Цифры за первый квартал 2026 года на первый взгляд вызывают тревогу: 450 миллионов долларов было потрачено на 145 инцидентов, двенадцать за две недели только после эксплойта Drift. Но заголовки цифр скрывают более важные изменения, происходящие под ними.
Проблема безопасности Crypto изменилась.
Код становится безопаснее. Люди — нет.
По данным DefiLlama, потери от использования смарт-контрактов в первом квартале 2026 года сократились на 89% по сравнению с аналогичным периодом прошлого года. Аудиты работают, а архитектура протоколов улучшается.
Это не имело значения. Хакеры все равно вытащили 450 миллионов долларов, потому что перестали атаковать код и начали атаковать людей, которые его пишут.
Согласно ежеквартальному отчету Hacken по безопасности, на долю фишинга и социальной инженерии пришлось $306 млн убытков в первом квартале, что составляет почти две трети от общей суммы. Одна-единственная атака социальной инженерии в январе унесла 282 миллиона долларов, не затронув ни единой строки кода — всего лишь фальшивый звонок в службу поддержки и пользователь, который передал свои учетные данные.
В том же квартале были нарушены шесть проверенных протоколов. Один из них прошел 18 предыдущих проверок, прежде чем был скомпрометирован.
Взлом Drift занял шесть месяцев
Крупнейший в этом году эксплойт DeFi как раз подтверждает это.
1 апреля Drift Protocol потерял 285 миллионов долларов. TRM Labs подтвердила, что нападавшими были боевики, связанные с КНДР, отслеживаемые как UNC4736, которые в течение шести месяцев систематически выслеживали участников, прежде чем казнить. Один из них был скомпрометирован через хранилище вредоносного кода. Другой загрузил приложение-кошелек через Apple TestFlight.
Никакой уязвимости кода, но на самом деле шесть месяцев человеческих манипуляций.
Также читайте: Технический директор Ripple говорит, что устойчивые к замерзанию стейблкоины не могут работать, поскольку Circle не хватает дрифт-хака на 285 миллионов долларов
Двенадцать протоколов, каждый вектор
Две недели после Drift показали масштабность проблемы.
CoW Swap был заблокирован в результате взлома DNS. Hyperbridge потерял почти 237 000 долларов после того, как поддельные доказательства состояния кросс-цепочки позволили злоумышленникам отчеканить около одного миллиарда токенов DOT. Zerion пострадал от очередной операции социальной инженерии КНДР, потеряв 100 000 долларов. Silo V2 стал результатом манипуляций оракула.
Dango потеряла 410 000 долларов из-за логической ошибки в контракте со страховым фондом. Депозитная инфраструктура KuCoin была использована для отмывания 9,5 миллионов долларов. У Кракена вымогали деньги – системы сохранены, средства не подвергались риску, но попытка была реальной.
Разнообразие имеет значение, потому что это не одна техника, которая распространяется. Это каждая техника, работающая параллельно.
Новый секретный вопрос
В отчете Шерлока за первый квартал 2026 года задокументирован первый известный эксплойт смарт-контракта, созданного ИИ. Хакен подтвердил, что боевики КНДР извлекли более 40 миллионов долларов только за счет фиктивного венчурного капитала.
Представители отрасли потратили годы на вопрос, проверялись ли протоколы.
Теперь вопрос заключается в том, стал ли мишенью каждый человек, имеющий доступ к этим протоколам, и узнает ли кто-нибудь, если бы они сделали это.
Продолжить чтение: Закон о ясности исключен из расписания Сената: крупнейший законопроект о криптовалюте упустит свой последний шанс?
