Фишинговый налог на 306 млн $: почему главная уязвимость криптосферы больше не в коде

В январе 2026 года один человек ответил на телефонный звонок, ответил на то, что звучало как обычный вопрос службы поддержки, и потерял 282 миллиона долларов в Bitcoin и Litecoin. Ни один смарт-контракт не был взломан. Ни один закрытый ключ не был вскрыт. Ни один оракул не был подделан. Злоумышленник просто попросил сид-фразу, и жертва её ввела.

Этот единственный инцидент — теперь крупнейшее ограбление с использованием социальной инженерии в истории криптовалют — составляет более половины всех потерь за первый квартал 2026 года, отслеживаемых Hacken, охранной фирмой Web3, чей квартальный отчет стал самым пристально наблюдаемым реестром убытков в отрасли. Цифры Hacken за первый квартал 2026 года суровы: 482,6 миллиона долларов украдены в ходе 44 инцидентов, при этом на фишинг и социальную инженерию пришлось 306 миллионов долларов, или 63 % ущерба. Эксплойты смарт-контрактов, категория, определившая «лето DeFi» взломов 2022 года, принесли лишь 86,2 миллиона долларов.

Эти цифры описывают структурный сдвиг, который индустрия осознает слишком медленно. Злоумышленники больше не соревнуются в том, чтобы переиграть разработчиков Solidity. Они соревнуются в том, чтобы переиграть людей. И инфраструктура, которую мы построили для защиты от атак первого типа — аудиты, баг-баунти, формальная верификация — почти ничего не делает для предотвращения вторых.

Эпоха мега-взломов фрагментируется

В течение многих лет безопасность криптовалют выглядела как серия катастрофических сбоев кода. Мост Ronin потерял 625 миллионов долларов в 2022 году. Poly Network потеряла 611 миллионов долларов в 2021 году. Wormhole потерял 325 миллионов долларов. Сценарий был простым: найти уязвимость в мосту или протоколе кредитования, опустошить казну, скрыться через миксер.

Этот мир заметно сжимается. Первый отчет по безопасности Web3 от Sherlock за первый квартал 2026 года — первый крупный набор данных, конкурирующий с Hacken — показал, что количество эксплойтов, специфичных для DeFi, сократилось на 89 % по сравнению с аналогичным периодом прошлого года (первым кварталом 2025 года). Формальная верификация получает все большее распространение. Программы баг-баунти становятся масштабнее. Аудиторские фирмы конкурируют за глубину проверки, а не за скорость. Код действительно становится безопаснее.

Так почему же в первом квартале 2026 года все равно было потеряно почти полмиллиарда долларов?

Потому что поверхность атаки мигрировала. В отчете Hacken задокументировано 28 инцидентов со смарт-контрактами на общую сумму 86,2 миллиона долларов — меньше и на меньшие суммы, чем в любом квартале с 2021 года. Но сбои в управлении доступом (скомпрометированные закрытые ключи и облачная инфраструктура) добавили еще 71,9 миллиона долларов, а категория фишинга в одиночку затмила обе эти суммы вместе взятые. Эпоха мега-взломов не закончилась. Она раздробилась на сотни более мелких, нацеленных на человека инцидентов, которые в совокупности выкачивают больше капитала, чем когда-либо удавалось эксплойтам мостов.

Январское мошенничество с аппаратными кошельками — самая экстремальная точка данных, но это не исключение. Это сигнал.

Анатомия телефонного звонка на 282 миллиона долларов

Инцидент 10 января, реконструированный ончейн-исследователем ZachXBT и охранной фирмой ZeroShadow, стоит изучить подробно, так как он наглядно показывает, насколько эволюционировала социальная инженерия.

Злоумышленник выдал себя за агента службы поддержки «Value Wallet» от Trezor. Жертву — долгосрочного холдера, у которого на аппаратном кошельке хранилось около 2,05 миллиона Litecoin (153 млн $) и 1 459 Bitcoin (139 млн$), — заставили раскрыть учетные данные для восстановления во время того, что казалось официальным звонком в службу поддержки. Активы были перемещены в течение нескольких часов. Предыдущий рекорд социальной инженерии составлял 243 миллиона долларов и был установлен в августе 2024 года. Новый рекорд превзошел его на 39 миллионов долларов за один разговор.

Аппаратные кошельки были разработаны, чтобы сделать такую атаку невозможной. Устройство Trezor или Ledger никогда не передает сид-фразу на подключенный компьютер. Приватные ключи никогда не покидают защищенный элемент. Вся модель угроз строится на предположении, что пользователь не поддастся методам социальной инженерии и не введет фразу восстановления в фишинговую форму.

