Самые крупные крипто-взломы и мошенничества 2026 года на данный момент

Криптовые взломы, мошенничества и эксплойты привели к более чем $1,3 млрд валовых потерь за первое полугодие 2026 года, при этом несколько крупных инцидентов доминировали в зафиксированной сумме. TL;DR

  • Криптовые взломы, мошенничества и эксплойты вызвали $1,316 млрд валовых потерь за первое полугодие 2026 года.
  • Kelp DAO, Drift Protocol и один целевой фишинговый инцидент с жертвой составили примерно 65% от этой суммы.
  • Крупнейшие инциденты компрометировали инфраструктуру RPC, административные права, системы подписи или привилегированные устройства, а не публичный исходный код смарт-контрактов.
  • Рейтинг был подготовлен 17 июля, оставляя 167 дней, или 45,8% года, для новых инцидентов, восстановлений и пересмотренных атрибуций, которые могут изменить список.

Потери в сфере криптобезопасности достигли $1,316 млрд по 344 инцидентам за первое полугодие 2026 года, согласно H1-отчёту CertiK по безопасности. Приблизительно $115,3 млн было заморожено или возвращено, что снизило скорректированные потери до около $1,2 млрд. Очевидное улучшение относительно 2025 года требует контекста. В прошлогодний итог за первое полугодие входил исключительный взлом Bybit на $1,45 млрд. Если исключить этот одиночный инцидент, CertiK оценивает, что в 2026 году сопоставимые потери выросли примерно на 28%. Распределение этих потерь столь же важно, как и общая сумма. Средняя стоимость инцидента составила примерно $3,82 млн, при этом медианный убыток — всего $138 703. Среднее оказалось более чем в 27 раз выше медианы, что показывает: небольшое число экстремальных провалов определило общий результат. Всего три инцидента — Kelp DAO, Drift Protocol и целевая фишинговая кража на $284 млн — составили примерно 65% всех заявленных потерь за первое полугодие. Нужен не только один показатель Отчёты об инцидентах в крипте часто сравнивают цифры, которые измеряют разные формы ущерба.

Валовая потеря

Стоимость, удалённая из протокола или у жертвы до восстановлений.

Реализованное выведение

Активы, которые атакующий успешно конвертировал в передаваемую экономическую ценность.

Чистая потеря

Сумма, которая всё ещё отсутствует после заморозок, возвратов, погашений и восстановлений.

Обязательства пользователей

Требования, которые платформа должна выплатить, и они могут быть больше или меньше исходных поступлений атакующего.

Условная подверженность

Теоретическая стоимость активов, выпущенных мошеннически или помещённых под риск, даже если атакующий не смог монетизировать всю сумму.

Ниже в основном используется валовая величина потерь. Восстановления, оспариваемые оценки и различия между поступлениями атакующего и обязательствами платформы указаны отдельно. Для инцидентов с созданием токенов без обеспечения реализованное выведение важнее номинальной стоимости мошеннического предложения. Иначе атакующий, который создаёт токенов на $100 млн с низкой ликвидностью, но выводит $1 млн реального обеспечения, может быть ошибочно ранжирован как похитивший все $100 млн. Крупнейшие заявленные криптопотери 2026 года

