделить три основных тренда.
1. След КНДР и использование ИИ
То, что без ИИ сейчас никуда и что его точно будут использовать в атаках — это очевидно. Нейронки ощутимо снижают порог входа и помогают писать зловреды даже тому, кто не обладает нужными практическими навыками. Что касается КНДР, то на группировки из этой страны приходится 76% украденных в этом году средств (хоть и всего лишь в рамках двух атак, зато их масштаб впечатляет).
ИИ помогает быстро искать уязвимости в блокчейн-инфре, раньше на это уходили месяцы, теперь — часы. При использовании ИИ-моделей стоимость организации и проведения эффективной атаки составляет около $5 000 долларов. Услуги по аудиту и устранению уязвимостей (например, Trail of Bits и OpenZeppelin) стоят более $50 000, длительны по времени (недели) и должны проводиться регулярно. Это делает затраты на ИБ несовместимыми с бизнес-моделью большинства DeFi-проектов.
А что касается скорости подготовки и проведения атак — еще в 2024 году киберпреступникам требовалось от нескольких дней до нескольких недель для поиска уязвимости, изучения кода, создания рабочей программы (эксплойта), проникновения в сеть и запуска атаки. В 2026 году они используют ИИ-модели на всех этапах подготовки и проведения атаки, весь цикл занимает от 5 до 30 минут.
2. Прецедент возврата в обход протоколов обмена
Случай с Kelp DAO — часть украденных средств (30 766 ETH) была переведена в сеть Arbitrum. Совет Безопасности Arbitrum совместно с правоохранителями пошел на радикальный шаг и заблокировал эти средства прямо на уровне сети без использования приватного ключа, что вызвало новые споры о безопасности, как отдельных протоколов, так и использования децентрализованных систем криптовалютного обмена в целом. Станет ли подобное более частой практикой — вопрос открытый.
3. Общий удар по экосистеме DeFi
Из-за масштабов взломов и объёмов украденных средств пошла цепная реакция и общий уровень доверия к DeFi заметно пошатнулся. Ещё бы, за неполные полгода потерять три четверти миллиарда долларов. Уже видно, что объём доступных средств (TLV) в DeFi резко снизился, а крупнейшая платформа на основе AAVE зафиксировала краткосрочный отток средств на сумму около 9 миллиардов долларов.
Ключевые методы киберпреступников
Враждебное поглощение через мгновенные займы (Flash Loan Governance Takeover)
Сегодня метод используется как основной элемент сложных комбинированных схем нападения и проведения кибератак.
Механика. Если смарт-контракт управления учитывает баланс токенов непосредственно в момент создания или закрытия голосования (без требования долгосрочного размещения), киберпреступник берет мгновенный заем (Flash Loan) на децентрализованной бирже (DEX).
Результат. Получив миллионы токенов на долю секунды, атакующий выдвигает вредоносное предложение на голосование (например, «перевести все средства казначейства на кошелек X») и сам единогласно его утверждает. В 2026 году от этого пострадали несколько форков (ветвей) кредитного протокола Compound, где не был установлен временной лаг (Voting Delay) между покупкой токенов и возможностью голосовать.
Скупка голосов на вторичном рынке (Bribe & Accumulate)
Более изощренный и легальный с точки зрения блокчейна метод. Киберпреступники используют платформы ликвидного управления (Liquid Governance, активно развивающиеся в экосистемах Curve и Convex), чтобы скрытно получить право голосования от имени других участников проекта.
Схема. Вместо того чтобы покупать дорогой токен с правом голоса, киберпреступники через подставные кошельки арендуют права на голосование у розничных инвесторов.
Применение. Набрав критическую массу голосов (обычно более 51%), они меняют критические параметры протокола - отключают комиссии, снижают требования к залогам для своих адресов или меняют доверенных оракулов, что приводит к опустошению пулов ликвидности.
Компрометация Советов Безопасности (Security Councils & Multisig)
Многие DeFi-проекты для защиты от манипуляций и взлома создают Советы Безопасности – кошельки с мультиподписями (Multi-signature) с остановкой действий по контрактам если нет кворума (например, всего 7 подписей из них необходимый минимум 4). В 2026 году киберпреступники сконцентрировались на человеческом факторе этой защиты:
Социальная инженерия с ИИ
Как показал случай с Drift Protocol, киберпреступники создают глубокие цифровые личности (ИИ-клоны, фальшивые профили в LinkedIn и GitHub), чтобы годами внедряться в основные команды разработчиков и избираться в Советы Безопасности получая привилегии и права доступа.