Это предположение не сработало. И оно не сработало так, как не смог бы предотвратить ни один аудит, баг-баунти или формальная верификация. Оборудование сработало идеально. Человек — нет.

Это неудобная правда первого квартала 2026 года: чем совершеннее становятся криптографические примитивы, тем выше концентрация капитала за ними, и тем выгоднее становится атака методом социальной инженерии. Один успешный фишинговый звонок теперь стоит больше, чем большинство эксплойтов протоколов. Юнит-экономика на стороне фишера.

Когда 18 аудитов все еще недостаточно

Если январский инцидент — это история о фишинге, то история об «усталости от аудитов» касается протоколов, которые были взломаны, несмотря на то, что делали все правильно.

Согласно Hacken, в первом квартале 2026 года эксплойтам подверглись шесть аудированных проектов. Один из них — Resolv Labs — прошел 18 отдельных аудитов, прежде чем злоумышленники воспользовались слабостью в его AWS Key Management Service, выпустили около 80 миллионов необеспеченных токенов стейблкоина USR и вывели около 25 миллионов долларов. Атака не была направлена на код Solidity от Resolv. Ее целью стали облачные учетные данные, которые инженеры Resolv использовали для развертывания.

Venus Protocol, еще один аудированный проект, потерял 2,15 миллиона долларов в результате «атаки пожертвованием» в марте, хотя этот класс уязвимостей был явно указан в его собственном аудите Code4rena. Замечание было отклонено. Пять различных аудиторских фирм проверяли код на протяжении многих лет. Ни одна из них не заставила исправить проблему, да и не могла этого сделать, так как аудиты носят рекомендательный характер. Когда атака пожертвованием произошла, результат был предсказуем, а разбор инцидента (post-mortem) был болезненным.

Паттерн теперь очевиден: аудированный протокол с высоким TVL в абсолютном выражении не безопаснее неаудированного с низким TVL. Он просто более привлекателен. Злоумышленники соизмеряют усилия и вознаграждение. Протокол с TVL в 500 миллионов долларов и 18 аудитами взломать сложнее, чем проект с 5 миллионами долларов без аудитов, но и приз в 100 раз больше. При этом одни и те же человеческие слабости — проигнорированные выводы аудитов, неправильно настроенный AWS, сотрудники, кликающие по ссылкам — сохраняются в обоих случаях. Аудиты поднимают планку минимальной безопасности, но не гарантируют абсолютную защиту.

Это та часть итогов первого квартала 2026 года, которая должна волновать разработчиков больше всего. Расходы индустрии на безопасность выросли примерно в 10 раз с 2022 года, но кривая потерь не пошла на спад. Деньги тратились на аудит кода. Потери происходили из-за человеческого фактора, облачных сервисов и утечки ключей.

Инфраструктурный уровень становится новой линией фронта

В отчете Sherlock за первый квартал 2026 года этот сдвиг назван предельно точно: «миграция атак со слоя смарт-контрактов на инфраструктурный уровень».

Три инцидента за этот квартал иллюстрируют новую геометрию угроз:

• Resolv Labs (март 2026 г.): компрометация AWS KMS. Злоумышленники даже не касались смарт-контрактов. Они скомпрометировали ключи, используемые для подписания развертываний, и сминтили токены буквально из воздуха.
• Drift Protocol (1 апреля 2026 г.): 286 млн $ выведено из крупнейшей на Solana DEX для бессрочных контрактов в ходе операции, связанной с КНДР. Атакующие использовали функцию Solana «durable nonces» (долговечные нонсы) — примитив для удобства предварительного подписания транзакций — и с помощью социальной инженерии заставили Совет безопасности Drift подписать транзакции, которые в итоге передали административный контроль. Опять же, никаких уязвимостей в смарт-контракте. Эксплойт находился на стыке человеческого фактора и функциональных возможностей.
• Более 40 млн $ похищено за квартал с помощью поддельных предложений от венчурных капиталистов, вредоносного ПО под видом обновлений софта и взломанных ноутбуков сотрудников (по данным Hacken).

Общим для всех этих случаев является то, что ни одна из атак не могла быть обнаружена путем аудита кода. Они использовали места, где код встречается с инфраструктурой: учетные данные облачных сервисов, CI/CD-конвейеры, ноутбуки разработчиков, аккаунты Slack, телефонные звонки от «агентов поддержки» и предварительно подписанные транзакции, которые казались рутинными в момент подписания, но стали разрушительными в совокупности.

