Взлом за $1,22: технический директор Ledger утверждает, что ИИ разрушил экономику безопасности криптовалют

Рабочий эксплойт для смарт-контракта теперь стоит около $1,22 в API-кредитах. Это число, выявленное «красной командой» (red team) Anthropic в конце 2025 года и подтвержденное академическим генератором эксплойтов, который извлек до$ 8,59 млн за одну атаку, стало фоном для предупреждения технического директора Ledger Шарля Гийеме, сделанного 5 апреля 2026 года: искусственный интеллект не взламывает криптографию. Он ломает экономику криптобезопасности, а традиционная защита индустрии никогда не рассчитывалась на такие условия.

Если 2024 год стал годом, когда ИИ переписал способ написания кода разработчиками, то 2026 год — это год, когда он переписал способ создания эксплойтов злоумышленниками. Асимметрия изменилась настолько быстро, что даже фирмы, потратившие десятилетие на создание аппаратных кошельков, теперь задаются вопросом, не нуждается ли вся модель доверия в полном пересмотре.

Что на самом деле сказал Гийеме

Выступая публично в начале апреля, Гийеме — технический директор Ledger и многолетний исследователь безопасности аппаратного обеспечения — изложил неутешительный тезис. Кривая стоимости атаки для криптоиндустрии обрушивается, потому что большие языковые модели достаточно компетентны, чтобы выполнять самые сложные части работы злоумышленника: читать незнакомый код на Solidity, рассуждать о конечных автоматах, генерировать правдоподобные транзакции эксплойтов и итерировать их на ончейн-форках, пока что-то не сработает.

Его формулировка была намеренно экономической. Криптография сегодня не слабее, чем в 2024 году. Хеш-функции всё так же хешируют. Эллиптические кривые всё так же работают. Изменилось то, что трудозатраты на успешную атаку — взгляд старшего аудитора, месяцы терпеливого реверс-инжиниринга — сжались до строки бюджета в одном инвойсе от Anthropic или OpenAI. «Мы собираемся производить огромное количество кода, который будет небезопасным по умолчанию», — предупредил Гийеме, указывая на вторичный эффект: разработчики выпускают сгенерированный ИИ код на Solidity быстрее, чем проверяющие успевают его прочитать.

По данным Ledger, потери от напрямую связанных взломов и эксплойтов в прошлом году составили около $1,4 млрд, при этом общие суммы от мошенничества и фрода значительно выше, в зависимости от того, чьи расчеты вы принимаете. Chainalysis оценила общий объем украденных средств в 2025 году в$ 3,4 млрд. Январское ретроспективное исследование CoinDesk 2026 года оценило более широкую сферу мошенничества и выдачи себя за другое лицо в целых $ 17 млрд. Каким бы цифрам вы ни доверяли, тренд идет в неверном направлении, и аргумент Гийеме заключается в том, что эта траектория теперь задается искусственным интеллектом.

Цифра от Anthropic, которая изменила правила игры

В декабре 2025 года собственная «красная команда» Anthropic опубликовала результаты SCONE-bench — бенчмарка из 405 смарт-контрактов, которые были реально взломаны в период с 2020 по 2025 год. Главный статистический показатель был ошеломляющим. Из всех 405 задач современные передовые модели создали готовые к использованию эксплойты для 207 из них, что составляет 51,11 % успеха, на общую сумму в $ 550,1 млн симулированных украденных средств.

Еще более тревожно то, что когда те же агенты были направлены на 2 849 свежеразвернутых контрактов, не имевших известных уязвимостей, обе модели — Claude Sonnet 4.5 и GPT-5 — обнаружили две настоящие уязвимости нулевого дня и создали рабочие эксплойты на сумму $3 694 при стоимости API-запросов примерно в$ 3 476. Это соотношение на бумаге едва выходит в ноль, но оно разрушает предположение о том, что обнаружение уязвимостей нулевого дня требует участия команды людей.

Независимая академическая работа подтверждает это с другой стороны. Система «A1», представленная на arxiv в 2025 году и обновлявшаяся до начала 2026 года, объединяет любую LLM с шестью специализированными инструментами — дизассемблерами байт-кода, исполнителями форков, трекерами баланса, профилировщиками газа, спуферами оракулов и мутаторами состояния — и направляет её на целевой контракт. A1 достигла успеха в 62,96 % случаев на наборе данных эксплойтов VERITE, значительно превзойдя предыдущий базовый уровень фаззинга (ItyFuzz, 37,03 %). Стоимость одной попытки составляла от $0,01 до$ 3,59. Самая крупная смоделированная разовая выплата составила $ 8,59 млн.

Это не теоретические цифры. Это входная стоимость эксплойта. И как только эта стоимость достигает цены обеда в фастфуде, вопрос перестает быть «могут ли злоумышленники себе это позволить» и становится «могут ли защитники позволить себе что-то упустить».

Несоответствие пропускной способности 1000:1

Вот часть картины, которую аудиторские фирмы до сих пор с трудом могут сформулировать. Аудиторы берут плату за проект. Они проверяют одну кодовую базу за раз, часто в течение нескольких недель, и их инструменты ИИ — когда они их используют — встроены в рабочий процесс с участием людей и выставлением счетов. Злоумышленники, напротив, могут арендовать те же модели, направить их на тысячи контрактов параллельно и платить только тогда, когда что-то сработает.

В статье Frontiers in Blockchain начала 2026 года эта асимметрия была описана одной фразой: злоумышленник получает прибыль при примерно $6 000 извлекаемой стоимости, в то время как порог безубыточности для защитника приближается к$ 60 000. Этот 10-кратный разрыв существует не потому, что защита технически сложнее, а потому, что защита должна быть полной, а атаке достаточно оказаться правильной лишь один раз.

Сопоставьте это с разницей в объемах — скажем, 1000:1 между контрактами, которые может просканировать злоумышленник, и контрактами, которые может проверить аудиторская фирма, — и вы придете к выводу Гийеме почти автоматически. Никакой бюджет на аудит не может закрыть этот разрыв. Экономика просто не работает.

О чем уже говорят нам главные хиты 2026 года

Взломы, произошедшие в 2026 году, на первый взгляд не всегда выглядят как истории об «эксплойтах ИИ». Две крупнейшие потери года на данный момент — это отрезвляющее напоминание о том, что инструменты атак с использованием LLM накладываются на старые, более банальные методы.

1 апреля 2026 года Drift Protocol на Solana потерял 285 миллионов долларов — более половины своего TVL — в результате атаки, которую TRM Labs и Elliptic приписали северокорейской группе Lazarus. Механизмом была социальная инженерия, а не баг в Solidity. Злоумышленники месяцами выстраивали отношения с командой Drift, а затем использовали функцию Solana «durable nonce», чтобы заставить членов Совета безопасности заранее подписать транзакции, эффект которых они не понимали. Как только контроль администратора перешел к ним, атакующие внесли в белый список бесполезный токен (CVT) в качестве залога и использовали его для вывода реальных USDC, SOL и ETH.

Восемнадцать дней спустя Kelp DAO потерял 292 миллиона долларов через свой мост на базе LayerZero — на данный момент это крупнейший DeFi-эксплойт 2026 года. Злоумышленник убедил уровень межсетевых сообщений LayerZero в том, что из другой сети пришла валидная инструкция, и мост Kelp послушно перевел 116 500 rsETH на адрес под контролем атакующего. По большинству оценок, это снова была группа Lazarus.

Какое отношение это имеет к ИИ? Во-первых, разведка, которая делает возможной социальную инженерию «длинного хвоста» — картирование профилей, подбор тона сообщений, выбор подходящего момента в календаре цели — это именно то, в чем сильны LLM. Прогноз CertiK на 2026 год уже называет фишинг, дипфейки и компрометацию цепочки поставок доминирующими векторами атак в этом году, отмечая скачок потерь от фишинга на 207% только за период с декабря 2025 по январь 2026 года. Во-вторых, ИИ снижает барьер для параллельных операций: там, где в 2024 году команда уровня Lazarus могла проводить несколько кампаний одновременно, инструменты ИИ позволяют гораздо меньшей группе запускать десятки.

