Апрель уже зафиксировал более $600m украденных средств в сфере DeFi, мостов и кошельков, превратив безопасность из вопроса протокольного уровня в полноценный рыночный риск-премиум.

Резюме

• Крипто-протоколы уже потеряли более $600m из-за взломов в апреле, лидерами стали $292m украденных у KelpDAO и $285m у Drift Protocol.
• Эксплойты теперь охватывают смарт-контракты, инфраструктуру и социальную инженерию, включая кампании с использованием ИИ против кошельков, таких как Zerion.
• Между 11:00 и 13:00 по UTC среднекапитальные названия DeFi пережили распродажи в стиле капитуляции, поскольку рынки деривативов закладывали постоянный «риск-премиум безопасности».

Новые агрегированные данные показывают, что крипто-протоколы уже потеряли более $606m из-за взломов за первые 18 дней апреля, что делает этот месяц худшим по количеству эксплойтов с февраля 2025 года и поднимает годовой сбор 2026 года выше $770 млн. Согласно данным от DefiLlama, как минимум 13 протоколов были скомпрометированы в этом месяце, при этом KelpDAO и Drift Protocol составляют около 95% потерь апреля и примерно 75% от общего за 2026 год.

KelpDAO, протокол ликвидного стекинга на Ethereum, подвергся атаке 18 апреля, в результате которой было выведено около 116 500 rsETH, оцененных примерно в $292 млн, после того как злоумышленник подделал межцепочные сообщения, чтобы обмануть контракт моста LayerZero EndpointV2 и заставить его освободить резервы. Drift, крупнейшая децентрализованная биржа бессрочных контрактов на Solana, была взломана 1 апреля в так называемой «сложной» эксплуатации, потеряв около $285m , что стало вторым по величине нарушением безопасности в истории Solana после взлома $326m Wormhole в 2022 году.

От ошибок в контрактах до социального инжиниринга с помощью ИИ

Последняя волна взломов не ограничивается ошибками в смарт-контрактах или примитивами повторного стекинга. Инциденты затронули уровни маршрутизации и инфраструктуры, такие как Hyperbridge, а также фронтенд и DevOps-провайдеров, таких как Vercel, где злоумышленники получили доступ к внутренним системам и якобы продают украденные данные для $2m для поддержки «глобальных атак в цепочке поставок».

Со стороны человека, провайдер кошельков Zerion сообщил, что на него напали хакеры из Северной Кореи, использующие кампании социального инжиниринга с поддержкой ИИ и долгосрочной перспективой для компрометации ключей горячих кошельков, украдя около $100 000, при этом сохранив средства пользователей и основную инфраструктуру. (SEAL) — группа по обеспечению безопасности — выявила как минимум 164 вредоносных домена, связанных с группой UNC1069, связанной с DPRK, описывая её тактику как основанную на «терпении, точности и преднамеренной вооруженной эксплуатации существующих доверительных отношений».

Данные отрасли из предыдущих эпизодов, таких как $70m взлом горячего кошелька на сингапурской бирже Phemex в 2025 году, уже подчеркивали склонность акторов, связанных с Северной Кореей, быстро конвертировать украденные USDT и USDC в ETH, чтобы избежать черных списков, и, по словам властей, эта практика продолжается и в 2026 году.

Реакция рынка происходила в реальном времени по мере накопления взломов в апреле. Между 11:00 и 13:00 по UTC в ключевые дни новостей книги ордеров в слабых среднекапитальных названиях DeFi показывали классические признаки «капитуляции»: однодневные падения примерно на 5–8%, тонкие заявки и заметное перераспределение в сторону протоколов с более чистой историей безопасности. Вариантные площадки наблюдали слегка негативное финансирование корзин для DeFi, в то время как ликвидность спота истощалась, что дески связывают с широким «налогом на безопасность» на рискованные активы, а не с изолированными идиосинкразическими шоками.

Для трейдеров это сделало безопасность явным фактором: снижение леверидженного бета DeFi на фоне новостей о взломах, удержание длинных позиций на централизованных площадках и инфраструктуре, монетизация волатильности, а также наличие наличных средств для принудительных продаж, когда плохой долг и списания полностью признаются в цепочке.