Смарт-контракты стали безопаснее, криптосфера — уязвимее: Обзор эры атак на инфраструктуру в первом квартале 2026 года

В первом квартале 2026 года число эксплойтов смарт-контрактов DeFi сократилось на 89 % по сравнению с прошлым годом. Криптоиндустрия все же потеряла около полумиллиарда долларов. Если это звучит противоречиво, то это не так — это самый важный структурный сдвиг в безопасности Web3 со времен The DAO. Ошибки, которые определяли заголовки криптоновостей на протяжении десятилетия, находят решение. Злоумышленники просто перешли на уровень выше.

Отчет Sherlock по безопасности Web3 за первый квартал 2026 года приводит суровую цифру: количество эксплойтов, специфичных для DeFi, упало примерно на 89 % по сравнению с первым кварталом 2025 года. Это самое четкое на сегодня доказательство того, что аудиты, формальная верификация и проверенный в боях код делают свое дело. Параллельный подсчет Hacken фиксирует общие потери Web3 за тот же квартал в размере 482,6 млн долларов, при этом только фишинг и социальная инженерия принесли 306 млн долларов всего за 44 инцидента. Центр тяжести сместился, и большая часть защитных стратегий отрасли направлена не в ту сторону.

Уровень аудита побеждает. Операционный уровень проигрывает.

В течение десяти лет разговоры о безопасности криптовалют велись вокруг Solidity. Реентерабельность. Переполнение целых чисел. Манипуляции с оракулами. Повреждение состояния, вызванное флэш-кредитами. Целая индустрия — CertiK, Hacken, Trail of Bits, Sherlock, Spearbit, Cantina — выросла вокруг дисциплины поиска багов в развернутых контрактах до того, как их найдут злоумышленники. Движки формальной верификации теперь математически проверяют каждое достижимое состояние. Символьные исполнители, такие как Mythril, и фаззеры, такие как Diligence Harvey, имитируют миллионы последовательностей транзакций. ИИ-рецензенты, такие как QuillShield, проводят триангуляцию по известным базам эксплойтов.

Это сработало. Потери на уровне смарт-контрактов в первом квартале 2026 года — те, что вызваны некорректным поведением самого кода — составляют лишь малую часть того, что было еще двенадцать месяцев назад.

Но вот неудобная половина истории: в 2025 году сбои в управлении доступом и нарушения операционной безопасности составили примерно 2,12 млрд долларов, что составляет около 54 % от общих потерь Web3 в размере 3,95 млрд долларов за год. Для сравнения, логические ошибки смарт-контрактов принесли около 512 млн долларов. По количеству инцидентов инфраструктурные атаки — компрометация закрытых ключей, сбои в управлении облачными ключами, захват валидаторов мостов — уже стали доминирующей категорией в 2025 году. Первый квартал 2026 года просто закрепил этот дисбаланс как новую норму.

Три инцидента описывают всю ситуацию.

Случай 1: Телефонный звонок и аппаратный кошелек на 282 миллиона долларов

10 января 2026 года один владелец криптовалюты потерял более 282 млн долларов в Bitcoin и Litecoin из-за злоумышленников, выдававших себя за службу поддержки Trezor. Механика была предельно простой. Злоумышленники связались с жертвой через каналы, которые казались легитимной поддержкой Trezor, провели ее через процесс «проверки безопасности» и убедили раскрыть seed-фразу для восстановления. После этого кошелек был опустошен: 1459 BTC и примерно 2,05 млн LTC за считанные минуты.

Ончейн-анализ ZachXBT отследил путь отмывания средств. Злоумышленник перевел украденные биткоины через безразрешительную кроссчейн-ликвидность Thorchain для конвертации в ETH, XRP и обратно в Litecoin, а затем перевел значительную часть в Monero через цепочку сервисов мгновенного обмена. Исследователи из ZeroShadow перехватили небольшую часть — около 700 000 долларов — пометив средства в режиме реального времени до того, как они были переведены в анонимные активы. Остальные 99,7 % безвозвратно потеряны.

Обратите внимание на то, что здесь не было взломано. Ни один смарт-контракт не подвергся атаке. Ни один аудит протокола не провалился. Аппаратное обеспечение Trezor сработало именно так, как было задумано. Уязвимость находилась в разрыве между растерянным человеком и убедительным имитатором, и ни одна аудиторская фирма в мире не предназначена для решения таких проблем.

Случай 2: Один облачный ключ, печать 25 миллионов долларов за 17 минут

Если инцидент с Trezor обнажил человеческий фактор атак, то взлом Resolv Labs 22 марта 2026 года раскрыл уязвимость инфраструктуры. Resolv выпускает USR, дельта-нейтральный синтетический стейблкоин. Для обеспечения механики обмена протокол хранил привилегированный ключ подписи внутри AWS Key Management Service (KMS). Смарт-контракты доверяли этому ключу. Все, что было подписано им, по определению считалось авторизованным.

Злоумышленник скомпрометировал среду AWS KMS компании Resolv — согласно отчетам Chainalysis и Halborn, это произошло из-за утечки учетных данных на стороне облака, а не из-за уязвимости контракта — и использовал ключ SERVICE_ROLE для вызова completeSwap с завышенными суммами вывода. С депозитами на общую сумму от 100 000 до 200 000 долларов они отчеканили около 80 миллионов токенов USR. Чистая выручка: около 25 млн долларов. Чистый ущерб: значительно больше.

USR потерял привязку к доллару, упав с 1,00 до примерно 0,20 доллара (обвал на 80 %), прежде чем восстановиться до 0,56 доллара в последующие часы. И тут сработал сценарий отказа второго порядка. Аналитики PeckShield ввели термин теневое заражение (shadow contagion), чтобы описать происходящее далее: USR был интегрирован в качестве залога и доходного актива в Morpho Blue, Euler и Fluid. Когда цена USR рухнула, позиции, обеспеченные им, были ликвидированы, выданные в кредит USR стали невозвратными, а безнадежный долг разошелся по трем протоколам, которые по всем формальным критериям были спроектированы правильно.

Контракты Resolv работали в точности так, как было написано. Отчеты об аудитах не были ошибочными. Компрометация произошла на уровне глубже того, что могли увидеть аудиты.

Случай 3: Шестимесячная разведывательная операция на 286 миллионов долларов

Затем, 1 апреля 2026 года, Drift Protocol — крупнейшая DEX бессрочных фьючерсов на Solana — потеряла около 286 миллионов долларов примерно за двенадцать минут, причем большая часть средств была переведена в Ethereum через мосты в течение нескольких часов. Elliptic, TRM и Chainalysis сошлись во мнении об атрибуции: UNC4736, связанный с КНДР кластер, также отслеживаемый под названиями AppleJeus и Citrine Sleet.

Это не было случайностью. Согласно собственному отчету Drift после инцидента, злоумышленники провели около шести месяцев, выдавая себя за фирму для количественного трейдинга. Они встречались с участниками Drift на отраслевых конференциях. Они внесли более 1 миллиона долларов торгового капитала, выглядящего вполне законно. Они предложили и интегрировали Ecosystem Vault. Они выстраивали доверие так же, как это делается в долгосрочных мошеннических операциях — терпеливо, дорого и с четкой целью подобраться достаточно близко к подписантам мультисига, чтобы скомпрометировать их устройства.

Техническая эксплуатация, когда она наконец произошла, использовала вредоносное бета-приложение TestFlight и цепочку уязвимостей, связанных с расширениями VSCode / Cursor, для получения предварительно подписанных авторизаций мультисига. Миграция Совета безопасности с нулевым таймлоком (zero-timelock) — механизм управления, который никогда не должен был существовать без задержки — устранила последнюю защитную точку протокола. К моменту, когда кто-то заметил неладное, мультисиг уже одобрил дерево транзакций злоумышленника.

Никакой аудит Solidity не предотвратит подобное. Контракты Drift продолжают работать и сегодня. Взлом был шестимесячной операцией человеческой разведки, которая завершилась одной подписанной транзакцией.

Почему карта защитников неверна

Сделайте шаг назад. В первом квартале 2026 года распределение потерь в криптовалюте в долларовом эквиваленте выглядело примерно так: фишинг и социальная инженерия — 306 млн долларов; компрометация закрытых ключей и облачных ключей — большая часть остального; чистые эксплойты смарт-контрактов — лишь малая доля. Распределение по количеству инцидентов еще больше смещено в сторону инфраструктуры: 76 % классифицированных инцидентов в первом квартале 2026 года были связаны с компрометацией закрытых ключей, сбоями в управлении облачными ключами или захватом валидаторов мостов.

Расходы индустрии на оборону не соответствуют этому распределению. Типичный DeFi-протокол среднего размера может тратить от 200 000 до 1 миллиона долларов за цикл аудита на проверку смарт-контрактов и практически ноль на:

• Управление состоянием безопасности облака (CSPM) для сред AWS / GCP, где хранятся ключи подписи.
• Обнаружение и реагирование на конечных точках (EDR) на ноутбуках подписантов мультисига.
• Учения Red Team по социальной инженерии против служб поддержки и партнерских отношений.
• Укрепление цепочки поставок для конвейеров сборки и расширений IDE (цепочка атак на Drift прошла через Cursor).
• Контракты на реагирование на инциденты (retainers), которые позволяют действовать в считанные минуты, а не часы.

Сравните это с традиционными финансами, которые ежегодно тратят около 30 миллиардов долларов на соблюдение банковских требований и безопасность инфраструктуры. Индустрия аудита криптовалют впечатляюще созрела. Остальная часть стека безопасности — та часть, которая на самом деле соответствует современным методам работы злоумышленников — находится примерно там, где банковское дело было в конце 1990-х годов.