Целевой фишинг (Spear Phishing)
Зная реальные личности держателей ключей, хакеры атакуют их персональные устройства (через уязвимости нулевого дня в Telegram или браузерах), получая доступ к приватным ключам основных участников проекта. После компрометации необходимого минимума подписей киберпреступники могут легально одобрить вредоносное обновление кода.
Атаки через «Ленивое голосование» (Lazy Governance Exploits)
Большинство держателей токенов управления не участвуют в ежедневных голосованиях, создавая проблему низкого кворума. Хакеры используют эту пассивность сообщества.
Тактика. Киберпреступник создает предложение со сложным, запутанным кодом смарт-контракта, маскируя его под «плановое обновление безопасности» или «оптимизацию расходов газа».
Эффект. При отсутствии глубокого аудита со стороны рядовых пользователей и участников (инвесторов) имеющих право голоса, предложение проходит кворум автоматически. После внедрения в основную сеть, активируется заложенный в код бэкдор (backdoor) и из проекта выводятся средства.
Что со всем этим делать и как защищаться
Битва меча и щита в ИБ, пожалуй, будет вечной. На новые механики атак кибербезопасность отвечает новыми способами защиты. Вот как начала перестраиваться DeFi-отрасль.
Периодический аудит и проверка кода
Крупные DeFi-проекты периодически обращаются к внешним аудиторским компаниям и проводят глубокий ручной и автоматизированный анализ смарт-контрактов. Разработчики проводят формальную верификацию кода перед внедрением (инструменты типа Certora, Halmos). Верификация предполагает использование алгоритмов проверки с математическим доказательством отсутствия логических противоречий в поведении кода.
Bug Bounty и страховка
Программы по поиску уязвимостей для крупных DeFi-проектов на данный момент имеют семизначные бюджеты. Протоколы, интегрированные с Nexus Mutual или аналогичными сервисами, часто имеют возможность возмещения средств за счет фонда страхования.
Смена парадигмы аудита
От традиционных дорогостоящих проверок раз в полгода, DeFi-проекты переходят к модели непрерывного аудита (Continuous Audit). Код сканируется ИИ при каждом изменении в ПО.
Внешние системы мониторинга
Любой код может быть уязвимым за счет внешних факторов (например, манипуляции с оракулами цен). Автономные системы наблюдения в реальном времени (например, Forta и Hypernative) предполагают создание контура безопасности поверх блокчейна и блокировку транзакций до их подтверждения.
Внедрение временных блокировок (Timelocks)
Любое решение, принятое голосованием, теперь принудительно замораживается на срок от 5 до 10 дней до его исполнения. Это дает сообществу время заметить атаку и защитить активы проекта и свои средства (принцип rage-quit).
Увеличение количества подтверждений
Системы с множественным подтверждением (Multi-signature) требует подписи нескольких доверенных лиц для выполнения любого важного действия. Отказ от единственного подтверждения усложняет работу и снижает скорость операций, но позволяет повысить устойчивость DeFi-проектов к взлому и манипуляциям.
Динамический кворум
Чем радикальнее предложение (например, изменение адреса казначейства), тем выше (автоматически) становится порог необходимых для одобрения голосов (вплоть до 85%).
Переход на криптографию ZK (Zero-Knowledge) для приватного голосования
Чтобы киберпреступники не могли в реальном времени отслеживать распределение голосов и докупать нужный объем на биржах, DeFi-проекты используют слепое голосование, результаты которого раскрываются только в момент подсчета голосов.
Немного выводов и прогнозов
Вот что, на наш взгляд, ждёт DeFi в ближайшие пару лет.
Смещение в сторону безопасности с приходом крупного капитала.
Технологическая изоляция и смерть «мостов» в их текущем виде.
Разделение DeFi на два параллельных рынка.
А ещё индустрия, скорее всего, разделится по регуляторному и инфраструктурному признаку на два сектора:
Первый — сектор для крупного капитала и банков (TradFi). Он будет работать на базе KYC/AML-верификации, внутри изолированных L2-сетей, со строгими стандартами аудита и без использования высокорисковых механизмов вроде ликвидного рестейкинга. Капитализация будет расти за счет токенизации реальных активов (RWA -облигаций, недвижимости).
Второй — классический DeFi с высоким риском и высокой доходностью. Он останется полностью анонимным, но уйдет на второй план. В этом секторе будут доминировать неизменяемые (immutable) смарт-контракты, создатели которых будут искать и совершенствовать алгоритмические системы защиты и новые функции по повышению доходности. Станет своеобразным полигоном для испытаний и поиска новых решений.