Два взлома забрали 93% всех украденных криптовалют в апреле
Основной удар пришёлся на два крупных протокола. 1 апреля хакеры атаковали Drift Protocol на Solana и вывели около $285 млн. 18 апреля был взломан мост KelpDAO на базе LayerZero, потери составили порядка $292 млн. Вместе эти два инцидента дали примерно $577 млн – около 93% всех апрельских потерь.
Оба взлома связывают с северокорейской хакерской группировкой Lazarus. По данным TRM Labs, Lazarus стоит за 76% всех краж криптовалют в 2026 году, хотя на их долю приходится лишь 3% от общего числа инцидентов. Группировка известна тактикой длительной подготовки: по Drift Protocol хакеры вели «разведку» с марта, а в случае KelpDAO использовали подмену данных в RPC-узлах и DDoS-атаку, чтобы заставить единственный верификатор моста поверить ложной транзакции.
Ончейн-аналитик Stacy Muur зафиксировал к 29 апреля 24 подтверждённых взлома с совокупными потерями свыше $624 млн. Помимо двух гигантских эксплойтов, в списке оказались Rhea Finance ($18,4 млн), Grinex ($15 млн), Volo Vault ($3,5 млн), Wasabi Protocol ($5 млн) и ряд других проектов.
Как взлом KelpDAO спровоцировал потери в $13 млрд в DeFi
Самое тревожное в апрельских событиях – не сумма кражи как таковая, а масштаб «заражения» всей экосистемы DeFi. После взлома KelpDAO хакеры внесли украденные 116 500 rsETH в качестве залога на Aave и заняли под них реальный эфир на $190 млн. Оракул Aave продолжал оценивать rsETH по довзломному курсу, и пока протокол заморозил рынки rsETH, деньги уже были выведены.
Дальше сработал эффект домино. За 48 часов из Aave ушло $8,45 млрд депозитов, а общий TVL (объём заблокированных средств) в DeFi-протоколах сократился на $13,21 млрд. При этом сами блокчейны Ethereum и Solana скомпрометированы не были – проблемы касались конкретных проектов и их инфраструктуры.
💬 Заходите в наш Telegram-чат 2Bitcoins, если хотите обсудить новость с другими читателями.
Токен AAVE потерял 16% за день. SparkLend и Fluid заморозили операции с rsETH. Lido Finance приостановил депозиты в продукт earnETH. Ethena закрыла собственные мосты с мейннета Ethereum – просто на всякий случай, без прямого контакта с rsETH.
Отток ликвидности из DeFi-протоколов после взлома KelpDAO
Впрочем, не все деньги просто исчезли. Часть капитала перетекла из Aave в конкурирующий SparkLend, чей TVL за выходные вырос с $1,8 млрд до $2,9 млрд. Аналитики CoinDesk отмечают, что значительная часть «испарившихся» $13 млрд – это схлопнувшиеся позиции с кредитным плечом, а не реальное уничтожение капитала.
Мосты как главная точка уязвимости криптоиндустрии
Апрельские взломы подтвердили то, о чём эксперты говорят уже четыре года: кроссчейн-мосты остаются самым слабым звеном в криптоинфраструктуре. Мост – это инструмент для перемещения токенов между разными блокчейнами, и он по определению хранит крупные пулы заблокированных активов. Если хакер получает контроль над процессом верификации, все средства оказываются под угрозой.
📲 Следите за новостями в нашем Telegram-канале 2Bitcoins.
В случае KelpDAO мост полагался на единственного верификатора, и атакующим достаточно было «отравить» два RPC-узла, чтобы система приняла фальшивую инструкцию за настоящую. Кумулятивные потери от взломов мостов уже превысили $2,9 млрд за всю историю, по данным DeFiLlama.
Характерно, что в 2026 году хакеры всё реже эксплуатируют баги в смарт-контрактах. Вместо этого они переключились на социальную инженерию, компрометацию ключей и атаки на операционную инфраструктуру. Как выразился основатель Immunefi Митчелл Амадор, сейчас главная мишень – люди, а не код.
Кроссчейн-мосты остаются главной точкой уязвимости в DeFi
Масштаб апрельских инцидентов уже привлёк внимание институциональных игроков. Аналитики Jefferies предупредили, что серия громких взломов может временно охладить интерес Уолл-стрит к проектам токенизации в DeFi. Тем временем коалиция DeFi United во главе с основателем Aave Стани Кулеховым собрала более $300 млн в ETH для покрытия убытков от взлома KelpDAO.
2026 год: взломы криптобирж идут быстрее, чем в прошлом году
В первом квартале 2026 года индустрия потеряла сравнительно скромные $165,5 млн. Апрель в одиночку превысил эту сумму в 3,7 раза. Общий объём краж за четыре с половиной месяца достиг приблизительно $771,8 млн при 47 отдельных инцидентах.
Для сравнения: за аналогичный период 2025 года было 28 инцидентов на общую сумму $1,75 млрд, но эту статистику сильно искажает единственный взлом Bybit на $1,4 млрд. Если убрать Bybit, в 2026 году количество атак уже на 68% выше прошлогоднего темпа, а спектр атакуемых протоколов значительно шире.
Доля северокорейских хакеров в общей сумме краж стабильно растёт: менее 10% в 2020–2021 годах, 22% в 2022-м, 37% в 2023-м, 39% в 2024-м, 64% в 2025-м и 76% в 2026-м. По данным TRM Labs, группировка Lazarus суммарно украла более $6 млрд в криптовалютах с 2017 года.
Апрельский рекорд – это не просто всплеск. Это сигнал, что по мере роста TVL и усложнения кроссчейн-инфраструктуры атакуемая поверхность расширяется быстрее, чем индустрия успевает закрывать уязвимости. Второй квартал 2026 года будет проверкой того, способны ли протоколы перестроить подходы к безопасности до того, как следующий крупный взлом ударит по доверию пользователей ещё сильнее.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