Напоминание о том, насколько детализированным это может быть, пришло в апреле 2026 года, когда Zerion, популярное приложение-кошелек, сообщило, что злоумышленники использовали социальную инженерию на базе ИИ для вывода примерно 100 000 долларов из его горячих кошельков. По меркам 2026 года сумма невелика. Но техника — ИИ, генерирующий скрипт имитации, ИИ, создающий поддельную страницу поддержки, ИИ, формирующий фишинговое письмо — это именно то, о чем предупреждает Гиллеме.

Почему «просто усилить аудит» — не выход

Инстинктивная реакция индустрии — выделять больше средств на аудиты. Но эта реакция не учитывает масштаб проблемы.

Аудиты масштабируются линейно в зависимости от рабочих часов аудитора. Атаки теперь масштабируются вместе с API-кредитами. Даже если каждая аудиторская фирма первого эшелона (Tier-1) завтра удвоит штат, поверхность атаки злоумышленника все равно будет расти в 10 раз быстрее, потому что любой человек с API-ключом и базовым пониманием Solidity теперь может запускать непрерывное сканирование всей вселенной развернутых смарт-контрактов.

Хуже того, аудиты проверяют код в конкретный момент времени. Код, сгенерированный ИИ, поставляется непрерывно, и предупреждение Гиллеме о «небезопасности по определению» говорит о том, что частота появления багов растет, а не падает. Исследование 2026 года, цитируемое сообществом блокчейн-безопасности, показало, что написание кода Solidity с помощью LLM коррелирует с тонкими ошибками повторного входа (reentrancy) и контроля доступа, которые люди-рецензенты, утомленные чтением машинописного кода, пропускают чаще, чем те же баги в коде, написанном человеком.

Честный подход заключается в том, что аудиты остаются необходимыми, но недостаточными. Реальный ответ, который продвигает Гиллеме — и которому вторит собственная red team компании Anthropic — носит структурный характер.

Стек защиты, который действительно способен выстоять

Три категории защиты потенциально могут противостоять атакам, ускоренным ИИ, и все три неудобны для той части индустрии, которая оптимизирована под скорость выпуска продуктов.

Формальная верификация. Инструменты вроде Certora, Halmos и, во все большей степени, стеки верификации, поставляемые с Move (Sui, Aptos) и Cairo (Starknet), рассматривают корректность как математическую задачу, а не как задачу проверки кода. Если свойство доказано, никакой ИИ-фаззинг не сможет его нарушить. Обратная сторона — инженерные усилия: написание значимых инвариантов — это сложно, медленно и не прощает ошибок. Но это одна из немногих защит, стоимость которой не растет вместе с вычислительными мощностями атакующего.

Аппаратные корни доверия. Линейка продуктов Ledger — очевидный пример, но более широкая категория включает защищенные анклавы, MPC-кастоди и развивающиеся примитивы аттестации с нулевым разглашением. Принцип тот же: взять самое важное действие — подписание транзакции — и пропустить его через субстрат, до которого фишинговая кампания на базе LLM не сможет добраться. Принцип Гиллеме «предполагайте, что системы могут и будут давать сбои» — это, по сути, аргумент в пользу переноса полномочий по подписанию с компьютеров общего назначения.

Защита «ИИ против ИИ». В документе Anthropic от декабря 2025 года доказывается, что те же агенты, которые способны генерировать эксплойты, должны быть развернуты для создания патчей. На практике это означает непрерывный ИИ-мониторинг мемпулов, развернутых контрактов и поведения админ-ключей — выявление аномалий так же, как это делают системы обнаружения мошенничества в традиционном банкинге. Экономика здесь несовершенна (затраты защитника все еще выше затрат атакующего), но, по крайней мере, обе стороны оказываются на одной кривой вычислительных мощностей.

Модель во всех трех случаях одинакова: перестать полагаться на людей в «быстрых» аспектах безопасности и оставить человеческое суждение для медленных, дорогих и структурных задач.

Что это значит для разработчиков прямо сейчас

Для команд, запускающих проекты в 2026 году, предупреждение Гиллеме трансформируется в несколько конкретных изменений:

• Считайте код, сгенерированный ИИ, небезопасным по умолчанию. Пропускайте его через формальную верификацию или тестирование на основе свойств (property-based testing) перед деплоем в мейннет, независимо от того, насколько чистым он выглядит.
• Перенесите админ-ключи на аппаратные устройства. Мультисиг с «горячими» подписантами больше не является приемлемым стандартом безопасности для контрактов уровня казначейства; инцидент с Drift доказал, что даже «доверенных» членов команды можно обмануть с помощью социальной инженерии, заставив их предварительно подписать разрушительные транзакции.
• Исходите из того, что ваша поверхность фишинговых атак шире, чем поверхность кода. Кража 100 000 долларов у Zerion и общий скачок фишинга на 207% свидетельствуют о том, что самый дешевый доллар атакующего по-прежнему нацелен на людей, а не на Solidity.
• Выделяйте бюджет на непрерывный автоматизированный мониторинг. Еженедельный цикл аудита не является защитой против злоумышленника, который использует инструменты уровня SCONE-bench 24/7.

Ни одна из этих идей не является новой. Изменилась кривая срочности. В эпоху до появления LLM организация могла пережить упущения в любой из этих областей, если остальные были сильными. В 2026 году асимметрия затрат слишком велика для такой расслабленности.

Честный взгляд

Велик соблазн воспринять предупреждение Гиллеме как попытку Ledger прорекламировать свои интересы — производитель аппаратных кошельков, естественно, выступает за аппаратные решения. Но такая интерпретация была бы ошибкой. Те же аргументы независимо друг от друга выдвигают ред-тим Anthropic, академические группы, стоящие за A1 и SCONE-bench, эксперты CertiK в прогнозе на 2026 год и аналитические компании, отслеживающие ежемесячные объемы взломов. Консенсус в индустрии сводится к одной точке: стоимость эффективного эксплойта упала на один-два порядка, и стек защиты должен развиваться соответственно.

Что действительно ново, так это то, что это первый серьезный асимметричный сдвиг в криптобезопасности со времен волны спроса на аудиты во время «DeFi-лета» в начале 2020-х годов. Та волна породила поколение аудиторских фирм, платформ баг-баунти и стартапов в области формальной верификации. Волна 2026 года создаст нечто иное: инфраструктуру с непрерывным ИИ-мониторингом, подписание на базе аппаратных модулей по умолчанию и гораздо более жесткий скептицизм по отношению к любому контракту, чья модель безопасности все еще опирается на принцип «мы поймаем это на этапе проверки».

Цифра Гиллеме в 1,22 доллара — даже если эта сумма была названа Anthropic, а не Ledger — это та статистика, которая завершает целую эпоху. Эпоху, когда узким местом были трудозатраты атакующего. Начинается эпоха, когда узким местом является все то, что защитник еще не автоматизировал.

BlockEden.xyz управляет инфраструктурой RPC и индексации в сетях Sui, Aptos, Ethereum, Solana и более чем в 20 других сетях, используя ИИ для мониторинга аномалий в пути запроса. Если вы перестраиваете свою систему безопасности для ландшафта угроз эпохи после появления LLM, изучите наши инфраструктурные услуги или свяжитесь с нами, чтобы обсудить непрерывный мониторинг вашего протокола.

Источники

• AI is breaking crypto security by making hacks cheaper and easier, Ledger CTO warns — CoinDesk
• Smart Contracts — red.anthropic.com
• AI agents spend just $1.22 to shatter smart contract security — CryptoSlate
• AI Agent Smart Contract Exploit Generation (A1) — arxiv.org
• 2025 Crypto Theft Reaches $3.4 Billion — Chainalysis
• Crypto hacks hit $17 billion in 2025 — CoinDesk
• Drift Protocol Hack: How Privileged Access Led to a $285M Loss — Chainalysis
• North Korean Hackers Attack Drift Protocol — TRM Labs
• Kelp DAO exploited for $292 million — CoinDesk
• Phishing, Deepfakes To Fuel 2026's Biggest Crypto Hacks — Cointelegraph
• Anthropic's Mythos AI is exposing the hidden cracks in crypto's foundation — CoinDesk