Защитная стратегия криптоиндустрии еще не перестроена под эту реальность. Отрасль по-прежнему нанимает больше аудиторов Solidity, чем инженеров по ИТ-безопасности. Большинство протокольных DAO тратят больше на аудит кода, чем на обучение операционной безопасности. Модель угроз, ориентированная в первую очередь на фишинг, почти не представлена в большинстве фреймворков безопасности.

Регулирование наконец-то догоняет — но неуклюже

Первый квартал 2026 года стал кварталом не только крупных потерь, но и прорывов в регулировании.

Фреймворк MiCA в ЕС переходит от поэтапного внедрения к полному исполнению в преддверии дедлайна 1 июля 2026 года. Национальные регуляторы и ESMA проводят надзорные проверки, выборочные инспекции и расследования. DORA (Акт о цифровой операционной устойчивости) стал полностью применим к финансовым институтам 17 января 2025 года, и его обязательства по ИКТ-рискам, инцидентам и работе с третьими лицами теперь действуют на всей территории ЕС. Закон GENIUS, первый федеральный закон США о стейблкоинах, вступил в силу, наложив на эмитентов платежных стейблкоинов обязательства по закону о банковской тайне (BSA) и программам соблюдения санкций. Дубай реструктурировал федеральный надзор за криптовалютами. Сингапур начал применять стандарты капитала Базель III. В Корее Bithumb — биржа первого эшелона — получила уведомление о частичной приостановке деятельности на шесть месяцев за нарушения AML и KYC, что стало первым крупным правоприменительным действием такого рода.

На бумаге все это направлено на то, чтобы сделать криптосферу безопаснее. На практике ничто из этого не решает напрямую проблему фишинга на 306 млн $. Требования MiCA касаются раскрытия информации, резервов и управления. DORA посвящена ИКТ-устойчивости и рискам третьих сторон. GENIUS — борьбе с отмыванием денег через стейблкоины. То, что на самом деле опустошило кошельки пользователей в первом квартале — телефонный звонок от лица службы поддержки производителя аппаратных кошельков — находится рядом со всеми этими структурами, но не регулируется ни одной из них.

Этот разрыв создает странную асимметрию. Эмитент стейблкоина, который случайно забыл раскрыть требуемую информацию, теперь может быть оштрафован в нескольких юрисдикциях. Приложение-кошелек, выпущенное без адекватной защиты от фишинга, практически не сталкивается с регуляторными последствиями. Область комплаенса стала шире, чем когда-либо, но она еще не выросла в том направлении, где реально происходят потери.

Ожидайте, что это изменится. Логичным следующим шагом, который уже обсуждается в рабочих группах AMLA и FATF, является обязательство «комплаенс должен включать антифишинговый UX» — требование, чтобы пользовательские кошельки, биржи и кастодиальные провайдеры демонстрировали активную защиту от социальной инженерии, а не только раскрывали данные и подтверждали резервы. Если это произойдет в 2027 году, для большинства жертв первого квартала 2026 года это будет слишком поздно.

Как выглядит стек безопасности, ориентированный на защиту от фишинга

Перестройка защиты, на которую указывают цифры Hacken, весьма значительна. Протоколам недостаточно добавлять больше аудитов, биржам — публиковать больше подтверждений резервов, а кошелькам — внедрять более сильные криптографические примитивы. Стек должен исходить из предположения, что пользователь в какой-то момент станет целью убедительного злоумышленника, и первой линией обороны должен быть дизайн, а не код.

Появляется несколько ключевых элементов:

• Предварительный просмотр транзакций на этапе подписания. MetaMask «Transaction Shield» 2026 года симулирует транзакции перед подписанием и помечает вредоносные смарт-контракты или скрипты для кражи активов. E-ink дисплей Ledger Flex решает проблему «подписания вслепую» (blind signing), отображая каждую деталь транзакции на защищенном автономном экране. Эти функции не выглядят гламурно. Они переносят поле боя из чистой криптографии в область понятности для пользователя, где сейчас и идет настоящая битва.

• Аппаратная аттестация для высокорисковых операций. Требование физического подтверждения для необычных транзакций — сумм выше порога, новых контрагентов, вызовов контрактов с неожиданными данными — это дешево и эффективно. Большинство аппаратных кошельков поддерживают это. Большинство пользователей этого не включают.

