Квітень: Злом DeFi з крадіжкою понад 600 мільйонів доларів США — групу Lazarus називають головним організатором

2026年4月，去中心化 фінансов (DeFi) сфера зазнала найсуворішого за останні роки випробування безпеки. За даними нараховувань безпекових організацій, у цьому місяці через хакерські атаки було викрадено понад 6,06 мільярдів доларів США, встановивши новий місячний рекорд збитків. Кілька провідних протоколів були зламані один за одним, а група Lazarus з північнокорейським походженням була визнана кількома розслідувальними органами головним зачинщиком серії атак. Ці події не лише виявили вразливість інфраструктури DeFi, а й змусили галузь переосмислити ризики міжланцюгових взаємодій та управління приватними ключами.

Як підтвердити реальні масштаби збитків у великих безпекових інцидентах квітня

Станом на 27 квітня 2026 року, загалом у відкритих даних про хакерські атаки у DeFi викрадено активів на суму понад 6,06 мільярдів доларів США. Три найбільші випадки за масштабом становили: збитки KelpDAO приблизно 2,92 мільярда доларів, Drift Protocol — приблизно 2,85 мільярда доларів, Purrlend — близько 1,5 мільйона доларів. Крім того, протоколи, такі як Scallop, також повідомили про збитки від кількох десятків тисяч до мільйонів доларів. Ці дані отримані з пізніше оприлюднених звітів проектів та платформ моніторингу блокчейну, що відслідковують рух коштів, і не включають непублічні або ще не підтверджені малі масштаби атак. Розподіл збитків за тижнями показує, що у перші три тижні збитки зростали щотижня, тоді як у четвертому тижні через припинення роботи або оновлення контрактів деяких проектів збитки зменшилися.

Які методи міжланцюгових атак використовували зловмисники

Технічний аналіз вже оприлюднених інцидентів показує, що зловмисники здебільшого використовували вразливості у управлінні дозволами контрактів та дефекти у логіці міжланцюгових мостів. У випадку з KelpDAO зловмисник отримав контроль над приватним ключем одного з управлінських гаманців, обійшов механізм багатопідписної верифікації та безпосередньо викликав функцію виведення активів у контракті, послідовно переказуючи заставлені активи. Атака на Drift Protocol була ще складнішою: зловмисник використав зловмисний контракт, розгорнутий у іншому ланцюгу, і за допомогою міжланцюгового протоколу підробив докази депозиту активів, що дозволило йому позичати понад дозволену суму у цільовому ланцюгу. Це свідчить про те, що зловмисники вже не обмежуються вразливостями окремих смарт-контрактів, а використовують довіру між протоколами як точку прориву.

Чому Lazarus Group вважається головним підозрюваним

Кілька компаній з безпеки блокчейну за допомогою аналізу потоків коштів на ланцюгу зв’язали кілька великих атак у квітні з Lazarus Group. Ця організація має історію використання криптовалют для переведення незаконних доходів, а її поведінкові характеристики включають: швидкий переказ коштів через децентралізовані міжланцюгові мости на різні мережі, використання змішувачів (наприклад, форки або альтернативи Tornado Cash) для послідовного очищення коштів, а також переказ частини активів на адреси, пов’язані з входами у фіатні валюти. У випадках з KelpDAO і Drift, подальший рух викрадених коштів співпадає з моделлю Lazarus Group, що була зафіксована у попередніх атаках, таких як Ronin Bridge та Harmony Bridge. Хоча жодна організація чи особа не взяла на себе відповідальність, схожість поведінки робить Lazarus Group найімовірнішим підозрюваним.

Як викрадені кошти перетинають межі ланцюгів і проходять через змішувачі

Після успішної атаки кошти швидко переказуються між ланцюгами для приховування слідів. У двох найбільших випадках квітня зловмисники за кілька годин перекинули більшу частину активів із вихідних ланцюгів (наприклад, Ethereum, Solana) через міжланцюгові мости на кілька нових мереж Layer 2 або більш приватних блокчейнів. Потім кошти розбивалися на сотні дрібних транзакцій і надходили у різні децентралізовані змішувачі. Ці протоколи використовують технології нульових знань або багатопартійних обчислень для приховування зв’язків між входами та виходами, ускладнюючи звичайним інструментам моніторингу відстеження реальних отримувачів. Частина активів після змішування додатково конвертується у інші криптоактиви через платформи синтетичних активів, що ускладнює їх заморожування та повернення.

