Квітень 2026 увійшов в історію криптоіндустрії як найгірший місяць для безпеки за 14 місяців. За підрахунками DeFiLlama, хакери вивели $629,7 млн у більш ніж 25 атаках - найвищий показник з лютого 2025 року, коли індустрія втратила $1,47 млрд. Сектор DeFi знову опинився в епіцентрі, а два злами разом забрали більшість квітневих збитків.
Що стоїть за цифрою $630 млн?
KelpDAO та Drift Protocol сформували основу рекорду. Перший втратив $293 млн унаслідок атаки на протокол рестейкінгу, другий позбувся $280 млн. Разом вони склали $573 млн, або 82% від усіх квітневих збитків. Решта 20 з гаком інцидентів у сумі дала менше п'ятої частини від загальної цифри.
Поряд з гігантами відбувся ряд менших, але показових атак. Деривативна платформа Wasabi Protocol втратила $5,5 млн через чотири мережі: Ethereum, Base, Blast і Berachain. Move-to-earn проект Sweat Economy позбувся $3,46 млн приблизно за 30 секунд, тобто 65% від усього пулу ліквідності. Кошти згодом вдалося заморозити на MEXC, і команда розпочала роботу з їх повернення. Sui-платформа Aftermath Finance втратила $1,1 млн у USDC за 36 хвилин через 11 транзакцій.
Як змінилася тактика зловмисників?
Янів Нісенбойм, голова підрозділу безпекових рішень Chainalysis, вказав на спільну рису квітневих атак: добре забезпечені ресурсами зловмисники навчились бити по стиках між on-chain протоколами та off-chain інфраструктурою, яка їх обслуговує.
Нісенбойм виділив чотири основні вектори атак цього місяця:
- RPC-вузли (remote procedure call) як мости між блокчейном і зовнішніми системами, де протокол взаємодіє з реальним світом
- Хмарні системи управління ключами, де протоколи зберігають секрети підписантів
- Тривалі кампанії соціальної інженерії, які можуть розгортатися місяцями до активації
- Крос-чейн операції, які виглядають легітимно прямо до моменту виведення коштів
У випадку з KelpDAO реальний моніторинг аномалій дозволив запобігти другій крадіжці ще на $95 млн. За словами Нісенбойма, on-chain транзакції в таких атаках часто виглядають нормально навіть тоді, коли інфраструктура вже скомпрометована. Автоматичні захисти дедалі частіше зупиняють атаки в середині процесу, а не після факту.
Чому DeFi не перестає бути мішенню?
Співзасновник Cyvers Меір Долев описав квітень як місяць "точкових ударів": зловмисники свідомо обирають протоколи з найвищою ліквідністю. Дрібні цілі їх просто не цікавлять.
Причина криється в самій архітектурі DeFi. Протоколи з великою ліквідністю залежать від мостів та оракулів, які з'єднують кілька блокчейнів одночасно. Кожне таке з'єднання може стати точкою входу. Чим більше ланцюгів залучено, тим ширша поверхня для атаки.
Компанія Hacken назвала квітень найгіршим місяцем для DeFi за п'ять років. Складність крос-чейн архітектур разом зі зростаючою роллю соціальної інженерії при атаках на мости пояснює, чому саме великі ліквідні протоколи стають першою ціллю.
Хто стоїть за атаками?
Hacken прямо вказала на акторів, пов'язаних з Північною Кореєю (КНДР), як на виконавців атак на Kelp і Drift. Цей висновок узгоджується з тим, що відомо про групи Lazarus та Bluenoroff: ці угруповання роками атакують криптопроекти і перетворились на один з ключових ризиків ринку.
TRM Labs опублікувала окремий звіт: хакери, пов'язані з КНДР, накопичили $6 млрд від крипто-крадіжок за роки діяльності (починаючи приблизно з 2017 року), а на долю 2026 року припадає 76% від усіх поточних здобичей. Розмах показує, що йдеться не про поодиноких злочинців, а про державно-спонсоровані структури з ресурсами і терпінням для тривалих операцій.
Що далі для DeFi?
Аналітики Standard Chartered на чолі з Джеффрі Кендріком не катастрофізують ситуацію. У дослідницькій нотатці банку зазначено, що злам KelpDAO і його вплив на AAVE - це виклик, але не вирок. "Зріла DeFi-галузь системно вирішує вразливості", - переконані аналітики, і прогнозують продовження зростання сектору.
Квітневий рекорд ставить під питання не стійкість DeFi як такового, а конкретні підходи до безпеки інфраструктури. Протоколи, що інвестують у реальний моніторинг off-chain рівня, мають шанс зупинити наступну атаку ще до виведення коштів. Кейс KelpDAO, де другий вивід на $95 млн вдалося запобігти, показує: такі інструменти вже працюють.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *