Отчет о взломах DeFi за первый квартал 2026 года: похищено 169 млн долларов, злоумышленники отказываются от атак на смарт-контракты в пользу закрытых ключей и облачной инфраструктуры
Согласно последней базе данных взломов DefiLlama, в первом квартале 2026 года протоколы DeFi потеряли 169 млн долларов в результате 34 отдельных эксплойтов. Этот показатель снизился на 89% в годовом исчислении по сравнению с ошеломляющими 1,58 млрд долларов в первом квартале 2025 года — однако это улучшение заголовков скрывает более тревожную историю. Злоумышленники, похитившие больше всего денег в этом квартале, не затронули ни одной строки кода смарт-контракта.
Квартал в цифрах
В период с 1 января по 31 марта 2026 года DefiLlama зафиксировала 34 различных эксплойта протоколов DeFi на общую сумму около 169 млн долларов в украденных активах. На январь пришлось львиная доля, в основном из-за взлома �казначейства Step Finance на 40 млн долларов 31 января. В феврале произошла серия инцидентов среднего размера, включая манипулирование оракулами Blend Protocol на сумму 10 млн долларов в сети Stellar и взлом моста IoTeX на 8 млн долларов. Март завершился эксплойтом Resolv Labs на 23 млн долларов 21 марта, а общие потери по всем протоколам, согласно данным PeckShield, составили около 52 млн долларов.
Эти цифры, специфичные для DeFi, вписываются в более широкий ландшафт криптобезопасности за первый квартал, который Cryip оценивает более чем в 450 млн долларов, если учитывать централизованные биржи, фишинговые кампании и атаки на инфраструктуру. И квартал едва успел закончиться, как эксплойт Drift Protocol на 285 млн долларов 1 апреля развеял любое ощущение улучшения ситуации с безопасностью.
Смарт-контракты больше не являются самым слабым звеном
Определяющая закономерность первого квартала 2026 года очевидна: самые дорогие атаки полностью обходили смарт-контракты.
Step Finance (40 млн долларов, 31 января) — Злоумышленники скомпрометировали устройства руководителей для извлечения закрытых ключей от кошельков казначейства, после чего вывели 261 932 SOL из позиций стейкинга вместе с другими активами казначейства. Ончейн-экспертиза выявила методичную операцию, планировавшуюся в течение нескольких дней. Протокол вернул примерно 4,7 млн долларов благодаря функциям безопасности стандарта Token22 и быстрым вмешательствам на уровне протокола — менее 12% от украденного.
Resolv Labs (23 млн долларов, 21 марта) — Злоумышленник взломал среду AWS Key Management Service (KMS) компании Resolv, получив контроль над привилегированным ключом подписи протокола. Они профинансировали два запроса на своп скромными суммами в 100–200 тыс. долларов в USDC, а затем использовали скомпрометированный ключ SERVICE_ROLE для авторизации выпуска 80 миллионов необеспеченных стейблкоинов USR. Привязка токена к доллару рухнула до 0,20 доллара, прежде чем частично восстановиться до 0,56 доллара. Коренной причиной стала архитектура, которая предполагала абсолютное доверие к одному облачному ключу без ограничений на минтинг ончейн.
Мост IoTeX (8 млн долларов, февраль) — Утечка закрытого ключа и сбои в управлении доступом в инфраструктуре кроссчейн-моста позволили осуществить кражу — повторяющийся сценарий, который продолжает угрожать кроссчейн-ликвидности.
В совокупности компрометация закрытых ключей и сбои в управлении доступом составили более 70 млн долларов потерь в первом квартале — более 40% от общего объема — без эксплуатации ни одной уязвимости в смарт-контрактах.
Манипулирование оракулами: постоянный системный риск
В то время как атаки на закрытые ключи доминировали в заголовках, манипулирование оракулами оставалось надежным оружие�м в арсенале злоумышленников. В первом квартале эксплойты, связанные с оракулами, затронули Aave V3, Venus Protocol, Moonwell, Blend Protocol и Valinity. Ценовые потоки, которые полагаются на пулы с низкой ликвидностью или плохо защищенные внешние источники данных, остаются системной слабостью кредитных примитивов.
Эксплойт Drift Protocol, произошедший 1 апреля, продемонстрировал эту технику в ее наиболее изощренном виде. Злоумышленник создал поддельный токен под названием «CarbonVote Token» (CVT), сформировал пул ликвидности на 500 долларов на Raydium и в течение нескольких недель использовал фиктивную торговлю (wash trading) для создания искусственной истории цены около 1 доллара. Как только манипулируемая цена была принята оракулами, злоумышленник использовал скомпрометированный ключ администратора для листинга CVT на Drift, поднял лимиты на вывод средств, внес сотни миллионов CVT в качестве залога по манипулируемой цене и вывел 285 млн долларов из почти 20 хранилищ — и все это менее чем за 20 минут.
TRM Labs отследила подготовку к 11 марта, когда 10 ETH были выведены из Tornado Cash и начали перемещаться примерно в 09:00 по пхеньянскому времени. Атрибуция указывает на северокорейских хакеров, спонсируемых государством — ту же Lazarus Group, которая стояла за взломом биржи Bybit на 1,4 млрд долларов в феврале 2025 года.
Тень Lazarus Group
Северокорейская Lazarus Group продолжает отбрасывать длинную тень на криптобезопасность. Совершив крупнейшее в истории похищение криптовалюты на Bybit — внедрив вредоносный JavaScript в интерфейс Safe{Wallet} через скомпрометированный компьютер разработчика — группа, судя по всему, усовершенствовала свой подход к целям в сфере DeFi.
Атака на Drift Protocol объединила несколько векторов (создание поддельного токена, манипулирование оракулами, компрометация ключа администратора) в одну скоординированную операцию. Chainalysis сообщила, что в 2025 году кражи криптовалюты достигли 3,4 млрд долларов в целом, при этом Lazarus Group несет ответственность за значительную част�ь. Сценарий 2026 года предполагает, что группа все чаще нацеливается на протоколы DeFi, где единые точки отказа в управлении ключами создают поверхности для атак, сопоставимые с централизованными биржами.
От аудита кода к аудиту инфраструктуры
Данные за первый квартал заставляют пересмотреть подход индустрии к безопасности. Аудит смарт-контрактов, который может стоить более 150 000 долларов для критически важных контрактов, а при формальной верификации превышать 200 000 долларов, остается необходимым, но становится все более недостаточным.
Современные оценки безопасности в 2026 году расширились и теперь включают проверку кода, статический анализ, тестирование инвариантов, моделирование экономических атак, стресс-тестирование оракулов, проверку управления ключами, аудит конфигурации управления, анализ границ доверия в кроссчейн-системах, мониторинг в реальном времени и планирование реагирования на инциденты. Автоматизированные аудиты выявляют примерно 70–80% низкоуровневых недостатков, но самые разрушительные атаки первого квартала использовали пробелы между ними — скомпрометированные устройства разработчиков, неправильно настроенные политики IAM в облаке и архитектурную чрезмерную зависимость от одиночных ключей подписи.
Формирующаяся иерархия безопасности ясна:
- Ошибки в смарт-контрактах становятся менее частыми по мере улучшения инструментов (формальная верификация, фаззинг, многочисленные независимые аудиты).
- Манипулирование оракулами сохраняется там, где пулы с низкой ликвидностью передают ценовые данные кредитным протоколам.
- Атаки на закрытые ключи и инфраструктуру — самый быстрорастущий вектор, использующий человеческий и операционный уровни, которые невозможно исправить никаким аудитом кода.
- Социальная инженерия остается самой дорогостоящей категорией атак в долларовом эквиваленте.
Что протоколы должны делать сейчас
Сдвиг от ончейн-векторов атак к офчейн-векторам требует соответствующего изменения в оборонительной позиции.
Управление ключами: Ключи казначейства, хранящиеся на устройствах, используемых для повседневных операций руководства, представляют собой неприемлемый риск. Аппаратные кошельки с воздушным зазором (air-gap), схемы мультисигнатуры с географическим распределением и транзакции с временной блокировкой для крупных перемещений больше не являются необязательными рекомендациями — это базовые требования.
Облачная инфраструктура: Любой протокол, хранящий ключи подписи в облачных средах KMS, должен исходить из того, что эти среды являются целями. Стандартом должны стать стратегии глубокой защиты, включая аппаратные модули безопасности (HSM), ужесточение политик IAM и обнаружение аномалий в шаблонах использования ключей.
Ончейн-ограничители: Эксплойт Resolv удался отчасти потому, что у смарт-контракта не было максимального лимита на минтинг — он только проверял наличие действительной подписи. Программные лимиты на критические операции (минтинг, вывод средств, изменения администратора) обеспечивают страховку даже в случае компрометации ключей.
Устойчивость оракулов: Протоколы должны требовать минимальн�ых порогов ликвидности, использовать несколько независимых источников цен и средневзвешенные по времени цены (TWAP) для противодействия манипуляциям с новыми или малоторгуемыми активами.
Взгляд в будущее: второй квартал 2026 года и далее
Снижение потерь от взломов DeFi на 89% в годовом исчислении выглядит обнадеживающе, пока вы не учтете аномалию с Bybit, искажающую цифры 2025 года. Если исключить взлом Bybit на 1,4 млрд долларов, потери DeFi в первом квартале 2025 года составили примерно 180 млн долларов, что делает результат первого квартала 2026 года в 169 млн долларов фактически неизменным, а не кардинально улучшенным.
Поскольку эксплойт Drift Protocol на 285 млн долларов уже ознаменовал первый день апреля, второй квартал начинается на мрачной ноте. Эксперты по безопасности ожидают, что в 2026 году появятся еще более продвинутые методы: кража учетных данных, социальная инженерия, разведка с помощью ИИ и все более изощренные инфраструктурные эксплойты.
Индустрия DeFi в значительной степени решила проблему очевидных ошибок в смарт-контрактах. Проблема, которую она не решила — и которую первый квартал 2026 года заставил признать, — заключается в том, что самые опасные злоумышленники больше не пытаются перехитрить ваш код. Они пытаются украсть ваши ключи.
BlockEden.xyz предоставляет блокчейн-API корпоративного уровня со встроенным мониторингом безопасности и защитой инфраструктуры. Для команд, создающих протоколы DeFi и нуждающихся в отказоустойчивой инфраструктуре узлов, изучите наш маркетплейс API, чтобы строить на фундаменте, рассчитанном на долгосрочную перспективу.