Отчёт по безопасности крипторынка за Q1 2026: Как взлом Bybit на $1,5 млрд знаменует новую эру атак на инфраструктуру

Цифры должны были вселять уверенность. Аудит смарт-контрактов никогда не был столь изощрённым, формальная верификация стала мейнстримом, а DeFi-протоколы совокупно потратили сотни миллионов на проверки безопасности. И всё же в первом квартале 2026 года криптоиндустрия потеряла более $2 млрд — включая крупнейшую единичную кражу в истории цифровых активов. Виновником стал не баг в Solidity. Это был взломанный ноутбук разработчика.

Это определяющая история безопасности 2026 года: по мере того как код в блокчейне становится более защищённым, злоумышленники переходят за его пределы. Сражение больше не ведётся в байткоде смарт-контрактов — оно разворачивается в облачных учётных данных, на машинах разработчиков, в DNS-записях, npm-пакетах и человеческой психологии подписантов мультисигов. Понимание этого сдвига не является опциональным для тех, кто создаёт или инвестирует в инфраструктуру Web3.

Заголовочные цифры: обманчивая картина

В Q1 2026 было зафиксировано около $450 млн потерь в более чем 60 инцидентах, связанных с DeFi, — цифра, которую исследователи безопасности приводят как доказательство масштабности и устойчивости криптокраж. Однако одна лишь эта цифра занижает реальный ущерб квартала.

21 февраля 2026 года северокорейская Lazarus Group похитила около $1,5 млрд у Bybit в ходе единственной операции — крупнейшая кража криптовалюты за всю историю. В совокупности с более широкими данными по DeFi-инцидентам Q1, суммарные потери крипторынка за первые три месяца 2026 года превысили $2 млрд.

Помесячная разбивка демонстрирует разительный разброс:

• Январь 2026: ~$370–400 млн, основной ущерб от единственной фишинговой атаки на $282 млн
• Февраль 2026: ~$49 млн в DeFi-инцидентах (без учёта $1,5 млрд Bybit)
• Март 2026: ~$52 млн в более чем 20 инцидентах — рост на 96% по сравнению с февралём

Мошенничества с самозванством выросли на 1400% в год. Эксплойты смарт-контрактов, напротив, сократились примерно на 89% в год в абсолютных потерях. Код отрасли становится безопаснее. Её сотрудники, системы и инфраструктура превратились в новую поверхность атаки.

Bybit: когда цепочка поставок победила смарт-контракты

Взлом Bybit уже стал хрестоматийным примером в кругах специалистов по безопасности — и справедливо. Вот что произошло на самом деле.

Для хранения средств клиентов Bybit использовал Safe{Wallet} — один из самых надёжных мультисиг-кошельков на базе смарт-контрактов в крипте. Сами контракты Safe{Wallet} взломаны не были. Вместо этого Lazarus Group (также известная как TraderTraitor и APT38 — подразделение Главного бюро разведки Северной Кореи) скомпрометировала машину разработчика в инженерной команде Safe{Wallet}.

Получив точку опоры, злоумышленники внедрили вредоносный JavaScript в веб-интерфейс Safe{Wallet}. Код работал хирургически точно: нормально функционировал для всех пользователей, кроме Bybit, и только когда Bybit выполнял определённый вид транзакции с холодным кошельком. Когда подписанты Bybit инициировали то, что выглядело как обычный внутренний перевод, они неосознанно подписывали транзакцию, передающую контроль над холодным кошельком с ~$1,5 млрд в ETH и токенах ERC-20 злоумышленнику.

Через две минуты после выполнения вредоносной транзакции Lazarus загрузил в AWS S3-бакет Safe{Wallet} чистые, немодифицированные версии JavaScript-файлов — уничтожив следы практически в режиме реального времени.

ФБР подтвердило атрибуцию. Северная Корея финансирует значительную часть своих оружейных программ за счёт криптокраж, а добыча из Bybit стала бесспорно крупнейшей единичной операцией.

Урок безопасности очевиден: смарт-контракты Bybit были защищены. Управление кошельком прошло мультисиг-проверки. Подписанты не допускали явных ошибок. Вектором стала цепочка поставок программного обеспечения — слой, который большинство фреймворков безопасности крипты даже не рассматривают.

Фишинговая эпидемия января: $282 млн из одной мошеннической схемы

До Bybit январь 2026 года сам установил рекорд. 16 января один инвестор потерял $284 млн в результате изощрённой фишинговой кампании, нацеленной на пользователей аппаратных кошельков. Атака имитировала поддержку клиентов Trezor, вынуждая жертву раскрыть фразу восстановления через поддельное срочное уведомление безопасности.