Як серійні атаки вплинули на загальний обсяг заблокованих активів у DeFi

Масштабні безпекові інциденти суттєво вплинули на довіру до ринку, що відобразилося у зниженні загального обсягу заблокованих активів (TVL) у DeFi. За даними з блокчейну, протягом 72 годин після атак основні протоколи втратили в середньому від 35% до 60% TVL. Наприклад, TVL KelpDAO знизився з приблизно 8,5 мільярда доларів до менше ніж 3,1 мільярда доларів. Загалом, ринок DeFi за цей період зазнав ланцюгової реакції: користувачі почали виводити активи з проектів із складною міжланцюговою взаємодією та відкритими дозволами, переорієнтовуючись на більш зрілі позикові протоколи або централізовані сховища. Станом на 27 квітня загальний TVL у мережі Ethereum зменшився приблизно на 12% порівняно з початком місяця, тоді як деякі протоколи, орієнтовані на ізоляцію ризиків, зазнали невеликих чистих виведень коштів.

Чи може фонд відновлення Aave стати стандартом безпеки у галузі

У відповідь на зростаючі збитки провідний протокол позик Aave наприкінці квітня оголосив про створення фонду відновлення, який має частково компенсувати користувачам збитки через вразливості, що не пов’язані з кодом (наприклад, атаки через зовнішні залежності або управління). Модель роботи цього фонду передбачає, що кошти збиратимуться з резерву Aave та партнерів, а рішення про компенсацію ухвалюватиме незалежна комісія з оцінки ризиків. Хоча наразі фонд не покриває всі інциденти квітня, його створення викликало дискусії щодо можливості запровадження подібних до банківських страхових механізмів «DeFi безпеки резерву». Підтримувачі вважають, що це підвищить довіру звичайних користувачів, тоді як критики попереджають про можливий моральний ризик: проект може знизити рівень безпеки, очікуючи зовнішнього відшкодування.

Як приватні користувачі можуть ідентифікувати та захиститися від ризиків у DeFi

Поки що підвищення безпеки протоколів триває, користувачам рекомендується вживати заходів для зменшення ризиків втрати активів. По-перше, обирати протоколи з багаторівневими незалежними аудитами та відкритим кодом, звертаючи увагу на репутацію аудиторських компаній. По-друге, обережно надавати дозволи на використання токенів і регулярно відкликати зайві дозволи через блокчейн-оглядачі або менеджери дозволів. По-третє, зберігати основні активи у мультипідписних гаманцях або апаратних гаманцях, ізоляція їх від гарячих гаманців, що використовуються для великих операцій. По-четверте, слідкувати за повідомленнями систем безпеки та швидко скасовувати дозволи у разі підозри на атаку. П’яте, ставитися з обережністю до нових протоколів із високими нагородами за ліквідність, оскільки їх безпека ще не підтверджена.

Підсумки

У квітні 2026 року екосистема DeFi зазнала збитків понад 6,06 мільярдів доларів через серію хакерських атак, зокрема протоколи KelpDAO і Drift були зламані. Аналіз поведінки на ланцюгу вказує на Lazarus Group як головного організатора цих подій, а їх міжланцюгові перекази та змішування активів свідчать про високий рівень майстерності зловмисників. Ця криза не лише спричинила значні втрати TVL, а й змусила галузь переосмислити управління дозволами, довіру міжланцюгових моделей та механізми компенсації. Для звичайних учасників, поки стандарти безпеки не будуть єдиними, активне управління дозволами, ізоляція активів і уважність до систем оповіщення залишаються найефективнішими способами захисту власних коштів.

FAQ

Питання: Як швидко дізнатися, чи зазнав конкретний DeFi протокол серйозної безпекової атаки?

Відповідь: Можна скористатися платформами моніторингу безпеки (наприклад, MistTrack від SlowMist, Alert від PeckShield) або сайтами аналізу даних блокчейну (наприклад, модуль Rug Pull на DeFi Llama). Також слід стежити за офіційними каналами Discord або Twitter проекту — зазвичай про атаки повідомляють протягом години після їхнього виявлення.

Питання: Чи можливо повернути викрадені Lazarus Group активи?

Відповідь: Це дуже складно. Зловмисники зазвичай використовують багаторівневі міжланцюгові мости і змішувачі для очищення коштів, а частина з них може бути конвертована у фіатні гроші у юрисдикціях із слабким регулюванням. Історично лише кілька випадків (наприклад, коли правоохоронці заблокували частину адрес до завершення змішування) дозволили частково повернути активи.

Питання: Що робити, якщо мій протокол був зламаний у квітні?

Відповідь: По-перше, негайно відкликати всі дозволи, надані цьому протоколу. По-друге, зберегти хеші транзакцій, дозволи та скріншоти балансу. По-третє, слідкувати за офіційними повідомленнями про компенсації або пропозиціями управління — багато проектів використовують фотосесії для підтвердження постраждалих користувачів і голосувань. Не платити нікому, хто обіцяє повернути кошти за додаткову плату.