DeFi-протоколы потеряли более $840 млн за первые пять месяцев 2026 года из-за серии хакерских атак и эксплойтов. По данным Decrypt, только в апреле ущерб превысил $600 млн, а крупнейшими инцидентами стали атаки на KelpDAO и Drift Protocol.
В апреле было зафиксировано 14 эксплойтов с ущербом выше $1 млн. Это второй по масштабу показатель после сентября 2025 года, когда таких инцидентов было 16. Наиболее крупная атака пришлась на KelpDAO: 18 апреля злоумышленники вывели около 116 500 rsETH на сумму примерно $292 млн через межсетевой мост.
Еще один крупный инцидент затронул Drift Protocol, где ущерб оценили в $285 млн. В список пострадавших также вошли TrustedVolumes, Echo Protocol, Step Finance, Truebit, Resolv Labs, Volo Protocol, Rhea Finance и мост Verus-Ethereum. На сайте уже был отдельный материал о взломе Echo Protocol, который стал частью более широкой волны атак на DeFi-инфраструктуру.
В мае проблемы продолжились. THORChain приостановил торговлю после сообщения исследователей о возможном межсетевом эксплойте на сумму более $10 млн. В этом случае речь идет именно о подозрении на атаку, а не о полностью подтвержденном взломе.
Эксперты связывают рост потерь не только с ошибками в смарт-контрактах, но и со структурными слабостями DeFi. Среди повторяющихся проблем называются сбои в системах привилегированного доступа, вредоносные обновления через прокси-контракты и недостаточная проверка межсетевых сообщений. Особенно уязвимыми остаются мосты, админ-панели и старые контракты, которые продолжают удерживать крупную ликвидность.
По версии LayerZero, цепочка атаки на KelpDAO началась еще 6 марта. Разработчика могли ввести в заблуждение методами социальной инженерии, после чего злоумышленники получили сессионные ключи. Атаку связывают с группой TraderTraitor / UNC4899, которую исследователи относят к северокорейским хакерским структурам.
По данным TRM Labs, связанные с Северной Кореей группы обеспечили 76% глобальных потерь от криптохаков за первые четыре месяца 2026 года. Для сравнения, в 2025 году их доля составляла 64%, а в 2020 году — менее 10%.
Отдельную роль эксперты отводят AI. Он не называется единственной причиной роста атак, но может ускорять поиск известных уязвимостей, разведку целей, социальную инженерию и подготовку эксплойтов. Похожий риск масштабирования атак уже обсуждался в контексте киберугроз для корпоративных приложений.
Последствия атаки на KelpDAO вышли за рамки прямого ущерба. Инцидент спровоцировал вывод $6,2 млрд из Aave, после чего инициатива DeFi United собрала 132 650 ETH, около $303 млн, чтобы закрыть проблемный долг. На фоне этого тема безопасности становится ключевой для всей криптоинфраструктуры, включая кошельки, мосты и новые Web3-интерфейсы с AI-агентами.
Главный вывод для рынка в том, что DeFi страдает не от единичных ошибок, а от накопленного технического долга. Каждый новый слой инфраструктуры добавляет новые допущения доверия, которые злоумышленники системно проверяют на прочность.