Одна атака с применением социальной инженерии. Одна сид-фраза. $282 млн исчезло.

Суммарные потери января составили около $370–400 млн, причём единственная атака обеспечила почти 80% месячного ущерба. На протяжении всего Q1 фишинг и социальная инженерия обеспечили более $290 млн похищенных средств — больше, чем все остальные типы атак вместе взятые. На каждый доллар, потерянный от эксплойтов смарт-контрактов в Q1 2026, приходилось почти четыре доллара, украденных через манипуляции с людьми.

Резкий рост мошенничеств с самозванством отражает рациональный расчёт злоумышленников: исследователи безопасности уже очень хорошо умеют находить уязвимости Solidity, тогда как люди по-прежнему остаются стабильно эксплуатируемыми. Крипто-пользователи контролируют активы стоимостью в сотни тысяч или миллионы долларов, работают под давлением времени и взаимодействуют с изощрёнными интерфейсами, которые можно подделать с минимальными усилиями.

Drift Protocol: шестимесячная разведывательная операция

1 апреля 2026 года — знаменующая начало Q2, но отбросившая тень на весь квартал — Drift Protocol потеряла $286 млн в том, что может быть самым операционно изощрённым DeFi-эксплойтом в истории.

Злоумышленники не искали баг смарт-контракта. Они нашли нечто более ценное: доверие.

Связанная с северокорейским государством группа провела около шести месяцев, проникая в Drift Protocol под прикрытием квантового трейдингового фонда. За этот период они:

1. Лично встречались с участниками Drift на крипто-конференциях для выстраивания доверительных отношений
2. Внесли более $1 млн в Drift Protocol для легитимизации в качестве реальных участников
3. Интегрировали продукт Ecosystem Vault, получив более близкий технический доступ к протоколу
4. Взломали устройства разработчиков через вредоносное приложение TestFlight и уязвимость расширения VSCode/Cursor
5. Используя взломанные устройства, получили две из пяти подписей мультисига Совета безопасности Drift

Имея две подписи, они эксплуатировали функцию durable nonce Solana — легитимный механизм, позволяющий предварительно подписанным транзакциям сохранять действительность при смене высоты блока, предназначенный для удобства в процессах подписания офлайн. Злоумышленники использовали его для хранения авторизаций транзакций в резерве, а затем за минуты выполнили план: внесли в белый список бесполезный фейковый токен (CVT) как залог, внесли 500 млн CVT и вывели $285 млн реальных активов, включая USDC, SOL и ETH.

Весь дрейн занял около 12 минут. Подготовка заняла шесть месяцев.

Этот шаблон атаки — терпеливый, основанный на идентичности, использующий легитимные функции протокола, а не баги, — является продвинутой формой постоянно совершенствующегося плейбука КНДР.

Индустриализованная кража крипты Северной Кореи

Анализировать ландшафт безопасности Q1 2026 невозможно, не столкнувшись с неудобной реальностью: Северная Корея управляет государственной программой по краже криптовалюты в промышленных масштабах, и она ускоряется.

На протяжении Q1 2026 операции, связанные с КНДР, обеспечили более $300 млн подтверждённых потерь как минимум в 18 отслеживаемых операциях. Их поверхность атаки теперь охватывает:

• Атаки на цепочку поставок холодных кошельков CEX (Bybit): Компрометируют программное обеспечение подписантов, а не сами контракты
• Социальная инженерия в DeFi (Drift): Проникают в протоколы как доверенные участники на протяжении месяцев
• Цепочка поставок разработчиков (кампании npm/PyPI): Публикуют вредоносные пакеты под предлогом фейковых вакансий от рекрутеров для компрометации сред разработчиков и кражи учётных данных
• Внедрение ИТ-работников: Операторы КНДР внедряются как удалённые разработчики в крипто-компании, получая зарплаты через миксеры (OFAC в марте 2026 года ввёл санкции против 6 лиц и 2 организаций за это)

Общая нить — сдвиг от технической эксплуатации кода к систематической эксплуатации людей, доверия и инфраструктуры.

Структурный сдвиг: что означает «полностековая безопасность» сегодня

Данные Q1 2026 убедительно доказывают: профессия в области безопасности крипты должна расширить свой охват. Традиционная безопасность в Web3 была почти полностью сосредоточена на аудите смарт-контрактов — и этот фокус дал результаты. Код в блокчейне действительно более защищён, чем в 2021-2022 годах.

Но злоумышленники не сдались — они изменили направление. Новая поверхность атаки включает:

Облачную инфраструктуру: Учётные данные AWS, образы Docker, секреты подов Kubernetes, S3-бакеты. Взлом Bybit использовал загрузку в S3 для развёртывания вредоносного JavaScript с последующей заменой.

CI/CD-конвейеры: Системы сборки с привилегированным доступом к подписным ключам, средам деплоя и производственным секретам. Компрометация конвейера компрометирует каждый последующий деплой.

npm и экосистемы пакетов: Lazarus Group и аффилированные злоумышленники ведут устойчивые кампании, публикуя вредоносные пакеты с именами, похожими на популярные крипто-библиотеки, настроенные на сбор токенов AWS, GitHub PAT, SSH-ключей и переменных среды.

DNS-инфраструктуру: В ряде инцидентов 2026 года применялись DNS-хайджекинги, перенаправлявшие пользователей легитимных фронтендов протоколов на фишинговые сайты, контролируемые злоумышленниками. Даже идеальный код в блокчейне не спасёт пользователей, если взломан DNS.

Человеческую идентичность: Мультисиг-схемы, требующие N из M подписей, защищены ровно настолько, насколько защищены держащие ключи люди. Если злоумышленники могут скомпрометировать двух из пяти подписантов — через вредоносное ПО на рабочих устройствах, социальную инженерию, длительное проникновение — мультисиг не обеспечивает никакой защиты.

Вот что означает «полностековая безопасность» в 2026 году: аудит Solidity — это необходимый минимум, а не весь игровой план.

Что строители должны делать иначе

Данные Q1 2026 указывают на конкретные рекомендации по защите:

Относитесь к средам подписания как к защищённой инфраструктуре. Аппаратные ключи безопасности для мультисига должны использоваться на выделенных устройствах с изоляцией от сети или под строгим контролем. Если расширение VSCode участника Совета безопасности Drift может быть взломано для перехвата активности подписания — мультисиг менее защищён, чем кажется.

Внедрите контроль цепочки поставок для зависимостей. Фиксируйте версии npm и PyPI пакетов с помощью хешей целостности. Запускайте аудиты зависимостей в CI. Относитесь с особой подозрительностью к пакетам, запрашивающим широкий доступ к переменным среды или сетевой передаче данных.

Защищайте фронтенд так же серьёзно, как контракты. Мониторинг DNS, CSP-заголовки, целостность подресурсов для загружаемых скриптов и политики AWS S3-бакетов, предотвращающие несанкционированную перезапись, больше не являются опциональными для протоколов, хранящих значительные средства пользователей.

Проводите red team-тестирование своей человеческой поверхности атаки. Пентестирование должно включать симуляции социальной инженерии — фейковые обращения от рекрутеров, фиктивные запросы срочной поддержки, ложные чрезвычайные ситуации в управлении. Векторы атаки Drift были предсказуемы и могли быть обнаружены в ходе настольных учений.

Разделяйте управленческую идентичность и рабочую идентичность. Члены Совета безопасности протокола должны строго разграничивать свои ежедневные разработческие учётные данные и роли по подписанию в управлении. Взломанный рабочий ноутбук не должен иметь доступа к мультисиг-ключам.

Взгляд в будущее: профессионализация безопасности Web3

Q1 2026 — это принудительный катализатор перемен. Индустрия безопасности, которая нужна Web3, — охватывающая облачную безопасность, гигиену цепочки поставок, red team-тестирование человеческого фактора и операционную безопасность наряду с аудитом смарт-контрактов, — всё ещё формируется. Таланты, инструменты и организационные структуры для полностековой безопасности Web3 находятся в зачаточном состоянии.

Очевидно одно: приманка лишь растёт. По мере притока институционального капитала в крипто-протоколы, биржи и DeFi-рынки пропорционально растут ресурсы, доступные изощрённым злоумышленникам вроде КНДР. Государственный актор, похитивший по оценкам $6,75 млрд в крипте с 2017 года, не станет считать следующую цель менее привлекательной из-за успеха предыдущей.

Выжившие и процветающие в следующем цикле протоколы и инфраструктурные провайдеры — это те, кто относится к безопасности как к операционной дисциплине, а не разовому аудиту, и расширяет свою модель угроз за пределы EVM, охватывая каждый слой стека, на который полагаются пользователи.

BlockEden.xyz управляет корпоративными RPC-узлами и API-инфраструктурой для Sui, Aptos, Ethereum и более 20 других блокчейнов. Наша инфраструктура построена с многоуровневыми средствами контроля безопасности на уровнях DNS, облака и сети — тех самых поверхностях угроз, которые определили наиболее разрушительные атаки Q1 2026. Изучите наш API-маркетплейс, чтобы строить на инфраструктуре, разработанной для реального ландшафта угроз.