• Обучение операционной безопасности как статья расходов протокола. Если шесть проаудированных проектов потеряли в сумме более 60 млн $, несмотря на то, что их код проверялся десятки раз, следующий доллар из бюджета безопасности, вероятно, не стоит тратить на 19-й аудит. Его стоит направить на обучение борьбе с фишингом, отработку ротации ключей и учения «red-team» для подписантов мультисига, которые коллективно управляют казной.

• Слои идентификации с выборочным раскрытием данных. По мере того как ИИ-агенты начинают совершать автономные сделки — что является отдельной, но связанной зоной угроз — инфраструктурным провайдерам все чаще потребуется криптографическая идентификация агента (KYA) наряду с традиционным KYC. Те же примитивы, которые подтверждают, что «этот агент уполномочен действовать от имени этого человека», также мешают злоумышленникам выдавать себя за сотрудников службы поддержки, членов совета или администраторов протокола.

• Сертификация безопасности с приоритетом защиты от фишинга. Логическим завершением, предложенным Hacken и другими, является новый вид знака качества безопасности — тот, который оценивает устойчивость кошелька или биржи к социальной инженерии, а не только к эксплойтам Solidity. Пока такого стандарта не существует, рынок не может отличить продукт с защитой от фишинга от того, который просто кажется безопасным.

Ничто из этого не заменяет аудиты. Код по-прежнему должен быть корректным. Но фронтир сместился, и внимание индустрии безопасности должно сместиться вслед за ним.

Вопрос, который разработчики должны задавать в 2026 году

Неприятный подтекст цифр Hacken за первый квартал 2026 года заключается в том, что модель безопасности в индустрии структурно переоценена. Шестьдесят три процента потерь происходят из-за человеческого фактора, который не может предотвратить ни одна проверка кода, и тем не менее, подавляющее большинство средств, выделяемых на безопасность в индустрии, по-прежнему направляется на аудит кода.

Разработчики, которые запомнятся тем, что правильно подошли к 2026 году, — это не те, кто выпускает самый чистый код на Solidity. Это те, кто усложняет злоумышленнику кражу активов через пользователя: сокращая количество «слепых» подписей, проектируя UX в расчете на присутствие противника, инвестируя в операционную безопасность сотрудников с той же серьезностью, с которой казначейства инвестируют в аудиты, и допуская, что любая достаточно ценная система со временем привлечет достаточно убедительный телефонный звонок.

Январский телефонный звонок на 282 миллиона долларов стал самым дорогим доказательством концепции, которое когда-либо получала индустрия. Первый квартал 2026 года стал лишь тем периодом, когда его уроки наконец стало невозможно игнорировать.

---

BlockEden.xyz управляет RPC-инфраструктурой и инфраструктурой индексации корпоративного уровня для более чем 27 блокчейнов, включая операционную безопасность и контроль доступа, которые обеспечивают сохранность API-ключей, инфраструктуры подписи и данных клиентов в модели угроз, ориентированной на пост-фишинг. Изучите наш маркетплейс API, чтобы создавать проекты на базе инфраструктуры, разработанной для угроз, которые действительно имеют значение в 2026 году.

Источники

• Hacken — Отчет о безопасности и комплаенсе блокчейнов за 1 кв. 2026 г.
• Yahoo Finance — Отчет Hacken за 1 кв. 2026 г. показывает, где безопасности Web3 все еще не хватает
• Technext24 — Криптохакеры украли 482,6 млн долларов в ходе 44 атак в 1 кв. 2026 г.
• Sherlock — Отчет Sherlock о безопасности Web3 за 1 кв. 2026 г.: каждый крупный взлом, эксплойт и тренды
• CoinDesk — Хакер украл криптовалюту на 282 млн долларов у жертвы в результате атаки с использованием социальной инженерии
• Brave New Coin — Пользователь крипто потерял 282 млн долларов в Bitcoin и Litecoin из-за мошенничества с социальной инженерией
• Halborn — Объяснение: Взлом Venus Protocol (март 2026 г.)
• FinanceFeeds — Потери от крипто-эксплойтов достигли 52 млн долларов в марте, во главе с эксплойтом Resolv
• Elliptic — Drift Protocol атакован на 286 млн долларов в результате предполагаемой атаки, связанной с КНДР
• Chainalysis — Взлом Drift Protocol: как привилегированный доступ привел к потере 285 млн долларов
• Global Relay — Навигация по комплаенсу MiCA для поставщиков услуг криптоактивов
• Federal Register — Требования к комплаенсу AML/санкциям для эмитентов разрешенных платежных стейблкоинов
• Ledger — Чек-лист безопасности криптокошелька 2026