Апрель стал стресс-тестом для индустрии: как за месяц исчезло больше, чем за весь первый квартал
Апрель 2026 года стал рекордным по числу взломов в истории крипторынка — 34 инцидента, $713 млн потерь. Для сравнения: весь первый квартал 2026 года обошелся индустрии в $165 млн. Апрель превысил его в 3,7 раза за один месяц.
Два инцидента = 93% всех потерь.
Drift Protocol: $285 млн без единой строки вредоносного кода
1 апреля из Drift Protocol на Solana вывели около $285 млн. Смарт-контракты биржи не пострадал. Однако злоумышленники получили подписи участников управляющей структуры протокола обманным путем. Затем использовали механизм durable nonce: инструмент Solana, который позволяет сохранить подписанную транзакцию и применить ее в нужный момент, даже спустя часы.
Подготовка заняла месяц. Сам вывод средств — несколько минут.
По данным TRM Labs, Lazarus Group стоит за 76% всех краж криптовалюты в 2026 году. Атака на Drift Protocol их рук дело. Ни одного технического эксплойта и только работа с людьми.
KelpDAO: $290 млн и одна точка отказа
18 апреля из KelpDAO похитили 116 500 rsETH — около $290 млн. Атака была технической, но стала возможной из-за одного архитектурного решения: для верификации межсетевых сообщений через LayerZero протокол настроил схему «1 из 1». Одного скомпрометированного верификатора оказалось достаточно.
Злоумышленники получили список серверов верификатора, взломали два из них и одновременной DDoS-атакой вынудили систему переключиться на зараженные узлы. Верификатор подтвердил поддельную транзакцию — средства ушли.
Атака вышла за пределы одного протокола: Aave заморозила рынки rsETH и wrsETH, поскольку токен использовался как залог. Коалиция DeFi United собрала более $300 млн в ETH для покрытия убытков.
LayerZero отдельно заявил: уязвимость была в конфигурации KelpDAO, а не в протоколе. Приложения с несколькими верификаторами не пострадали.
Что еще произошло в апреле
Помимо двух крупных инцидентов — еще 32. Rhea Finance потеряла $18,4 млн через манипуляцию ценами внутри протокола. Wasabi Protocol — $5 млн из-за компрометации ключей управления. Музыкант Гарретт Даттон лишился 5,9 BTC, скачав поддельное приложение Ledger из App Store.
Почему это важно
Апрель закрепил тенденцию, которая набирала силу весь прошлый год: злоумышленники переключились с уязвимостей в коде на компрометацию людей и инфраструктуры.
Тенденция показывает, что аудит смарт-контрактов — необходимое, но уже недостаточное условие безопасности. Drift взломали через подписи сотрудников. KelpDAO — через единственный верификатор.
Отдельный сигнал — атака на «спящие» кошельки. Сотни ETH-адресов, часть из которых не проявляла активности более семи лет. Неактивный кошелек — не значит безопасный.
Аналитики КоинКит отмечают: $713 млн прошло через публичные блокчейны. Каждая транзакция зафиксирована мировыми AML-системами и каждый адрес потенциально идентифицируем. Именно поэтому Tether успел заморозить $3,29 млн на кошельке взломщика Rhea Finance до завершения вывода.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: