Центр вознаграждений DeFi-протоколы потеряли более $750 млн из-за взломов и эксплойтов в 2026 году, при этом год ещё не достиг даже четырёх месяцев. Две атаки составили более $577 млн из этой суммы. LayerZero-мост Kelp DAO был опустошён на $292 млн в rsETH 19 апреля, а протокол Drift потерял $285 млн 1 апреля после того, как северокорейская хакерская группа в течение шести месяцев внедрялась в команду DEX на базе Solana. Если добавить десяток менее крупных инцидентов — от Step Finance до Grinex и CoW Swap, — первый квартал 2026 года уже опережает по ущербу каждый полный год с 2023-го.
Эта тенденция прослеживается чётко: все крупные эксплойты 2026 года показывают одну и ту же уязвимость. Кроссчейн-мосты, инфраструктура для перемещения активов между блокчейнами, по-прежнему становятся источником самых больших однодневных потерь в истории криптовалют.
Крупнейшие DeFi-взломы 2026 года (по состоянию на 19 апреля)
В таблице ниже отражены все подтверждённые эксплойты свыше $1 млн в 2026 году. Мелкие инциденты менее $1 млн исключены для удобства, но их суммарный ущерб также значителен. Только в первом квартале зафиксировано не менее 34 инцидентов безопасности.
| Дата | Протокол | Ущерб | Тип атаки | Сеть |
|---|---|---|---|---|
| 31 янв | Step Finance | $27,3M | Компрометация ключей казначейства | Solana |
| янв | Truebit | $26,4M | Эксплойт смарт-контракта | Ethereum |
| янв | Resolv Labs | $23M | Компрометация приватного ключа | Ethereum |
| 21 фев | IoTeX ioTube Bridge | $4,4M | Компрометация ключа (мост) | Ethereum |
| фев | CrossCurve | $3M | Недостаточная валидация в контракте моста | Multi-chain |
| фев | Hyperbridge | $2,5M | Эксплойт моста | Multi-chain |
| 1 апр | Drift Protocol | $285M | Социальная инженерия + фальш-залог | Solana |
| 3 апр | Silo Finance | $392K | Ошибка конфигурации оракула | Ethereum |
| 9 апр | Aethir | $423K | Эксплойт управления доступом | Ethereum |
| 13 апр | Dango | $410K | Ошибка в смарт-контракте (мост) | Multi-chain |
| 14 апр | CoW Swap | $1,2M | Захват домена | Ethereum |
| 15 апр | Grinex | $13,74M | Опустошение кошелька обменника | TRON/Ethereum |
| апр | Rhea Finance | $7,6M | Мошеннические токен-контракты | Multi-chain |
| 19 апр | Kelp DAO | $292M | Подделка сообщения LayerZero | Ethereum/Multi |
Две крупнейшие потери — Drift и Kelp DAO — связаны с инфраструктурой, соединяющей блокчейны или управляющей межпротокольными сообщениями. Четыре менее крупных случая также были связаны с мостами. Это не совпадение и соответствует многолетней тенденции: эксплойты мостов стабильно приводят к самым крупным потерям за год.
Как произошла атака на Drift Protocol
Потеря $285 млн 1 апреля не была классическим багом смарт-контракта. Компания TRM Labs провела расследование и связала атаку с группой UNC4736, действующей при поддержке государства КНДР. Хакеры в течение шести месяцев вели кампанию социальной инженерии против членов команды Drift.
Злоумышленники получили доступ к привилегированному админ-ключу. После этого они включили бессмысленный токен CVT в качестве залога, искусственно завысили его цену через подменённые оракулы, внесли 500 млн CVT и вывели $285 млн в USDC, SOL и ETH. Вся операция заняла около 12 минут.
Общий TVL Drift сократился с $550 млн до менее $300 млн за час. Часть похищенных средств была переведена на Ethereum через протокол Circle Cross-Chain Transfer и конвертирована в ETH с выводом через централизованные биржи. Компания Chainalysis опубликовала подробный разбор похищения, где рассмотрены этапы отмывания.
