Криптовзломы бьют рекорды, но главная угроза — не «smart contracts»

крипто-взломы Defi безопасность Trm Labs смарт-контракты операционная безопасность cryptoslate.com

Безопасность в криптоиндустрии меняет облик: растет число взломов, снижаются медианные потери от эксплойтов смарт-контрактов, а основные убытки по-прежнему определяются операционными компрометациями.

Количество крипто-взломов достигло рекордного уровня. Предупреждение в последних данных TRM Labs заключается в том, где на самом деле теряются деньги.

В своем обзоре взломов криптовалют за первое полугодие 2026 года TRM Labs сообщила, что злоумышленники совершили 207 отдельных взломов за первую половину года — это максимум, зафиксированный фирмой за любой шестимесячный период.

Тем не менее, общие потери снизились до 972 миллионов долларов, что составляет менее половины от 2,3 миллиарда долларов, украденных в первой половине 2025 года.

Такое разделение меняет картину безопасности. Атакам подвергается больше протоколов, токенов и децентрализованных приложений, но потери, которые по-прежнему определяют год, сосредоточены в операционных системах: ключах, хранении, инфраструктуре подписи, потоках утверждений и других механизмах контроля вокруг кода, а не только в самом коде.

Для команд DeFi аудиты смарт-контрактов остаются необходимыми, поскольку эксплойты смарт-контрактов стали причиной большинства инцидентов. Потери, способные стереть сотни миллионов долларов, все чаще происходят из-за сбоев в системах, которые определяют, кто может перемещать средства, как утверждаются подписи и насколько доверенной является инфраструктура вокруг протокола.

Криптовзломы бьют рекорды, но главная угроза — не «smart contracts»

Больше инцидентов, меньше типичные потери

TRM сообщила, что количество взломов более чем удвоилось: с 83 инцидентов в первом полугодии 2025 года до 207 в первом полугодии 2026 года. Только второй квартал принес 123 инцидента после рекордного первого квартала.

Большая часть этого роста пришлась на эксплойты смарт-контрактов, на которые пришлось 125 из 207 инцидентов.

Однако типичные потери были намного меньше, чем предполагает общая цифра. TRM оценила медианный взлом примерно в 219 000 долларов, в то время как среднее значение составило 4,7 миллиона долларов.

Этот разрыв показывает, как несколько очень крупных инцидентов могут доминировать в совокупных потерях, даже несмотря на то, что ежедневная среда угроз становится более насыщенной мелкими попытками эксплойтов.

В результате картина безопасности разделилась. С одной стороны, DeFi по-прежнему сталкивается с уязвимостями на уровне кода, сложной логикой протоколов и многоступенчатыми манипуляциями, которые приводят к частым потерям.

С другой стороны, самый большой ущерб наносят сбои в системах, которые хранят средства или авторизуют контроль над ними.

TRM сообщила, что компрометация инфраструктуры и операционных систем составила всего около 15% инцидентов в первом полугодии 2026 года, но примерно 76% украденной стоимости.

Это соотношение превращает отчет из истории о количестве взломов в историю о приоритетах безопасности.

Если протокол рассматривает аудиты как всю программу безопасности, он защищает лишь часть риска. Злоумышленник может обойти основной контракт, скомпрометировав подписанта, манипулируя путем валидации моста, отравляя операционную зависимость или получая разрешение на вредоносный перевод.

Самым ярким примером является концентрация активности, связанной с Северной Кореей. По оценкам TRM, около 643 миллионов долларов, или примерно 66% всех средств, украденных в первом полугодии 2026 года, были связаны с деятельностью, связанной с Северной Кореей.

Эта цифра снизилась по сравнению с примерно 1,7 миллиарда долларов в первой половине 2025 года, но она по-прежнему сделала субъектов, связанных с Северной Кореей, крупнейшим источником украденных средств за этот период.

Почти вся эта сумма за первое полугодие 2026 года пришлась на две апрельские операции, связанные с Drift Protocol и KelpDAO. TRM оценила потери по Drift примерно в 285 миллионов долларов, а по KelpDAO — примерно в 292 миллиона долларов, что в сумме составляет около 577 миллионов долларов.

Эти инциденты отражали ту же общую закономерность: злоумышленники нацеливались на инфраструктурный и человеческий слои вокруг систем DeFi, а не просто атаковали основные смарт-контракты.

Это различие имеет значение, поскольку операции, связанные с Северной Кореей, — это больше, чем просто еще одна категория эксплойтов. Они сочетают техническое вторжение, социальную инженерию, операционное терпение, инфраструктуру отмывания денег и финансовые цели, направляемые государством.

Одна успешная операция может перевесить месяцы мелких эксплойтов, не связанных с государством.

