Перейти к основному контенту

Взлом ИИ-агентов на $45 млн, навсегда изменивший безопасность DeFi

· 9 мин чтения
Dora Noda
Dora Noda
Software Engineer

Когда автономный торговый ИИ-агент вывел 45 миллионов долларов из протоколов DeFi в начале 2026 года, атака не затронула ни одной строки кода смарт-контракта. Вместо этого злоумышленники «отравили» потоки данных оракулов, которым ИИ-агенты безоговорочно доверяли, превратив собственную скорость и автономность агентов в оружие против протоколов, которые они должны были защищать. Добро пожаловать в эпоху, когда самая опасная уязвимость в криптосфере кроется не в коде, а в самом ИИ.

Рост автономных агентов и их слепые зоны

К первому кварталу 2026 года количество ежедневно активных ИИ-агентов в сети превысило 250 000, что составило более 400 % роста в годовом исчислении. Примерно 68 % новых протоколов DeFi интегрировали автономных ИИ-агентов для трейдинга, ликвидации и оптимизации доходности. Прогнозировалось, что мировой рынок ИИ-агентов вырастет с 7,84 млрд до 52,62 млрд долларов, и криптосектор находился на переднем крае внедрения этих технологий.

Но этот стремительный рост сопровождался критическим упущением. Традиционные аудиты смарт-контрактов проверяют корректность кода — они контролируют, выполняются ли функции так, как написано. Однако они не могут проверить уровень статистического обоснования, который находится между верифицированными смарт-контрактами и выводами ИИ (inference). ИИ-агенты не просто следуют инструкциям; они интерпретируют данные, принимают вероятностные решения и совершают сделки со скоростью, недоступной человеку. Именно этот слой интерпретации стал вектором атаки, за которым никто не следил.

Анатомия взлома на 45 миллионов долларов

Эксплойт, попавший в заголовки газет в апреле 2026 года, был направлен на нечто обманчиво простое: потоки данных, на которые ИИ-агенты полагались для определения цен. Злоумышленники обнаружили, что несколько известных торговых ИИ-агентов использовали данные оракулов без должного скептицизма, воспринимая каждую точку данных как истину в последней инстанции.

Атака развивалась в три этапа:

  • Отравление оракулов: Злоумышленники манипулировали ценовыми потоками на парах с низкой ликвидностью, создавая искусственные ценовые сигналы, которые расходились с реальными рыночными условиями. В отличие от традиционных атак на оракулы, нацеленных на логику смарт-контрактов, этот эксплойт был направлен непосредственно на цепочку принятия решений ИИ.

  • Детерминированная эксплуатация: Поскольку ИИ-агенты реагируют на ценовые сигналы с помощью предсказуемой логики на основе паттернов, злоумышленники могли точно предвидеть, как агенты отреагируют на конкретные искажения цен. Они подготовили входные данные, предназначенные для запуска определенных торговых последовательностей — форма состязательного машинного обучения (adversarial machine learning), примененная к финансовой инфраструктуре.

  • Каскадное исполнение: ИИ-агенты работали быстрее, чем могли вмешаться трейдеры-люди или автоматические выключатели (circuit breakers). Как только первый агент совершил сделки по манипулируемым ценам, результирующие изменения состояния сети спровоцировали реакцию последующих агентов, создав каскад, который за считанные минуты истощил ликвидность в нескольких пулах.

Общий ущерб: более 45 миллионов долларов было выведено до того, как кто-либо успел среагировать.

Не единичный случай

Эксплойт на 45 миллионов долларов был самым громким, но далеко не единственным. Первая половина 2026 года выявила тревожную закономерность сбоев в системе безопасности, специфичных для ИИ:

  • Step Finance (январь 2026): Взлом с использованием ИИ привел к выводу около 40 миллионов долларов у менеджера портфеля Solana DeFi. Агенты совершили несанкционированные переводы более чем на 261 000 SOL, так как их протоколы допускали избыточные разрешения без надлежащей изоляции.

  • Утечка токенов Lobstar Wilde: Торговый ИИ-агент по ошибке перевел все 52,43 миллиона токенов LOBSTAR из-за ошибки парсинга количества — это не был взлом в традиционном понимании, а катастрофический сбой на уровне исполнения ИИ.

  • Makina Finance (5 млн $, 1 кв. 2026): Злоумышленники объединили флэш-займы Aave, свопы Uniswap, манипулирование ценами Curve и вывод средств из протокола доходности — многоступенчатый эксплойт, требовавший кросс-протокольного обоснования, именно тот тип сложных атак, который ИИ-агенты как упрощают, так и которому они подвержены.

У этих инцидентов есть общая черта: уязвимость заключалась не в смарт-контрактах. Она была в уровне ИИ, который интерпретировал данные и принимал решения.

Асимметрия нападения и защиты 10 : 1

Пожалуй, самый тревожный вывод содержится в академическом исследовании. В статье 2025 года из Иллинойсского университета в Урбане-Шампейне был установлен критический экономический порог: ИИ-агенты для поиска эксплойтов становятся прибыльными при извлекаемой стоимости около 6 000 долларов. Между тем, защитникам требуется около 60 000 долларов, чтобы выйти на уровень окупаемости против атак того же класса.

Эта асимметрия 10 : 1 в пользу атакующих беспрецедентна для безопасности DeFi. Экономика здесь разрушительна:

  • В контролируемом исследовании ученые развернули 50 ранее взломанных контрактов DeFi в тестовой сети. ИИ-агенты, получив только адреса контрактов и ABI без каких-либо подсказок об уязвимостях, самостоятельно обнаружили пути атак с помощью флэш-займов, цепочки повторного входа (reentrancy) и последовательности манипулирования оракулами, которые соответствовали — а иногда и превосходили — оригинальные эксплойты, созданные людьми.

  • Стоимость запуска ИИ-агентов для поиска эксплойтов против 2 849 недавно развернутых контрактов в Binance Smart Chain составила всего 3 476 долларов. Оба агента независимо друг от друга обнаружили две ранее неизвестные уязвимости нулевого дня (zero-day).

  • По мере того как модели ИИ становятся дешевле и эффективнее, окно между развертыванием контракта и потенциальной эксплуатацией сокращается почти до нуля.

Новая категория поверхности атаки

Что делает уязвимости ИИ-агентов фундаментально отличными от традиционных багов в смарт-контрактах, так это их устойчивость к общепринятым подходам к безопасности:

Неаудируемые уровни исполнения: Аудиты смарт-контрактов подтверждают, что код делает именно то, что в нем написано. Однако поведение ИИ-агента формируется на основе весов модели, обучающих данных и контекста выполнения — ничего из этого невозможно формально верифицировать так, как код на Solidity. «Безопасный» агент может повести себя непредсказуемо при столкновении с состязательными входными данными, которые не встречались ему во время обучения.

Отравление памяти: В отличие от атак типа «промпт-инъекция», которые прекращаются после закрытия сессии, отравление памяти внедряет вредоносные инструкции в долгосрочное хранилище агента. Эти «спящие агенты» могут бездействовать неделями, пока триггер — определенное состояние рынка, дата или уровень цен — не активирует их. В симулированных средах один скомпрометированный агент отравил 87 % последующих процессов принятия решений в течение четырех часов.

Пробелы в межпротокольной логике: Самая опасная способность ИИ также является его самой большой уязвимостью. Агент, достаточно сложный для понимания того, как изменение состояния Протокола А влияет на допущения безопасности Протокола Б, может быть использован злоумышленниками, которые понимают ту же межпротокольную динамику и могут подготовить входные данные для запуска специфических многоэтапных последовательностей атак.

Скорость как фактор риска: ИИ-агенты совершают действия быстрее, чем могут среагировать люди-контролеры или команды реагирования на инциденты. То, что для трейдера-человека было бы локализованной ошибкой, превращается в каскадный сбой протокола, когда ИИ-агент обрабатывает сотни транзакций в секунду на основе отравленных данных.

Пробел в страховании

Кризис безопасности выявил критический пробел в инфраструктуре рисков DeFi. Существующие страховые протоколы, такие как Nexus Mutual и InsurAce, были созданы для покрытия сбоев смарт-контрактов — багов в коде, который исполняется детерминированно. Ошибки в принятии решений ИИ-агентами полностью выпадают из их моделей покрытия.

Это оставляет криптоактивы на сумму около 18 миллиардов долларов под управлением ИИ без какой-либо значимой защиты от убытков. Пробел в страховании — это не просто проблема покрытия; это структурная проблема. Андеррайтинг рисков ИИ-агентов требует оценки поведения модели в состязательных условиях — того, для чего страховая индустрия (как традиционная, так и нативная для DeFi) еще не разработала модели ценообразования.

Ответ OWASP: Топ-10 для агентных систем

Сообщество специалистов по безопасности не сидело сложа руки. В 2026 году OWASP опубликовала свой «Топ-10 для агентных приложений», разработанный совместно с более чем 100 отраслевыми экспертами. Фреймворк определяет десять критических категорий рисков, нацеленных именно на автономные системы ИИ:

  1. Захват целей агента (Agent Goal Hijacking) — перенаправление целей агента через состязательные входные данные.
  2. Злоупотребление инструментами и непреднамеренное исполнение — использование агентами инструментов вредоносными способами.
  3. Злоупотребление идентификацией и привилегиями — работа агентов с избыточными правами доступа.
  4. Отсутствие или слабость защитных барьеров — недостаточные ограничения автономности агента.
  5. Раскрытие конфиденциальных данных — утечка агентами секретной информации.
  6. Отравление данных — порча обучающих или справочных данных.
  7. Исчерпание ресурсов — чрезмерное потребление агентами вычислительных ресурсов.
  8. Уязвимости цепочки поставок — скомпрометированные зависимости в инструментарии агентов.
  9. Продвинутые промпт-инъекции — сложные атаки на логику рассуждений агента.
  10. Чрезмерное доверие к автономному принятию решений — недостаточный контроль со стороны человека.

Фреймворк делает упор на прогрессивное развертывание автономности: начинать следует с реализаций с ограниченным охватом, прежде чем переходить к более высоким уровням самостоятельности. OWASP рекомендует при внедрении уделять 80 % внимания управлению — инженерии данных, согласованию интересов стейкхолдеров и интеграции рабочих процессов — и только 20 % технологиям.

Что дальше: создание DeFi, устойчивых к ИИ

Эксплойт на 45 миллионов долларов и его последствия указывают на несколько возникающих требований к безопасности DeFi следующего поколения:

  • Аудит исполнения агентов: Помимо аудита смарт-контрактов, протоколам необходима формальная оценка того, как ИИ-агенты интерпретируют состязательные входные данные и реагируют на них. Это требует новых методологий аудита, тестирующих поведение агентов в условиях манипулирования рынком.

  • Верификация логического вывода (Inference Verification): Ончейн-верификация рассуждений агента, гарантирующая, что логика, которую агент использует для принятия торговых решений, может быть независимо проверена, а не просто подтверждение того, что итоговая транзакция сформирована корректно.

  • Требования к избыточности оракулов: Агенты никогда не должны полагаться на один источник данных. Консенсус нескольких оракулов с обнаружением аномалий может предотвратить отравление одного потока данных, которое сделало возможным эксплойт на 45 миллионов долларов.

  • Прогрессивная автономность: Следуя рекомендациям OWASP, протоколы должны внедрять уровневую автономность, при которой агенты начинают с узких полномочий и ограниченных объемов транзакций, получая более широкие разрешения только после подтверждения своей устойчивости.

  • Специализированные страховые продукты для ИИ: Рынку необходимы страховые инструменты, способные покрывать риски поведения ИИ-агентов, что, вероятно, потребует новых актуарных моделей, включающих результаты состязательного тестирования.

Эксплойт на 45 миллионов долларов стал тревожным звонком, но структурные проблемы, которые он выявил, глубже любого отдельного инцидента. По мере того как ИИ-агенты становятся доминирующим уровнем исполнения в DeFi, индустрия сталкивается с фундаментальным вопросом: смогут ли фреймворки безопасности развиваться так же быстро, как автономные системы, которые они призваны защищать?

Ответ определит, станут ли автономные ИИ-агенты величайшим активом DeFi или его самой опасной угрозой.

Строите на блокчейн-инфраструктуре, где приоритетом являются безопасность и надежность? BlockEden.xyz предоставляет RPC и API-сервисы корпоративного уровня со встроенным мониторингом и обнаружением аномалий — критически важный фундамент для любого протокола, развертывающего автономных агентов. Изучите наш маркетплейс API, чтобы создавать решения на базе инфраструктуры, разработанной для эпохи автономных финансов.

Share on Twitter