Три паттерна, которые определят следующие 12 месяцев

Теневое заражение — это новый системный риск. Каскад Resolv через Morpho Blue, Euler и Fluid не случаен — он структурен. По мере того как стейблкоины, LST и доходные обертки (yield wrappers) все глубже интегрируются друг в друга, эксплойт в любом отдельном базовом активе становится проблемой для нескольких протоколов. Компонуемость, которую мы воспевали как преимущество, с точки зрения безопасности является нехеджированной корреляцией. Ожидайте, что протоколы начнут взимать явные «премии за риск композиции» на рынках кредитования, а агрегаторы индексного типа начнут публиковать в реальном времени показатели «радиуса поражения при эксплойте».

Государственная атрибуция больше не является хвостовым риском — теперь это наиболее вероятный сценарий. Северокорейские кластеры вывели из криптовалют около 2,04 миллиарда долларов только в 2025 году, что составляет чуть более половины всех потерь, и операция Drift показывает их готовность инвестировать по шесть месяцев ради девятизначных выплат. Отношение к моделям угроз КНДР как к чему-то, о чем нужно беспокоиться только крупным биржам, теперь устарело. Любой DeFi-проект с мультисигом, казначейством более 50 миллионов долларов или программой Ecosystem Vault является потенциальной целью.

Полностековая сертификация безопасности станет требованием при закупках. Сегодня статуса «проверен [авторитетной фирмой]» достаточно для листинга на большинстве фронтендов и агрегаторов. В течение следующих двенадцати-восемнадцати месяцев ожидайте, что институциональные аллокаторы, эмитенты ETF и крупные фронтенд-агрегаторы потребуют доказательств, охватывающих конфигурацию облака, управление ключами, безопасность конечных точек, цепочку поставок и устойчивость к социальной инженерии, а не только Solidity. Первые протоколы, которые опубликуют такие полностековые аттестации, получат реальное преимущество в распределении.

Неудобная правда о цифре 89 %

Заголовки типа «эксплойты смарт-контрактов сократились на 89 %» звучат триумфально. Так и есть. Индустрия аудита заслужила эту победу. Но тот же набор данных рассказывает параллельную историю, над которой защитникам стоит задуматься: злоумышленники экономически рациональны, и они всегда найдут уязвимую цель. Закрытие уровня контрактов просто перенаправило поверхность атаки на закрытые ключи, облачную инфраструктуру, сотрудников службы поддержки и расширения IDE.

Хорошая новость заключается в том, что почти каждый вектор атаки, который сейчас доминирует в графе потерь, решаем с помощью методов, которые в широкой индустрии кибербезопасности существуют уже много лет: изолированное на аппаратном уровне подписание, обязательная симуляция транзакций, поведенческая аналитика использования ключей, формальное моделирование угроз потоков управления и культурные практики противодействия социальной инженерии. Ничто из этого не требует инновационных разработок. Все это — работа по внедрению, и почти ничего из этого не делается, потому что команды протоколов все еще планируют бюджет, исходя из модели угроз 2022 года.

Протоколы, которые выживут в ближайшие два года, — это те, что усвоят одну фразу: аудит был самой легкой частью.

---

BlockEden.xyz управляет производственной блокчейн-инфраструктурой для разработчиков в сетях Sui, Aptos, Ethereum, Solana и более чем 25 других сетях. Мы относимся к управлению ключами, защите конечных точек и контролю доступа с той же строгостью, что и к нашему программному обеспечению для узлов. Изучите наш маркетплейс API, чтобы создавать на базе инфраструктуры, разработанной для устранения целого класса операционных рисков из вашего стека.

Источники

• Sherlock — Отчет по безопасности Web3 за 1 квартал 2026 г.
• Hacken — Обзор отчета по безопасности Web3 за 1 квартал 2026 г.
• Cointelegraph — Взломы Web3 стоили 464 млн $ в 1 квартале 2026 г.
• Blockchain.News — Ущерб от взломов Web3 достиг 482 млн $ в 1 квартале 2026 г., так как злоумышленники нацелились на инфраструктуру вместо кода
• Cointelegraph — Криптопользователь потерял 282 млн $ в Bitcoin и Litecoin в результате атаки с использованием социальной инженерии
• Brave New Coin — Анализ кражи 282 млн $ у пользователя Trezor через социальную инженерию
• Chainalysis — Уроки взлома Resolv
• Halborn — Разбор: взлом Resolv (март 2026 г.)
• Elliptic — Эксплойт протокола Drift на 286 млн $, связанный с КНДР
• TRM Labs — Северокорейские хакеры вывели 285 млн $ из Drift
• The Hacker News — Взлом Drift на 285 млн $: шестимесячная операция КНДР
• Hacken — Годовой отчет по безопасности Web3 за 2025 г.