Главный урок для DeFi-строителей: смарт-контракты Drift проходили многократные аудиты у авторитетных фирм. Уязвимость не была связана с кодом или архитектурой Solana — слабым звеном оказались люди, обладающие административными ключами.
Как был опустошён мост Kelp DAO
Эксплойт Kelp DAO на $292 млн 19 апреля затронул мост на базе LayerZero. Атака не ограничилась только Kelp: злоумышленник подделал межсетевое сообщение и заставил систему LayerZero принять ложную инструкцию. Мост Kelp выпустил 116 500 rsETH на адрес атакующего.
Этот объём составлял около 18% всей эмиссии rsETH. Мост обеспечивал резервы для обёрнутых версий rsETH более чем на 20 блокчейнах, поэтому уязвимы оказались все DeFi-протоколы, принимавшие rsETH в качестве залога.
Aave заморозил рынки rsETH на V3 и V4 в течение нескольких часов, SparkLend и Fluid также приостановили работу с этим активом. Токен AAVE подешевел на 16% за сессию, так как вкладчики спешили вывести средства из протоколов с rsETH-экспозицией. Экстренный мультисиг Kelp приостановил контракты через 46 минут после взлома, но ущерб уже был нанесён. Aave до сих пор подсчитывает объём проблемных долгов заёмщиков, использовавших обесценившийся rsETH.
Почему кроссчейн-мосты продолжают ломаться
С 2022 года мосты стали причиной более $2,8 млрд совокупных потерь, или около 40% всех украденных средств в Web3. Причины носят структурный характер, и есть три главных фактора, почему мосты год за годом остаются самыми часто эксплуатируемыми звеньями в DeFi:
Они аккумулируют огромные резервы. TVL мостов достиг $21,94 млрд в марте 2026. Мост, хранящий обёрнутые активы двадцати цепей, становится единой точкой риска для всех протоколов далее по цепочке. Когда мост Kelp был взломан, TVL Aave снизился на $6 млрд, хотя сами смарт-контракты Aave не подвергались атаке.
Сложно верифицировать межсетевые сообщения. Каждый мост должен уметь подтверждать подлинность сообщения из цепи A перед тем, как цепь B выпустит средства. Некоторые используют мультисиг-валидаторов, другие — оракульные сети или zero-knowledge-доказательства. Каждый подход имеет компромиссы. Интеграция LayerZero в Kelp была скомпрометирована через подделку легитимной инструкции.
Атаки выходят за рамки кода. Drift был взломан не из-за бага в коде, а за счёт многомесячной социальной инженерии. По данным компаний по безопасности, в первом квартале 2025 года компрометация приватных ключей отвечала за 88% украденных средств, тенденция продолжилась в 2026-м. Аудит смарт-контрактов защищает от ошибок в коде, но не от фишинга или обмана разработчиков.
Для сравнения — крупнейшие эксплойты мостов в истории повторяли аналогичный сценарий. Ronin Bridge потерял $625 млн в 2022 из-за компрометации валидаторских ключей. Wormhole потерял $320 млн в том же году из-за ошибки верификации подписи. Nomad — $190 млн из-за ошибки конфигурации. Технологии развиваются, но сценарии сбоев повторяются год за годом, потому что проблема заложена в архитектуре, а не в конкретной реализации.
2026 год по сравнению с предыдущими
Показатели по годам говорят сами за себя:
| Год | Общие потери от взломов | Крупнейший эксплойт | Источник |
|---|---|---|---|
| 2022 | $3,8B | Ronin Bridge, $625M | Chainalysis |
| 2023 | $1,7B | Mixin Network, $200M | Chainalysis |
| 2024 | $2,2B | DMM Bitcoin, $305M | Chainalysis |
| 2025 | $3,4B | Bybit, $1,4B | Chainalysis |
| 2026 (на 19 апр) | $750M+ | Kelp DAO, $292M | DefiLlama/PeckShield |
В 2026 году за четыре месяца уже потеряно более $750 млн. Если текущий темп сохранится до конца года, годовые потери могут достичь $2,5 млрд, хотя динамика по кварталам очень неравномерна. Одна крупная атака во втором полугодии может поднять итоговую сумму выше $3 млрд.
Более тревожная тенденция — рост единичных атак. Drift ($285M) и Kelp ($292M) оба превышают крупнейшие DeFi-эксплойты 2023 и 2024 годов. Крупнейший взлом Bybit в 2025 году ($1,4 млрд) показал, что миллиардные атаки вполне возможны. Данные 2026 года подтверждают: инфраструктура мостов остаётся самым эффективным способом для хакеров похитить крупные суммы.
Что важно учитывать трейдерам
Если вы храните активы на DeFi-протоколах, учтите следующие моменты:
Проверьте свою экспозицию через мосты заранее. Если ваши токены обёрнуты и зависят от моста, вы несёте риск, о котором часто не задумываются. Взлом Kelp DAO показал — держатели rsETH на 20 цепях пострадали, даже если напрямую не взаимодействовали с Kelp. Некоторые протоколы (например, Aave) заморозили рынки, а вышедшие вовремя пользователи сохранили капитал.
Мультисиг — не гарантия безопасности. Drift и Kelp использовали мультисиг, но это не предотвратило потери. В Drift злоумышленник получил админ-ключ через многоступенчатую инженерную атаку, а в Kelp экстренный мультисиг среагировал поздно, когда активы уже были выведены. Мультисиг усложняет задачу атакующему, но не защищает полностью.
Хранение нативных активов на централизованных биржах исключает риск мостов. Держатели BTC, ETH или SOL на бирже, такой как Phemex, не подвержены рискам смарт-контрактов, мостов или манипуляций оракулами. Однако выбор между кастодиальным и DeFi-риском остаётся индивидуальным.
Часто задаваемые вопросы
Какой был крупнейший DeFi-взлом 2026 года?
Эксплойт Kelp DAO на $292 млн — крупнейший на данный момент, немного опередив потерю Drift Protocol в $285 млн. Обе атаки были направлены на инфраструктуру для взаимодействия между несколькими цепями.
Почему в криптовалюте продолжают происходить взломы мостов?
Мосты аккумулируют крупные резервы и опираются на сложные системы межсетевого взаимодействия, которые трудно полностью проверить. При взломе атакующий может вывести все резервы, обеспечивающие обёрнутые токены на разных цепях, за одну транзакцию.
Сколько было украдено из DeFi в 2026 году?
Суммарные потери DeFi и криптовалюты превысили $750 млн к середине апреля 2026 года по данным DefiLlama и PeckShield. Только первый квартал дал более $168 млн ущерба до массовых апрельских атак.
Как защитить себя от DeFi-взломов?
Ограничьте экспозицию к обёрнутым/мостовым активам, проверьте, используют ли ваши протоколы сторонние мосты для обеспечения залога. Рассмотрите вариант хранения нативных активов на регулируемых биржах, если не используете DeFi напрямую. Ни одна мера не даёт полной защиты, но снижение мостовой экспозиции уменьшает риск.
Основные выводы
Инфраструктура мостов стала причиной двух из трёх крупнейших DeFi-эксплойтов 2026 года, и сценарии не меняются с 2022-го. Атакующие не находят новых уязвимостей, а используют известные слабые места в межсетевой верификации и управлении ключами. Взлом Kelp DAO заморозил рынки rsETH на 20 цепях и создал проблемные долги у Aave, показав: риск моста несут не только его пользователи. Любой протокол, принимающий мостовые активы как залог, несёт эту экспозицию. Выживут те проекты, которые либо откажутся от мостов, либо внедрят верификацию, не зависящую от малой группы подписантов.
Данная статья предназначена только для ознакомления и не является финансовой рекомендацией. Торговля криптовалютами связана с высокими рисками. Всегда проводите собственный анализ перед принятием решений.
