Генеральний директор Immunefi Мітчелл Амадор 11 червня оголосив: сучасні фронтирні AI-моделі спровокували "апокаліпсис вразливостей" у криптоіндустрії. За його словами, автоматизований аналіз смарт-контрактів досяг точки, де темп виявлення нових прогалин перевищив здатність команд безпеки їх усувати. Злом Raydium на $1.34 млн напередодні став черговим підтвердженням цієї тенденції.
Чому AI прискорює не лише захист, а й атаки
До появи потужних AI-систем аудит смарт-контракту займав дні або тижні ручного аналізу. Тепер фронтирні моделі здатні переглянути тисячі рядків коду за кілька годин, виявляючи граничні умови у функціях, помилки в логіці прав доступу і нетипові шляхи виконання. Для зловмисника це радикально скорочує час від знаходження вразливості до початку атаки.
Проблема в доступності. Той самий API, який аудитор використовує для пошуку прогалин, доступний зловмиснику за кілька хвилин реєстрації. Бар'єр входу зник. Команди безпеки теж намагаються взяти AI на озброєння, але тут є базова нерівність: атакуючому достатньо знайти одну вразливість, захиснику треба закрити всі.
Ще один аспект: семантичне розуміння коду. Старіші статичні аналізатори шукали відомі патерни вразливостей. Нові LLM-системи здатні розуміти семантику функцій і знаходити вразливості класу zero-day набагато ефективніше, ніж людина. Immunefi зафіксувала помітне зростання кількості AI-асистованих звітів у 2026 році. За шість років роботи загальні збитки DeFi скоротились на 80% від піку 2022 року. Але Амадор попереджає: ця тенденція під загрозою, адже кількість критичних вразливостей у 2025-2026 роках знову зростає.
Raydium: $1.34 млн із коду п'ятирічної давнини
10 червня 2026 року зловмисник атакував Raydium, децентралізовану біржу на Solana. Уразливою виявилась стара версія AMM-програми (V3), яку команда вивела з обігу ще в 2021 році. П'ять пулів ліквідності від тієї версії так і не були повністю деактивовані на рівні смарт-контракту.
З пулів вилучили SOL, USDC і рідний токен RAY на загальну суму понад $1.34 млн. Команда Raydium підтвердила: чинні mainnet-програми до цього типу атаки невразливі, жоден поточний користувач коштів не втратив. Відшкодування планують провести з казначейства протоколу.
Це наочний приклад ширшого патерну. Протоколи нерідко виводять програму з обігу, але не блокують доступ до активів у смарт-контракті назавжди. Кошти залишаються технічно доступними. Зловмисник знаходить це через автоматизований аналіз стану блокчейну. Питання не в тому, чи трапиться подібне знову, а в тому, у якого протоколу це станеться наступного разу.
Ринкова реакція: відтоки, страхування і ціна ризику
Кожен успішний злом DeFi-протоколу додає тиск на ширший сектор. У травні-червні 2026 року сталося кілька резонансних інцидентів: Gravity Bridge зупинили після атаки на $5.4 млн, ZEC впав після виявлення критичної вразливості у Zcash Orchard. Raydium продовжує цей список.
Для власників DeFi-токенів ситуація двозначна. Raydium оперативно пообіцяв відшкодування, і ринок відреагував без паніки. Але серія подібних інцидентів за короткий час формує у частини капіталу стійке відчуття ризику. Страхові премії для DeFi-протоколів у 2026 році зростають, і аналітики фіксують цю тенденцію у звітах щокварталу.
Особливо вразливий сегмент DEX. На відміну від централізованих бірж, де є юридична відповідальність і можливість заморозити кошти, на DEX кожна транзакція остаточна. Відшкодування можливе лише з казначейства або страхового фонду самого протоколу. Частина VC і фондів з DeFi-позиціями активізувала внутрішні перевірки портфельних протоколів після заяви Амадора. Масового виходу коштів не сталось, але тиск відчутний.
Протоколи перебудовують захист
Immunefi фіксує зростання попиту на конкурсні аудити. На відміну від разової перевірки одним підрядником, конкурсний формат залучає десятки незалежних дослідників, які перевіряють код паралельно. Більше очей знижують шанси пропустити прогалину, яку AI-сканер теоретично може виявити першим.
З'явився ще один напрямок: автоматичне відстеження стану deprecated-програм. Після інциденту з Raydium кілька протоколів оголосили про внутрішній аудит застарілого коду. Але є структурна проблема: більшість bug bounty охоплюють лише поточні версії програм. Відповідальність за deprecated код залишається розмитою, бо офіційно він знятий з обігу, але блокчейн не знає дати закінчення терміну.
Третій підхід, що набирає популярності, це формальна верифікація. На відміну від аудиту, де дослідник шукає відомі вразливості, формальна верифікація математично доводить, що код виконується строго згідно зі специфікацією. Дорожче і повільніше, так. Але коли AI пришвидшує атаки, розрахунок вартості захисту змінюється.
DeFi і AI: куди рухається сектор
Амадор не закликає відмовлятись від DeFi. Він говорить про три зміни, без яких сектор не впорається: безперервний моніторинг замість разового аудиту, автоматичне деактивування застарілого коду і обов'язкові bug bounty з реальними виплатами. Immunefi за час роботи виплатила дослідникам понад $100 млн, і ця система справді дієва.
Питання в темпі. Чи масштабується легітимна система пошуку вразливостей швидше за AI-інструменти атакуючих? Поки відповіді немає.
Поки Bitcoin тримається вище $63 000, а ринок залишається відносно стабільним, DeFi-апетит нікуди не зник. Але якщо хвиля AI-асистованих зломів продовжиться, регулятори отримають нові аргументи для жорсткого нагляду за сектором, а страхові премії зростуть ще більше. "Апокаліпсис вразливостей", про який попередив Immunefi CEO, вже не сценарій майбутнього.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *