#DeFiLossesTop600MInApril

Недавняя волна взломов DeFi в апреле 2026 года вновь разжгла ожесточённые споры о «композируемости». В то время как способность протоколов подключаться друг к другу, как конструктор Lego, является величайшей силой DeFi, она фактически создала глобальную поверхность атаки, где одно нарушение может вызвать цепную реакцию на нескольких цепочках.

Цифры за апрель действительно ошеломляющие, в основном обусловленные двумя сложными операциями, приписываемыми северокорейским угрозам.

«Большая двоечка» апреля

Общие потери только от этих двух инцидентов составили более 570 миллионов долларов, или примерно 76% всей стоимости криптовзломов в 2026 году по апрель.

Kelp DAO ~$292M 18 апреля Нарушение инфраструктуры: злоумышленники захватили RPC-узлы, чтобы подать ложные данные в проверяющий мост, вызвав выпуск rsETH без фактического сжигания.

Drift Protocol ~$285M 1 апреля Социальная инженерия: злоумышленники в течение 6 месяцев выдавали себя за квантовую фирму, чтобы завоевать доверие и скомпрометировать административные ключи, затем манипулировали значениями залога.

Меры по устранению: вмешательство Arbitrum

DAO Arbitrum предпринял беспрецедентный шаг после взлома Kelp DAO.

DAO голосует (с почти единодушной поддержкой) за выпуск 30 765 ETH (примерно 71 миллион долларов), которые были успешно «заморожены» Советом безопасности Arbitrum, когда злоумышленник пытался их перевести.

Средства переводятся на мульти-сиг-кошелек, управляемый Kelp DAO, Aave Labs и etherfi.

Эти ETH будут использованы для выкупа и сжигания недообеспеченного rsETH, чтобы восстановить его паритет, который в один момент упал на 20% ниже стоимости ETH.

Является ли композируемость «уязвимостью для атак»?

Мы наблюдаем сдвиг от «Код — это закон» к «Трубопроводы — это закон». Современные взломы уходят от простых ошибок в смарт-контрактах к соединительной ткани экосистемы:

Атака Drift на Solana показала, как украденные активы за 12 минут были переведены на Ethereum, что демонстрирует, как скорость выхода — лучший друг злоумышленника.

Поскольку протоколы, такие как Kelp DAO, полагаются на внешние сообщения, сбой в стороннем «поставщике услуг» может привести к банкротству в противном случае безопасного протокола.

Взлом Drift не был ошибкой кода; это был 6-месячный «длинный обман» против управляющих кодом.

Хотя «DeFi объединяется» (фонд помощи с участием Aave и Mantle) и вмешательства DAO показывают, что индустрия созревает в вопросах защиты, «композируемость», которая делает DeFi эффективным, также обеспечивает беспрепятственный путь для перемещения украденных средств между цепочками быстрее, чем может отреагировать человеческое управление.
‍$ETH $SOL $ARB