#DeFiLossesTop600MInApril

Апрель 2026 года стал худшим месяцем в истории по количеству нарушений безопасности в DeFi. CertiK зафиксировал 29 инцидентов на сумму $651 миллион — и два крупномасштабных взлома составили 93% ущерба.

Два катастрофических удара:

Drift Protocol (Solana) — $285M (1 апреля): Группа Lazarus потратила 6 месяцев на установление доверия с командой Drift — личные встречи в нескольких странах, более $1M в реальных депозитах — затем обманула подписантов мультисигом, чтобы предварительно одобрить скрытые разрешения, и вывела $285M за 12 минут. Средства были переведены на Ethereum в течение нескольких часов. Второй по величине взлом в истории Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (18 апреля): Злоумышленник отправил поддельное межцепочечное сообщение в мост LayerZero Kelp DAO в 17:35 UTC, обманув его и вызвав выпуск 116 500 rsETH (~18% от общего циркулирующего предложения токена). Украденный rsETH затем был заложен в качестве залога на Aave v3, что позволило занять огромные суммы wETH — оставив Aave с $195M в плохой задолженности, падением токена AAVE на 18% и ~$8B оттоком TVL.

Разбор по вектору атаки (данные CertiK):

Вектор Потери

Компрометация кошельков $611M

Манипуляции ценами $18.8М

Уязвимости кода $16.9М

Фишинг $3.5М

Непроверенные контракты $8.5М

Атаки на фронтенд $544K

Системные последствия:

~$14B отток TVL в DeFi по протоколам

TVL Aave снизился примерно на $8B за 24 часа; токен AAVE упал с $112 до $89.5

Aave заблокировал рынки rsETH на v3 и v4

Совет безопасности Arbitrum заблокировал ~$71M ETH, связанный с хакерской атакой Kelp DAO

Операторы из Северной Кореи (Lazarus Group) теперь составляют 76% всех краж криптовалют в 2026 году (TRM Labs)

Светлая сторона — фонд восстановления "DeFi United": Кампания по сбору средств, организованная Aave, собрала более $302M — достаточно, чтобы полностью покрыть ущерб от взлома Kelp DAO. Вклад внесли DAO Aave (25 000 ETH), DAO Lido (2 500 ETH) и обязательства самих Kelp DAO и LayerZero.

Но есть и новая зацепка: Исследователь ZachXBT обвинил американскую юридическую фирму Gerstein Harrow LLP в подаче мошеннических претензий с целью конфискации $71M замороженных средств KelpDAO, используя судебное решение 2015 года против Северной Кореи для приоритизации интересов своих клиентов перед реальными жертвами хакерской атаки 2026 года. ZachXBT предложил создать сообщество DAO для юридической борьбы с этой фирмой.

Выводы по безопасности для пользователей DeFi:

Проверяйте управление через мультисиг — миграции без таймлоков — смертельная уязвимость

Тщательно проверяйте реализации межцепочечных мостов (верификация сообщений LayerZero — критична)

Диверсифицируйте залог — не концентрируйте активы в одном токене для повторного залога

Следите за возможностями заморозки/приостановки протоколов — быстрые реакции помогли избежать последующих попыток Kelp DAO

Используйте аппаратные кошельки и разделяйте стратегии горячих и холодных кошельков для крупных позиций

Этот пост только что опубликован — лайков и комментариев пока нет. Будьте первыми, кто поделится информацией и поможет повысить осведомленность. Безопасность в DeFi — ответственность каждого.

$80M