$625 млн — столько криптоиндустрия потеряла только за апрель 2026 года. Это абсолютный рекорд по объёму украденных средств за один месяц. 30 отдельных инцидентов, в среднем почти один взлом в день.
Ключевые выводы
Атаки переместились со смарт-контрактов на инфраструктуру: RPC-узлы, социальную инженерию, облачное управление ключами. Классические уязвимости смарт-контрактов практически решены — 89% падение year-over-year.
Хронология катастрофы
Первый удар пришёлся на 1 апреля. DeFi-протокол Drift Protocol на Solana потерял $285 млн в результате социальной инженерии: злоумышленники шесть месяцев внедрялись в команду, получили административные ключи и вывели средства через легитимные каналы. Позже TRM Labs связала атаку с северокорейской группой Lazarus (TradersTraitor subunit).
Второй, более разрушительный удар — 18 апреля. KelpDAO — протокол ликвидного рестейкинга (restaking) — потерял $292 млн через мост LayerZero. Атака не затронула смарт-контракты. Злоумышленники скомпрометировали два RPC-узла, используемых DVN (Decentralized Verifier Network), и запустили DDoS-атаку против остальных узлов. Единственный верификатор прочитал ложные данные и подтвердил фиктивный «burn» на исходном блокчейне. Мост выпустил 116 500 rsETH — 18% от циркулирующего предложения — без какого-либо обеспечения.
«Это был не взлом смарт-контракта. Атака на инфраструктуру, которая обслуживает межблокчейновые сообщения. Система выполнила корректную транзакцию на основе ложных данных о реальности»
— Chainalysis, отчёт от 23 апреля 2026
С украденными токенами атака не просто испарилась. В течение часа депонировала rsETH в Aave, Compound и Euler, заняла ~$236 млн в WETH и wstETH. Aave заморозил рынки rsETH. Внутри суток TVL DeFi упал на $13 млрд — с ~$99,5 млрд до ~$86,3 млрд.
Структурный сдвиг: от кода к инфраструктуре
Цифры говорят сами за себя. Q1 2025: smart contract exploits — доминирующий вектор. Q1 2026: те же типы атак — минус 89% по сумме убытков. Аудиты и формальная верификация работают.
Но атакующий вектор съехал вверх по стеку:
— Социальная инженерия и фишинг: 84% от общей суммы убытков
— Компрометация закрытых ключей: 76% инцидентов по количеству
— Облачное управление ключами: рост с 2025
Критически важно: ни один из крупнейших эксплойтов апреля не был уязвимостью смарт-контракта. Drift — административный ключ через 6 месяцев социальной инженерии. KelpDAO — инфраструктура DVN.
Это означает, что традиционный аудит кода — необходим, но недостаточен. Безопасность теперь включает:
— Инфраструктура верификации межблокчейновых сообщений
— Человеческий фактор: найм, доступы, фишинг
— Облачный провайдер и управление ключами
— Мониторинг RPC и нод
DPRK: государство как хакер
Оба крупнейших эксплойта — Drift ($285M, 1 апреля) и KelpDAO ($292M, 18 апреля) — предварительно атрибутированы группе Lazarus (TradersTraitor). Суммарно $577 млн за 18 дней. Разные векторы, один субъект.
Использование искусственного инженерного интеллекта для социальной инженерии — качественный скачок. группа внедряет агентов в команды криптопроектов задолго до атаки, атакует RPC-инфраструктуру для подделки данных. Это не «хаки из подвала» — это государственные кибероперации, финансируемые для обхода санкций.
«Lazarus теперь оперирует через два структурно разных вектора за две недели. Ни один не включал уязвимость смарт-контракта. Это беспрецедентный уровень координации»
— Galaxy Research, отчёт от 20 апреля 2026
Последствия для индустрии
Немедленные последствия:
1. TVL DeFi — падение на $13 млрд за 48 часов. Aave потерял позицию крупнейшего протокола.
2. Мостовые протоколы — массовая пауза. Ethena и другие приостановили LayerZero OFT-мосты. Начинается дискуссия о «1-of-1» конфигурациях верификаторов.
3. Страхование — рост премий для bridging cover. Nexus Mutual и другие пересматривают покрытие.
4. Регуляторное давление — SEC и ESMA уже запросили данные по обоим инцидентам. «DeFi как система» снова в фокусе.
Но есть и позитив:
— Arbitrum Security Council заморозил 30 766 ETH через 48 часов
— LayerZero заявил о прекращении подписи сообщений из «1-of-1» DVN-конфигураций
— Aave V4 вводит mandatory bridge-isolation
Что это значит для инвесторов
Для инвесторов в криптоактивы, DeFi-токены:
Риск-менеджмент меняется. Раньше: «чей аудит лучше». Теперь: «какая инфраструктура за моим депонированием?» Мосты, агрегаторы, кросс-чейн-протоколы — требуют due diligence как традиционные финансовые посредники.
Страхование bridge risk — обязательный элемент. Стоимость покрытия уже растёт.
Децентрализация имеет границы. Мосты — централизованные точки отказа. Архитектура «1-of-1» DVN — уязвимость. Рынок уже требует мультисигнум, threshold signatures.
Вопрос не праздный. Lazarus доказал способность масштабировать операции. AI-социальная инженерия — только первый сезон. Атаки на инфраструктуру требуют иных контрмер, чем аудиты смарт-контрактов.
Индустрия вступает в новую эру безопасности — не кода, а инфраструктуры. Вопрос в том, успеет ли адаптироваться быстрее, чем следующий эксплойт.
Сценарии развития
🟢 Базовый сценарий (40%)
Последствия: TVL растёт после Q2 падения. Рынок «забывает» к маю 2027.
🟡 Повторение Q2 (45%)
Последствия: DeFi TVL застревает на $70-80 млрд до конца 2026. Новые продукты требуют longer runway.
🔴 Катастрофический сценарий (15%)
Последствия: DeFi сжимается до уровня 2020-2021. Годы восстановления. Институционалы уходят на 3-5 лет.
— Внедрение мультисиг DVN на LayerZero-мостах (июнь 2026)
— Страховые премии для bridge cover (динамика Q2)
— Aave V4 security model (июль 2026)
— Регуляторные инициативы SEC/ESMA по DeFi safety
