Перейти к основному контенту

Hacken Q1 2026: украдено $482 млн и квартал, разрушивший культ аудита в криптосфере

· 13 мин чтения
Dora Noda
Dora Noda
Software Engineer

Один человек потерял 282 миллиона долларов в результате одного телефонного звонка. Ни один смарт-контракт не был взломан. Ни одна строка кода на Solidity не была затронута. 10 января 2026 года подставной сотрудник службы ИТ-поддержки убедил владельца криптовалюты пройти процедуру «восстановления» аппаратного кошелька и скрылся с большим количеством Bitcoin и Litecoin, чем хранится в большинстве DeFi-протоколов по показателю общей заблокированной стоимости (TVL). Этот единственный инцидент — по масштабам превосходящий Drift или Kelp DAO в отдельности — составил более половины всех средств, потерянных в Web3 за первый квартал 2026 года.

Согласно Отчету Hacken о безопасности и комплаенсе в блокчейне за 1-й квартал 2026 года, общая сумма украденных средств за квартал составила 482,6 млн долларов в результате 44 инцидентов. Один только фишинг и социальная инженерия лишили пользователей 306 млн долларов — это 63,4% от общего ущерба за квартал. Эксплойты смарт-контрактов принесли лишь 86,2 млн долларов. Сбои в управлении доступом — скомпрометированные ключи, облачные учетные данные, захват мультисигов — добавили еще 71,9 млн долларов. Математика сурова: на каждый доллар, украденный из-за ошибок в коде в прошлом квартале, злоумышленники извлекли примерно три с половиной доллара через людей, процессы и учетные данные, которые окружают этот код.

Для индустрии, которая пять лет считала слово «проверено аудитом» синонимом безопасности, цифры за 1-й квартал стали отрезвляющим фактором. Поверхность атаки сместилась. Расходы — нет.

Инверсия категорий, которую никто не учитывал

На протяжении большей части 2020–2024 годов квартальный ритм криптобезопасности был предсказуем: взламывается мост, протокол кредитования подвергается атаке повторного входа (reentrancy), аудиторская фирма выпускает отчет, сообщество голосует за выплату вознаграждения, а разработчики усиливают защиту. Эксплойты смарт-контрактов доминировали в графе убытков квартал за кварталом, поэтому индустрия выстроила весь свой оборонительный аппарат — баг-баунти, конкурсы аудитов, формальную верификацию, предрелизные обзоры — вокруг кода.

1-й квартал 2026 года перевернул этот график. Сравните три категории, которые отслеживает Hacken:

  • **Фишинг / социальная инженерия: 306 млн —однакатегория,возглавляемаяединственныминцидентомна282млн** — одна к�атегория, возглавляемая единственным инцидентом на 282 млн
  • Эксплойты смарт-контрактов: 86,2 млн $ в 28 инцидентах
  • Управление доступом / компрометация ключей: 71,9 млн $

Сопоставьте эти цифры с тем, что индустрия финансирует на самом деле, и неверное распределение ресурсов станет очевидным. Бюджеты на аудит DeFi-протокола средней сложности сейчас составляют от 60 000 до 120 000 долларов за одну проверку, и команды все чаще выделяют 15–20% своего годового бюджета на разработку на услуги «Безопасность как сервис» (Security-as-a-Service), ориентированные на проверку кода. В то же время цепочка фишинговой атаки, которая обрушила Step Finance, обошлась злоумышленникам всего лишь в один видеозвонок и «презентацию для инвесторов» с вредоносным ПО. Расходы на оборону все еще настроены на структуру атак вчерашнего дня.

Hacken четко характеризует этот сдвиг: «вместо того чтобы нацеливаться на уязвимости в ончейн-коде, злоумышленники все чаще эксплуатируют офчейн-слабости, включая поведение пользователей, управление учетными данными и пробелы в операционной безопасности». Код стал сложнее. Люди — нет.

Шесть аудированных протоколов, 37,7 млн долларов и иллюзия «сигнала аудита»

Самый неприятный вывод в отчете скрыт в одном предложении: в первом квартале 2026 года были взломаны шесть протоколов, прошедших аудит, что в сумме составило 37,7 млн долларов убытков. Один из них — Resolv — прошел через 18 отдельных аудитов. Другой, Venus Protocol, имел отчеты от пяти различных фирм.

Смысл, разрушающий привычные представления, заключается в том, что количество аудитов не гарантирует безопасность. Более того, на крайних значениях наблюдается обратная корреляция: протоколы с самой богатой историей аудитов, как правило, удерживают больше TVL, перемещают больше ценностей и, следовательно, привлекают самых решительных противников. Никто не будет фишить хобби-проект; фишингу подвергается протокол, чьи админ-ключи открывают доступ к 290 млн долларов.

Собственный опрос партнеров Hacken, проведенный совместно с 11 биржами и инфраструктурными командами, включая KuCoin, MEXC, WhiteBIT, Bybit, Centrifuge, Global Ledger, Allium, SVRN, M0, C4 и Gray Wolf, подтверждает ту же закономерность. Аудиты остаются необходимыми. Но они перестали быть достаточными. И они никогда не проверяли ту поверхность, через которую на самом деле ушли деньги в первом квартале.

Три инцидента, которые рассказывают всю историю

Январское мошенничество с аппаратным кошельком на 282 млн $

10 января давний держатель криптовалюты потерял 282 млн долларов в Bitcoin и Litecoin после того, как, согласно реконструкции ZachXBT, передал учетные данные для восстановления во время фальшивого звонка в ИТ-поддержку. Никакого взлома биржи. Никакого смарт-контракта. Никакого админ-ключа. Просто разговор.

Что сделало эту схему успешной, так это то, что делает ее универсальной: пользовательский интерфейс (UX) аппаратных кошельков по-прежнему направляет процесс восстановления через процедуру, которая выглядит почти идентично как в законных, так и в злонамеренных случаях. Злоумышленникам не нужно было взламывать защищенный чип (secure element) на устройстве Ledger — им нужно было взломать ментальную модель пользователя о том, что именно означает фраза «мой кошелек просит меня восстановить доступ». Как только этот порог был пройден, 282 млн долларов были перемещены без взлома ни одного криптографического примитива.

Step Finance: фейковый звонок от венчурного инвестора

31 января около 40 миллионов долларов было выведено из казначейства Step Finance после того, как злоумышленники скомпрометировали устройства, принадлежащие руководству протокола. Первоначальным вектором атаки, согласно собственному заявлению Step Finance, стал фейковый звонок от венчурного инвестора — тип встречи, которую команда основателей проводит по двадцать раз в месяц во время привлечения инвестиций. Вредоносное ПО, доставленное через «питч-материалы», обеспечило злоумышленникам постоянный доступ к ноутбукам руководителей, а оттуда — к процессам подписания, которые позволили вывести средства казначейства.

Эта схема — социальная инженерия в отношении устройств руководства с последующим горизонтальным перемещением к операциям казначейства — теперь документируется достаточно часто, чтобы ее можно было считать стандартным сценарием групп, связанных с КНДР, на 2026 год. Раскрытие информации от Bitrefill от 1 марта указывает на почти идентичные признаки: скомпрометированный ноутбук сотрудника, эксфильтрация устаревших учетных данных, совпадение почерка с предыдущей деятельностью Lazarus / Bluenoroff.

Drift: административные ключи важнее долговечных нонсов

Взлом протокола Drift 1 апреля привел к краже 285 миллионов долларов — более половины TVL протокола — что и Chainalysis, и Elliptic приписывают субъектам, связанным с КНДР. Технический рычаг был хитроумным: долговечные нонсы (durable nonces) в Solana позволяют подписывать транзакции заранее и выполнять их позже. В период с 23 по 30 марта злоумышленник готовил транзакции для вывода средств. Затем с помощью социальной инженерии они получили подписи от реальных членов Совета безопасности Drift для мультисига с порогом 2/5, который всего за несколько дней до этого был переведен на режим с нулевым таймлоком (zero timelock).

Как только подписи были получены, исполнение стало тривиальным: внесение в белый список бесполезного токена (CVT) в качестве залога, депозит 500 миллионов единиц и вывод 285 миллионов долларов в реальных активах. Эксплуатируемая «уязвимость» заключалась не в коде Drift — код сработал именно так, как был спроектирован. Она заключалась в предположении, что подписанты мультисига никогда не подпишут то, чего они не понимают.

Три инцидента, три разные поверхности атаки, одна общая первопричина: в защитном периметре образовался разрыв между «контрактом» и «людьми, которые управляют контрактом», и каждый злоумышленник, достойный своей награды, теперь точно знает, где находится этот разрыв.

На что должны быть направлены расходы

Если первый квартал 2026 года является началом устойчивого сдвига в поверхностях атак, а не статистической аномалией, то последствия для бюджетов на безопасность носят структурный, а не косметический характер. Краткий и честный список необходимых мер:

  • Устойчивая к фишингу аутентификация как жесткое требование, а не «рекомендуемый контроль». Это означает использование FIDO2 / WebAuthn / passkeys для каждой операционной учетной записи, которая может касаться ключей, одобрять транзакции или иметь доступ к облачной инфраструктуре. NIST уже рассматривает это как планку уровня AAL2. В криптоиндустрии это должно считаться обязательным минимум для любого участника мультисига.
  • Реконструкция UX аппаратных кошельков на уровне вендоров. Схема на 282 миллиона долларов сработала, потому что «процесс восстановления, инициированный легитимной поддержкой» и «процесс восстановления, инициированный злоумышленником по телефону», ощущаются пользователем одинаково. Производители устройств — Ledger, Trezor, SafePal и их аналоги для институционального хранения — теперь находятся на передовой борьбы с фишингом, а не являются ее пассивным компонентом.
  • Предварительный просмотр транзакций, а не просто симуляция. Протоколы вроде Drift получили подписи от реальных людей, которые почти наверняка не читали то, что они подписывали в машиночитаемой форме. Инструменты подписания следующего поколения (Rabby, Blockaid, Fordefi, Ledger Clear Signing), которые отображают полный семантический смысл каждой транзакции, больше не являются приятным дополнением к интерфейсу; они стали гранью между «мы заметили это до подписания» и «мы прочитали об этом в Twitter после случившегося».
  • Аудиты операционной безопасности наряду с аудитами кода. SOC 2 Type II, защита от SIM-swap атак, настольные учения по реагированию на инциденты, внедрение устойчивой к фишингу MFA, EDR на уровне устройств для любой машины, способной инициировать процесс подписания. Мир институционального хранения годами рассматривал это как базовый уровень. Крипто-нативные команды — особенно те, чьи протоколы уже прошли 18 аудитов кода — часто относятся к этому как к чему-то необязательному.
  • Выделенные бюджеты на обучение безопасности. Большинство казначейств протоколов потратят шестизначные суммы на очередной внешний аудит и ноль на симуляции фишинга для своих руководителей. Первый квартал 2026 года стал тем моментом, когда такое соотношение перестало быть оправданным.

Ничто из этого не заменяет аудит кода. Эксплойты смарт-контрактов по-прежнему нанесли ущерб в размере 86,2 млн долларов в первом квартале, и это число выросло на 213% в годовом исчислении, даже несмотря на изменение структуры атак. Но индустрия теперь ведет войну на два фронта, а бюджет по-прежнему планирует только на один.

Влияние комплаенса

Сдвиг в поверхностях атак происходит в тот же момент, когда регуляторы ужесточают операционные требования к криптокомпаниям. В ЕС вступили в активную фазу применения регламенты MiCA и DORA. Закон GENIUS установил первую федеральную структуру США для платежных стейблкоинов. Дубай реструктурировал федеральный надзор за криптовалютами. Сингапур начал внедрять стандарты капитала, соответствующие Базельским соглашениям, для лицензированных провайдеров.

Каждый из этих режимов, по сути, является регулированием операционной безопасности. DORA, в частности, предписывает тестирование устойчивости, отчетность об инцидентах и контроль рисков третьих сторон для финансовых организаций — положения, которые почти полностью соответствуют категориям сбоев, приведших к потерям в 378 миллионов долларов в первом квартале (306 млн долларов из-за фишинга + 71,9 млн долларов из-за контроля доступа). Обязательство по соблюдению нормативных требований и обязательство по предотвращению убытков сходятся в одном ответе: докажите, что ваши люди и ваша инфраструктура защищены так же надежно, как и ваш код.

Для бирж, кастодианов и крупных DeFi-протоколов наличие статуса «прошел аудит» больше не является достаточным аргументом перед европейскими или американскими регуляторами. То, что приходит ему на смену, больше похоже на полное подтверждение безопасности стека: аудиты кода + операционный контроль + архитектура с защитой от фишинга + стандарты аутентификации на стороне пользователя + прозрачное реагирование на инциденты.

Что это значит для разработчиков

Для команд, строящих на публичных блокчейнах в 2026 году, данные за первый квартал меняют приоритеты:

  1. Исходите из того, что целью являются ваши администраторские ключи (admin keys). А не ваш контракт. Проектируйте процессы мультиподписи (multisig flows), временные блокировки (timelocks) и обучение подписантов, основываясь на предпосылке, что опытный злоумышленник попытается получить легитимные подписи от реальных людей незаконными методами.
  2. Рассматривайте свою облачную инфраструктуру как часть периметра атаки. Компрометация AWS KMS у Resolv и взлом ноутбука Bitrefill не были единичными случаями. Любые учетные данные, имеющие доступ к ключу подписи, конвейеру развертывания (deployment pipeline) или процессу авторизации казначейства, должны быть защищены с помощью устойчивой к фишингу аутентификации с использованием аппаратных ключей.
  3. Заложите в бюджет статьи расходов на защиту человеческого фактора. Симуляции фишинга. Тренировки по реагированию на инциденты. EDR для устройств руководства. Выделенная защита от SIM-swap для всех, кто имеет публично известный доступ. Эти статьи расходов были необязательными в 2024 году. В мире после первого квартала 2026 года — это реальная стоимость эксплуатации протокола, управляющего средствами.
  4. Ожидайте, что ваши пользователи станут прямыми целями атак. Мошенничество на 282 млн $ доказывает, что фишинг конечных пользователей теперь масштабируется до убытков на уровне целого протокола. UX кошельков, ясность транзакций, усиление процессов восстановления и обучение внутри продукта — это часть продукта безопасности, а не продукта роста.

Протоколы, адаптирующиеся к этой модели угроз, будут меньше похожи на команды DeFi образца 2023 года с PDF-отчетом об аудите, и больше — на финтех-компании 2026 года с директором по информационной безопасности (CISO), календарем соответствия (compliance calendar) и комитетом по рискам на уровне совета директоров. Это звучит дорого, потому что это действительно дорого. Сопоставимая стоимость — потеря 282 млн $ из-за одного телефонного звонка — значительно выше.

Итог

Отчет Hacken за первый квартал 2026 года — это не история о том, что «безопасность становится хуже». Качество смарт-контрактов действительно улучшается; рост потерь от эксплойтов на 213 % в годовом исчислении скрывает тот факт, что защита на уровне протоколов теперь стала по-настоящему эффективной. Суть в том, что злоумышленники — это рациональные субъекты, и они мигрируют к наименее защищенным продуктивным поверхностям. На протяжении большей части истории криптоиндустрии такой поверхностью был код. По состоянию на первый квартал 2026 года — это люди, процессы и привилегированная инфраструктура.

Индустрия может продолжать тратить 80 % своего бюджета на безопасность на те 18 % убытков, которые приходятся на код — или она может быстро перестроиться под мир, который на самом деле описало январское мошенничество на 282 млн .Самаяважнаяцифраквартала—этонеобщиепотеривразмере482млн. Самая важная цифра квартала — это не общие потери в размере 482 млн . Это соотношение: 306 млн отфишингапротив86,2млнот фишинга против 86,2 млн от эксплойтов. Это число — план того, куда должны быть направлены защитные средства в 2026 году.

BlockEden.xyz управляет блокчейн-инфраструктурой API корпоративного уровня в более чем 15 сетях, с контролем SOC 2 и ISO 27001, охватывающим операционную поверхность — управление ключами, рабочие процессы подписантов, гигиену облачных учетных данных — которую отчет Hacken за первый квартал определяет как новую линию фронта. Изучите наш маркетплейс API, чтобы строить на инфраструктуре, разработанной для модели угроз, с которой Web3 на самом деле сталкивается в 2026 году.

Источники

Share on Twitter