Предупреждение TRM заключается в том, что более низкая общая сумма в долларовом выражении в первом полугодии 2026 года отражает отсутствие еще одной кражи в масштабах крупнейших атак 2025 года, а не снижение возможностей злоумышленников.

Другими словами, совокупное число снизилось, потому что самый большой выброс был меньше, в то время как класс риска, создающий такие выбросы, остается нерешенным.

Это означает, что следующая крупная потеря, скорее всего, будет выглядеть не как простой отчет об ошибке. Она, скорее всего, выявит слабый процесс утверждения, скомпрометированный приватный ключ, подписанта, который может стать жертвой социальной инженерии, поставщика или инфраструктурную зависимость, которой доверяли слишком широко, или план реагирования, который действовал слишком медленно после того, как средства начали перемещаться между сетями.

Аудиты нуждаются в операционном слое

Работа со смарт-контрактами остается важной, но она нуждается в контроле над системами, которые перемещают средства. TRM утверждает, что эксплойты кода остаются наиболее распространенным типом инцидентов, и протоколам DeFi по-прежнему необходимы аудиты, формальные проверки, мониторинг и стимулы для раскрытия информации.

Изменение заключается в том, что аудиты не могут быть потолком программы безопасности.

Наиболее важные элементы контроля для катастрофических потерь находятся вокруг перемещения активов. TRM особо выделила управление ключами, инфраструктуру подписи, рабочие процессы утверждения и хранение как области, требующие большего внимания.

Это в равной степени операционные, сколь и технические дисциплины.

Защищенный протокол теперь должен знать, кто может инициировать крупные переводы, кто может их утверждать, какие устройства и репозитории могут касаться путей подписи, как задерживаются или оспариваются изменения управления и что произойдет, если будет скомпрометирован доверенный оператор, контрибьютор или учетная запись поставщика.

Статический отчет об аудите не может ответить на эти вопросы после изменения операционной среды.

Именно поэтому недавнее освещение вопросов безопасности в CryptoSlate постоянно возвращается к одной и той же теме: операционная безопасность, практики подписи, управление, валидация мостов и инфраструктурный контроль становятся частью оборонительной позиции отрасли, ориентированной на политику.

Отдельный анализ CryptoSlate предупреждал, что старые схемы эксплойтов DeFi могут уходить в прошлое, но новые риски могут распространяться через сети и инфраструктурные уровни, когда протоколы повторно используют системы или слишком широко доверяют предположениям.

Поэтому для команд безопасности следующее обсуждение бюджета должно охватывать нечто большее, чем очередной цикл аудита.

Оно должно включать подпись с аппаратной защитой, многостороннее утверждение крупных переводов, ограничения привилегированного доступа, мониторинг устройств разработчиков, более строгий обзор поставщиков, отработанные планы реагирования на инциденты и планирование казначейства на случай компрометации инфраструктуры в наихудшем сценарии, а не среднего эксплойта.

Тот же сдвиг затрагивает биржи, кастодианов и финансовые учреждения, которые могут никогда не стать первоначальной целью. TRM сообщила, что украденные активы часто перемещаются через кроссчейн-мосты и сервисы обмена без KYC, прежде чем попасть на биржи.

Это делает первичный скрининг недостаточным, когда злоумышленники могут быстро перемещать стоимость между сетями и сервисами.

Многоступенчатый мониторинг транзакций, более быстрый обмен информацией о кошельках и координация между протоколами, биржами, эмитентами стейблкоинов, аналитическими фирмами и правоохранительными органами становятся частью стека безопасности.

TRM указала на сети обмена информацией как на одно из решений, поскольку время реагирования может определить, будут ли украденные средства заморожены, отслежены или отмыты до уровня, недоступного для легкого восстановления.

Для протоколов это создает вторую операционную нагрузку. План безопасности должен исходить из того, что предотвращение может потерпеть неудачу.

Он должен определять, кто может приостанавливать системы, кто может связываться с контрагентами, как распространяются адреса злоумышленников и какие пути перевода отслеживаются в первые минуты после обнаружения.

В этом и заключается истинный смысл данных TRM за первое полугодие 2026 года. Криптовалюта пережила больше взломов и меньше потерь, но она также выявила раскол между растущим объемом мелких инцидентов со смарт-контрактами и концентрированными операционными компрометациями, которые по-прежнему определяют профиль потерь отрасли.

Следующий тест заключается в том, воспримут ли команды DeFi и кастодианы этот раскол как повод для перебалансировки приоритетов безопасности.

Если самые большие потери по-прежнему будут проистекать из скомпрометированных ключей, рабочих процессов подписи, систем хранения и инфраструктурных зависимостей, катастрофический риск снизится только тогда, когда перемещение средств станет сложнее скомпрометировать, медленнее использовать и легче прервать, как только злоумышленник окажется внутри.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: