За десять лет хакеры похитили у криптовалютного рынка свыше $17 млрд — и главной причиной потерь стала не уязвимость смарт-контрактов, а компрометация приватных ключей. Такие данные опубликовала платформа DefiLlama, зафиксировавшая 518 задокументированных инцидентов за последнее десятилетие.
Приватные ключи как главная мишень
Около 22,3% всех зафиксированных случаев связаны с компрометацией приватных ключей через их технической уязвимости. Ещё 18,2% инцидентов произошли через неустановленные методы, ещё 10% — из-за фишинговых атак на мульти подписные кошельки. Ещё 10% инцидентов произошли из-за фишинговых атак на мульти подписные кошельки. Иными словами, уязвимость инфраструктуры хранения ключей и поведение самих пользователей сегодня представляют куда большую угрозу, чем ошибки в коде протоколов.
Эти данные появились вскоре после того, как в текущем 2026 году был зафиксирован крупнейший взлом: злоумышленник вывел около 116 500 единиц restaked Ethereum (rsETH) из rsETH-моста KelpDAO на базе LayerZero. Сумма ущерба составила $293 млн.
Почему приватные ключи оказываются уязвимы
Приватный ключ — это число длиной 256 бит. Пространство возможных вариантов настолько велико, что подобрать его методом перебора физически невозможно: даже все компьютеры планеты не справились бы с этой задачей за время существования вселенной. Проблема возникает раньше — в момент создания кошелька.
Чтобы сгенерировать по-настоящему случайный ключ, программа должна опираться на непредсказуемые данные: движения мыши, тепловой шум процессора, временные метки нажатий клавиш и другие источники. Совокупность этой непредсказуемости называется энтропией. Если её недостаточно — например, из-за ошибки в коде кошелька или слабости браузерного генератора случайных чисел — реальное пространство вариантов резко сужается. Вместо 2²⁵⁶ возможных вариантов их может оказаться всего около 4 млрд — и современный компьютер перебирает такой диапазон за несколько часов.
Именно это произошло с миллионами кошельков, созданных через браузер между 2011 и 2015 годами: библиотека BitcoinJS использовала генератор, который в браузерном окружении того времени давал недостаточно случайные числа. Уязвимость получила название Randstorm — под угрозой оказались кошельки на таких платформах, как Blockchain.com, Bitgo и Dogechain. Схожая проблема была обнаружена в расширении Trust Wallet в 2023 году: генератор случайных чисел там также работал с критически сниженной случайностью.
Отдельный сценарий — когда пользователь сам задаёт основу для ключа: вводит любимую цитату, дату рождения или простое слово. Такой ключ выглядит уникальным, но злоумышленники давно составили базы из миллиардов подобных фраз и автоматически проверяют их все. Кошельки, созданные таким образом, как правило, опустошаются в течение нескольких минут после пополнения. Уязвимы и так называемые генераторы красивых адресов — инструменты, которые подбирают адрес кошелька с заданным набором символов. Если алгоритм такого генератора недостаточно надёжен, атакующий может восстановить соответствующий приватный ключ. В 2022 году подобная атака на генератор Profanity привела к потерям около $172 млн.
DeFi теряет $600 млн за два месяца
Волна взломов нанесла серьёзный удар по децентрализованным финансам. По данным отчёта крипто-трейдинговой компании GSR, за последние 60 дней из DeFi-протоколов было похищено более $600 млн. Основную часть этой суммы обеспечили взлом Kelp и апрельский инцидент с децентрализованной биржей Drift Protocol на базе Solana.
В GSR отмечают характерный сдвиг в тактике атакующих: по мере того как безопасность смарт-контрактов улучшается, хакеры переключаются на «операционную безопасность, инфраструктуру подписи, инструменты разработчиков и самих людей». Происходящее давит на и без того сужающуюся доходность сектора: доходность DeFi сближается с показателями традиционных финансов, что ставит под сомнение целесообразность размещения средств в сети с учётом существующих рисков.
ИИ снижает порог входа для хакеров
Развитие вредоносного программного обеспечения и инструментов на основе искусственного интеллекта упрощает проведение атак через социальную инженерию и делает их масштабируемыми. Одна из распространённых схем — отправка жертвам небольших транзакций в расчёте на то, что те скопируют адрес злоумышленника из истории операций и сами переведут средства на подконтрольный мошенникам кошелёк.
Рост числа инструментов «взлом как услуга» (hacking-as-a-service) снижает барьер входа для потенциальных атакующих. Платформы в даркнете берут комиссию за предоставление своих инструментов, тогда как исполнители атак получают большую часть средств с опустошённых кошельков. При этом хакеры, как правило, ориентируются на наименее защищённые цели, требующие минимальных усилий.
Согласно отчёту компании Hacken, Web3-проекты потеряли $482 млн в первом квартале 2026 года, причём $306 млн из этой суммы пришлось на фишинг и атаки через социальную инженерию.
#Web3 #defi #HackerAlert #Write2Earn