  1. Kelp DAO – $292 млн 18 апреля атакующие заставили контракт Ethereum-бриджа Kelp выпустить примерно 116 500 rsETH без соответствующего сжигания токенов в исходной сети. Расследование Chainalysis показало, что атакующие скомпрометировали два внутренних RPC-узла, используемых Decentralized Verifier Network от LayerZero, одновременно нарушив работу внешней RPC-точки через распределённую атаку типа «отказ в обслуживании». Манипулируемые узлы сообщали сжигание в исходной цепочке, которое никогда не происходило. Поскольку конфигурация бриджа Kelp опиралась на один верификатор, не требовалась вторая независимая сеть, чтобы подтвердить, было ли сообщённое сжигание реальным. Контракт назначения получил корректно сформированное и подписанное сообщение и выпустил активы строго так, как было запрограммировано. Провал произошёл в инфраструктуре, поставляющей контракту информацию, а не в исполнении контрактом этой информации. Kelp быстро приостановил затронутые контракты, чтобы остановить вторую попытку вывода примерно 40 000 rsETH, что также составляет около $95 млн. Затем Arbitrum Security Council заморозил 30 766 ETH, связанные с дальнейшей активностью атакующего. Chainalysis и LayerZero приписали операцию Lazarus Group из Северной Кореи, в частности её подгруппе TraderTraitor. Атрибуция была сделана сторонами, непосредственно участвовавшими в расследовании, хотя выводы, касающиеся акторов с госучастием, всё ещё могут меняться по мере появления дополнительных доказательств. Сумма заморозки не «стирает» исходный сбой в учёте бриджа. Валовые потери, средства, которые можно восстановить, поступления атакующего и любые оставшиеся дефициты обеспечения должны рассматриваться как отдельные величины.
  2. Drift Protocol – $285 млн Drift Protocol потерял примерно $285 млн 1 апреля после того, как атакующие получили административный контроль над его Security Council. По данным Chainalysis, люди, выдававшие себя за представителей количественной торговой компании, в течение месяцев выстраивали отношения с участниками Drift. Членов Security Council в итоге убедили подписывать транзакции, используя функцию durable-nonce в Solana, которая позволяет валидно подписанным транзакциям храниться и исполняться позднее. Эти транзакции передали административный контроль адресу, контролируемому атакующим. Как только эта власть была получена, атакующие сняли лимиты на вывод, одобрили почти ничего не стоящий токен под названием CVT в качестве залога, присвоили ему искусственную оценку и внесли 500 млн единиц. Получившаяся позиция была использована для вывода USDC, SOL, ETH и других активов, несущих реальную внешнюю ценность. Административный захват произошёл через две транзакции, выполненные с разницей в одну секунду, но последующие выводы продолжались дольше по времени. Описывать всю потерю $285 млн как произошедшую за 10 секунд, поэтому было бы неточно. Chainalysis часть своей реконструкции основывал на собственном расследовании Drift и отметили, что аккаунт ещё не был независимо проверен через завершённый сторонний review. Предварительные данные соответствовали предыдущим операциям из Северной Кореи, но формальная атрибуция оставалась в ожидании. Позже Drift обсуждал примерно $295 млн пользовательских потерь. Эта более высокая цифра, похоже, отражает обязательства платформы, а не первоначальные поступления атакующего, и её не стоит рассматривать как альтернативную оценку той же величины.
  3. Потеря от целевого фишинга, заявленная CertiK – $284 млн Один человек потерял примерно $284 млн в инциденте с целевой социальной инженерией в январе, сообщила CertiK. Личность жертвы и полный сценарий атаки публично не раскрыты. Это ограничивает выводы, которые можно ответственно сделать по конфигурации кошелька, точному методу социальной инженерии и перспективам восстановления средств. Масштаб при этом всё равно значительный. Один приватно контролируемый кошелёк произвёл почти такой же финансовый ущерб, как взлом Drift Protocol, и превысил совокупные потери большинства более мелких эксплойтов протоколов, зафиксированных за первое полугодие года. CertiK учёл $366,3 млн фишинговых потерь в 63 инцидентах в H1. Количество фишинговых кейсов снизилось на 52,3% по сравнению с тем же периодом 2025 года, но потери упали лишь на 10,8%. Четыре инцидента обеспечили примерно 85% всех фишинговых потерь. Данные указывают на изменение выбора целей, а не исчезновение фишинга. Широкие кампании остаются распространёнными, но финансовый результат всё чаще определяется небольшой группой тщательно подготовленных операций, направленных на людей или организации, контролирующие существенное onchain-богатство.
  4. Step Finance – около $40 млн Step Finance сообщил, что примерно $40 млн было выведено из казначейства 31 января после компрометации устройств, использовавшихся членами его исполнительной команды. В официальном обновлении по инциденту проект сообщил, что восстановил примерно $3,7 млн в активах Remora и ещё $1 млн в других позициях.

Заявление о недавнем инциденте по безопасности

В начале второй половины дня 31 января (APAC) примерно $40M было выведено из казначейства Step Finance. Это произошло в результате компрометации устройств нашей исполнительной команды.

Сразу после обнаружения взлома мы начали работать…

— Step☀️ (@StepFinance_) 2 февраля 2026

Ранее onchain-оценки оценивали потери ближе к $27 млн, потому что они фокусировались примерно на 261 854 SOL, изначально выявленных как выведенные из казначейских кошельков. Более поздняя цифра Step включала более широкий круг затронутых активов. Использование валовой оценки проекта в $40 млн при отдельном сообщении о восстановленной сумме даёт более полную картину, чем выбор одной цифры без объяснения, почему оценки различаются. Финансовые последствия атаки могут выходить за пределы суммы, переданной атакующему. Экстренное финансирование, юридические расходы, компенсации пользователям, прерванные операции и потерянная выручка могут сделать итоговое бизнес-влияние больше, чем первоначальный onchain-вывод. 5. Humanity Protocol – $36 млн Humanity Protocol подвергся атаке 9 июня после того, как скомпрометированное устройство раскрыло данные кошелька и приватные ключи, связанные с привилегированными аккаунтами проекта. В своём официальном объяснении Humanity сказал, что атакующий скопировал приватные ключи с устройства и использовал их для выполнения onchain-атаки. Проект также сообщил, что контракт Ethereum H-токена защищён отдельным чистым multisig, и что его канонический mainnet-бридж не был скомпрометирован.

https://t.co/VjouykTSPw

— Humanity (@Humanityprot) 12 июня 2026

Опубликованные оценки варьируются примерно от $31 млн до $36 млн, отчасти потому что украденные H-токены оценивались по разным рыночным ценам и на разных стадиях инцидента. Более важной структурной проблемой была концентрация нескольких привилегированных учётных данных на одном скомпрометированном endpoint. Мультиподпись обеспечивает осмысленную защиту только тогда, когда её ключи разнесены между людьми, устройствами, локациями и административными средами. Несколько учётных данных, хранящихся на одном компьютере или восстанавливаемых из него, могут удовлетворить onchain-порог подписи, оставаясь при этом фактически одним пунктом практического отказа. 6. Resolv Protocol – около $26,8 млн Resolv Protocol был эксплуатирован 22 марта после того, как атакующий скомпрометировал облачную инфраструктуру и получил доступ к ключу, контролируемому через AWS Key Management Service. Resolv использовал offchain-сервис для авторизации создания USR после того, как пользователи вносили залог. Согласно анализу инцидента CertiK, атакующий сделал относительно небольшие легитимные депозиты USDC, а затем использовал скомпрометированную роль сервиса, чтобы авторизовать создание примерно 80 млн USR в рамках двух транзакций. Контракт проверил, что авторизация пришла от одобренного сервиса. Он задавал минимальный выход, но не устанавливал максимальную сумму, привязанную к внесённому пользователем залогу. После компрометации привилегированного сервиса атакующий мог создавать подписи, которые были криптографически валидны, но экономически не подкреплялись. Это не означает, что облачные сервисы управления ключами inherently неподходящи для криптоинфраструктуры. Бóльшая проблема была в объёме неограниченных экономических полномочий, выданных одной роли сервиса. Защищённый ключ всё ещё может стать катастрофической точкой отказа, когда контракт, получающий его подписи, не навязывает независимо коэффициенты залога, потолки минтинга, лимиты транзакций или скорость вывода. 7. Truebit – $26 млн Truebit был эксплуатирован 8 января из-за уязвимости целочисленного переполнения в bonding-curve контракте, развёрнутом в 2021 году. Контракт был скомпилирован с Solidity 0.5.3, до того как в Solidity 0.8.0 была введена автоматическая защита от переполнения. Атакующий подал исключительно большое значение, из-за чего арифметическое вычисление «обернулось» до числа, близкого к нулю. Это позволило чеканить большие объёмы TRU почти без ETH, а затем выкупить их обратно за реальный ETH, который хранился в контракте. Chainalysis оценил основной ущерб в $26,2 млн. CertiK оценил совокупную сумму ближе к $26,6 млн, включая примерно $224 000, выведенных вторым атакующим. Уязвимая реализация не была публично верифицирована на Etherscan. Это не помешало атакующим изучить её. Bytecode контракта можно декомпилировать, по старому поведению компилятора можно идентифицировать детали, а предполагаемые уязвимости — проверять через симуляции или форки блокчейна. Truebit — самое наглядное крупное исключение из более широкого паттерна, наблюдаемого в 2026 году. Его потеря произошла из-за публичной логики исполнения, а не из-за компрометации операционных полномочий. Он также показывает, почему «спящие» контракты должны оставаться в рамках аудита, мониторинга и bug-bounty, пока у них есть средства или разрешения. Почему Echo Protocol не попадает в рейтинг кражи на $76,7 млн Echo Protocol иногда описывают как потерявший $76,7 млн, потому что атакующий использовал скомпрометированный ключ администратора, чтобы отчеканить 1 000 необеспеченных eBTC с этим условным номиналом. Атакующий не вывел $76,7 млн в реальных активах. По данным Merkle Science, 45 из мошеннических eBTC были внесены в lending-протокол Curvance. Атакующий взял в заём примерно 11,29 WBTC на сумму около $867 000, прежде чем оставшиеся 955 необеспеченных eBTC были сожжены. Точные цифры, следовательно, такие:

  • Мошенническая эмиссия: примерно $76,7 млн в условных eBTC.
  • Реальные активы выведены: примерно $867 000 в WBTC.
  • Оставшееся необеспеченное предложение: сожжено после инцидента.

Классификация всей условной суммы как украденной преувеличивает реализованный ущерб почти в 90 раз. Echo всё равно раскрывает важную проблему риска по обеспечению. Oracle Curvance корректно распознал рыночную стоимость, назначенную eBTC, но не мог определить, что именно эти токены были созданы без обеспечения. Целостность цены — это не то же самое, что целостность эмиссии. Платформам кредитования, принимающим внешне выпущенный залог, нужны механизмы контроля для аномального создания предложения, изменений в полномочиях минтинга, внезапных депозитов залога, верификации обеспечения и административного риска на уровне эмитента. Корректная цена-лента не отвечает на эти вопросы сама по себе. Общий сбой был в control plane Крупнейшие инциденты 2026 года не разделяли одну общую уязвимость в коде. Их объединяли слабости в системах, которые решают, что коду разрешено делать. В терминах традиционной инфраструктуры layer исполнения обрабатывает обычную активность, тогда как control plane определяет права, конфигурации, доверенные источники данных и исключительные действия.

Это различие очень точно ложится на крупнейшие инциденты:

Kelp: верификатор принял подделанную версию активности в исходной сети.

Drift: валидные подписи передали административный контроль.

Step: скомпрометированные устройства руководства раскрыли власть над казначейством.

Humanity: скомпрометированный endpoint раскрыл привилегированные ключи.

Resolv: скомпрометированная роль сервиса создала валидные, но экономически неподкреплённые авторизации.

Echo: один ключ администратора мог выдать неограниченные полномочия минтинга.

Truebit: исключение — арифметическая ошибка в унаследованном коде контракта.

CertiK зарегистрировал 204 инцидента с уязвимостями в коде за первое полугодие, что дало примерно $151,6 млн потерь. Компрометации кошельков привели к $444,5 млн потерь всего в 33 инцидентах. Это даёт в среднем примерно $743 000 потерь на один инцидент с уязвимостью в коде и $13,5 млн на один инцидент с компрометацией кошелька. В среднем компрометация кошелька обходилась примерно в 18 раз дороже. Это сравнение не делает аудит смарт-контрактов менее важным. Оно показывает, что аудит контракта без учёта его подписантов, зависимостей RPC, административных интерфейсов, облачных ролей и экстренных контролей оставляет существенную часть финансовой системы не протестированной. Пять контролей, которые закрывают реальные провалы Устанавливайте экономические лимиты после аутентификации Валидная подпись должна доказывать, кто одобрил действие. Она не должна выдавать неограниченные экономические полномочия. Минтинг, бриджинг, одобрение залога и выводы всё ещё можно ограничивать через максимальные размеры транзакций, скользящие лимиты, коэффициенты залога, задержки по времени, капы по конкретным активам и автоматические паузы. Эти меры могут не предотвратить компрометацию учётных данных, но они могут остановить одну скомпрометированную ключевую пару от немедленного создания неограниченной ответственности. Измеряйте независимость, а не количество ключей Мультиподпись 3 из 5 не является по-настоящему распределённой, когда три ключа можно восстановить с одного ноутбука или управлять ими через один и тот же корпоративный аккаунт. Рекомендации NIST по управлению ключами подчёркивают контроль жизненного цикла, включая авторизацию, бэкапы, подотчётность, разделение обязанностей, реакцию на компрометацию и защиту материалов для ключей. Протоколы должны определять, используют ли «якобы независимые» подписанты общие устройства, менеджеры паролей, облачные арендаторы, процедуры восстановления, физические локации или линии репортинга. Мониторьте взаимосвязи, а не только транзакции Каждая транзакция в эксплойте Kelp выглядела валидной. Измеримым провалом было отсутствие связи между двумя цепочками: rsETH был выпущен в Ethereum без того, чтобы он был сожжён в исходной цепочке. Мониторинг бриджа должен постоянно сверять блокировки, сжигания, минтинги и релизы по каждой релевантной сети. Похожие проверки инвариантов могут сравнивать внесённый залог с отчеканенными токенами, резервы с циркулирующим предложением, а одобренные лимиты вывода — с фактическими оттоками. Симулируйте административное намерение до подписи Аппаратные кошельки защищают приватные ключи, но не могут определить, одобряет ли легитимный пользователь вредоносную транзакцию. Административные транзакции должны декодироваться и симулироваться в отдельной среде до исполнения. Подписантам нужно видеть изменения прав, вновь одобренные залоговые активы, параметры ценообразования, лимиты вывода, апгрейды контрактов и передачи владения — а не только хэш транзакции или непрозрачный запрос в кошельке. Держите legacy-контракты внутри периметра безопасности Контракт не становится безопаснее только потому, что несколько лет не было инцидентов. Любое развёртывание, которое хранит активы, обрабатывает погашения, контролирует права протокола или остаётся подключённым к текущим продуктам, должно иметь верифицированный исходный код, задокументированные предположения компилятора, активный мониторинг и быть включённым в программы аудита и bug-bounty. AI-поддерживаемая декомпиляция может сократить время, которое атакующим нужно, чтобы обнаружить старые арифметические, access-control или ошибки валидации. Безопасность через «обфускацию» становится менее эффективной по мере улучшения этих инструментов. AI усиливает существующие модели мошенничества AI не создавал базовые уязвимости за Kelp, Drift, Resolv или Echo. Более непосредственный эффект — снижение стоимости исследования целей, выдачи себя за других, локализации и поддержания длительной коммуникации. Крипто-преступный отчёт Chainalysis за 2026 год, анализирующий активность 2025 года, показал, что мошеннические операции со счётными связями с поставщиками AI-сервисов были примерно в 4,5 раза прибыльнее мошенничеств без таких связей. Этот довод не следует подавать как доказательство, что всякий изощрённый взлом в 2026 году использовал AI. Он показывает, что AI-поддерживаемые операции уже давали более высокую отдачу и могли сделать несколько установившихся техник проще масштабировать:

Синтетическая идентичность

Имитация видео и голоса с помощью deepfake.

Продвинутая разведка

Исследование цели в социальных и профессиональных сетях.

Многоязычная социальная инженерия

Длительные разговоры на нескольких языках.

Адаптивный фишинг

Клонированные интерфейсы и персонализированные фишинговые страницы.

Автоматизированное исследование уязвимостей

Автоматизированный анализ контрактов и декомпилированного bytecode.

Вероятное развитие — комбинация социальных и технических методов. Социальная инженерия добывает учётные данные или авторизацию; существующие права протокола превращают этот доступ в финансовые потери. Изменения регулирования требуют подотчётности, а не пересмотра механики эксплойта Переходный период MiCA в Европейском союзе завершился 1 июля 2026 года. Подпадающие под регулирование сервис-провайдеры для криптоактивов обычно теперь должны получать разрешение, чтобы продолжать работу в ЕС, в зависимости от охвата регулирования и решений национальных надзорных органов. MiCA может усилить управление, хранение, операционные контроли и подотчётность. Но он не определяет, использует ли бридж независимых верификаторов, правильно ли разделены привилегированные ключи, или понимает ли авторизованный подписант вредоносную транзакцию. US GENIUS Act был подписан 18 июля 2025 года и создаёт федеральную рамочную основу для платёжных стейблкоинов. Это не универсальный режим кибербезопасности для каждого бриджа, биржи, кошелька или DeFi-протокола. Регулирование определяет, кто отвечает и какие меры защиты должны существовать. Инженерия безопасности определяет, сможет ли выполнить фальшивое сообщение, скомпрометированный ключ или вредоносное одобрение до того, как меры защиты отреагируют. На что смотреть до конца 2026 года Финальную картину безопасности в 2026 году нужно оценивать не только по суммарному заголовочному ущербу.

Ключевые индикаторы

Концентрация потерь

Продолжают ли несколько экстремальных инцидентов доминировать в годовой сумме.

Площадь атаки

Остаются ли более дорогими компрометации кошельков, административных действий, облака и инфраструктуры, чем эксплойты кода.

Ущерб с учётом восстановления

Сколько всё ещё не хватает после заморозок, возвратов и согласованных ретурнов.

Качество атрибуции

Подтверждаются ли предварительные связи с госспонсируемыми группами завершёнными расследованиями.

Внедрение контролей

Внедряют ли протоколы независимую верификацию, симуляцию транзакций, разделение ключей и исполнимые экономические лимиты до следующей крупной атаки.

Этот рейтинг — это снимок, подготовленный 17 июля, а не окончательная запись за год. Почти 46% 2026 года ещё впереди, и исторические цифры потерь могут продолжать меняться из‑за восстановлений активов, пересмотров цен токенов, выявления новых кошельков и более чётких различий между условной подверженностью и реализованной кражей. Данные поддерживают более узкий вывод: инциденты с наибольшей ценностью всё чаще нацеливались на control-системы вокруг смарт-контрактов, подписантов, устройств, инфраструктуры RPC, привилегированных сервисов и сетей верификации — а не только на логику контракта.

Эта статья предназначена только для образовательных целей. Оценки ущерба по инцидентам могут изменяться из‑за движений цен на активы, восстановлений, пересмотра атрибуции и различий между валовой подверженностью, реализованным выведением и чистыми потерями.

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено