В апреле 2026 года сектор DeFi столкнулся с самым серьезным кризисом доверия за последние годы. Согласно статистике таких организаций, как CertiK, в этом месяце из-за хакерских атак, использования уязвимостей и других инцидентов было нанесено ущерба на сумму примерно 6,34–6,51 миллиарда долларов, что более чем в десять раз превышает взрывной рост в 59,5 миллиона долларов в марте и установило рекорд по одномесячным потерям с марта 2022 года. Еще более тревожным является тот факт, что в этом месяце произошло 31 отдельное событие атаки, почти ежедневно, что обновило рекорд по частоте атак и суммарным потерям в истории DeFi.

Два крупнейших инцидента, оказавшихся в центре этого штормового кризиса — KelpDAO и Drift Protocol — вместе забрали более 90% украденных активов за месяц. KelpDAO был взломан из-за уязвимости в единственном валидаторе межцепочечного моста, злоумышленник обошел механизмы безопасности, создав из воздуха токен rsETH на сумму 292 миллиона долларов и заложив эти токены в кредитных платформах, таких как Aave, за реальные эфиры. Эта операция не только поставила под угрозу около 200 миллионов долларов потенциальных безнадежных долгов в Aave, но и вызвала за 24 часа вывод более 8 миллиардов долларов с платформы, что привело к снижению общего заблокированного объема (TVL) примерно на 32%. Следующий за этим инцидент с Drift Protocol также оказался шокирующим: злоумышленник, используя шесть месяцев разведки и проникновения, в конечном итоге украл ключ администратора и перевел активы на сумму около 285 миллионов долларов. Оба случая связывают с группой Lazarus, которая, как предполагается, действует из Северной Кореи, а характер их действий в блокчейне в этих атаках совпадает с ранее зафиксированными моделями поведения этой организации.
Этот цикл кризиса безопасности явно не случайность, а результат долгосрочной модели развития DeFi, ориентированной на «эффективность» и быстрый рост, что привело к концентрированным сбоям. В основе лежат три системных риска: во-первых, уязвимость механизма проверки межцепочечных мостов, где архитектура с одним валидатором ставит под угрозу миллионы долларов, хранящиеся под защитой одного приватного ключа; этот риск уже был предупрежден в случае с мостом Ronin в 2022 году, но индустрия его проигнорировала. Во-вторых, социальная инженерия и долгосрочные скрытые атаки становятся новыми основными угрозами, методы атак перешли от простых уязвимостей к комплексной эксплуатации прав доступа и процессов. В-третьих, возможность комбинирования протоколов в DeFi усиливает как доходность, так и риски — уязвимость одного протокола может быстро привести к цепной реакции по всему набору связанных протоколов.
Реакция рынка также оказалась очень сильной. За короткое время из сектора DeFi было выведено около 13 миллиардов долларов TVL, депозиты в Aave снизились на 38%, а токен AAVE упал на 15–21%. Средства явно перетекают из высокорискованных протоколов в более зрелые платформы кредитования или централизованные хранилища. Более глубокий эффект — это потеря доверия со стороны институциональных участников: JPMorgan четко указал, что постоянные уязвимости и застой в росте TVL серьезно снижают привлекательность DeFi для институциональных инвесторов. В то же время, Standard Chartered, несмотря на оптимизм по поводу долгосрочных перспектив рынка RWA, признает необходимость структурных улучшений в межцепочечных рисках.