ИИ-хакеры напугали DeFi-рынок после двух атак почти на 600 млн долларов

Крипторынок снова столкнулся с крупным ударом по DeFi-сектору. В апреле 2026 года две атаки на сервисы децентрализованных финансов принесли злоумышленникам около 600 млн долларов и вызвали резкую потерю доверия к отдельным платформам. По данным Bloomberg и TRM Labs, ответственность за инциденты возлагают на северокорейских хакеров, а уровень изобретательности атак заставляет экспертов говорить о вероятном использовании ИИ.

Под ударом оказался DeFi-сектор с оборотом около 130 млрд долларов. Рынок включает в себя несколько типов операций:

• торговля активами без классических посредников;
• займы и кредиты через смарт-контракты;
• размещение ликвидности в пулах;
• работа с мостами между блокчейнами;
• взаимодействие с автоматическими маркет-мейкерами.

Архитектура с открытой программируемостью даёт скорость, но создаёт огромную поверхность атаки.

В апреле количество эксплойтов в DeFi достигло рекордного уровня и почти удвоилось к показателю марта. Проекты пытаются усиливать аудит и защиту смарт-контрактов, но резкий скачок сложных атак показывает быстрый поиск злоумышленниками новых комбинаций ошибок.

Интересно, что всего 2 апрельские атаки на DeFi-проекты дали 76% всех криптокраж 2026 года, и подобная концентрация говорит об охоте за крупными целями.

TRM Labs связала апрельские инциденты с северокорейскими хакерами. По оценке экспертов, в атаках могли применяться ИИ-инструменты для поиска уязвимостей, моделирования цепочек эксплуатации и ускорения социальной инженерии.

Один из самых заметных эпизодов связан с Drift Protocol. В результате атаки на биржу деривативов злоумышленники получили более 280 млн долларов. Операция не выглядела простым техническим взломом. Хакеры месяцами выстраивали отношения с участниками проекта под видом торговой компании, а затем обманом заставили сотрудников авторизовать вредоносные транзакции.

Атака не ограничилась авторизацией транзакций. Злоумышленники создали фиктивный токен и завысили данные о сделках, чтобы Drift воспринимал эти активы ценным обеспечением. Хакеры работали не только с кодом, но и с экономической логикой протокола.

Атака на Kelp DAO принесла почти 300 млн долларов ущерба. Её полная механика пока до конца не раскрыта, а значительная часть похищенных средств была использована на кредитной платформе Aave. После этого инвесторы за 2 дня вывели 9 млрд долларов из сервиса кредитования.

DeFi работает как сеть взаимосвязанных протоколов. Один проект использует активы другого через несколько типов связей:

• токены становятся обеспечением в сторонних сервисах;
• мосты переносят ликвидность между сетями;
• кредитные платформы принимают залоги от других протоколов;
• ораклы передают данные о ценах между системами;
• агрегаторы маршрутизируют сделки через десятки площадок.

Взлом одного узла способен ударить по доверию к нескольким площадкам сразу.

В обычной банковской системе подозрительную операцию можно остановить через внутренние процедуры и регуляторные механизмы. В блокчейне всё жёстче. При подтверждённой транзакции отменить её нельзя. Средства быстро дробятся, переводятся через мосты, смешиваются и распределяются по цепочке адресов.

Bloomberg обращает внимание на ИИ-модель Anthropic Mythos, которую разработчик так и не выпустил в открытый доступ из-за рисков кибербезопасности. Существующие ИИ-агенты по данным исследований Anthropic уже способны находить и эксплуатировать уязвимости на уровне серьёзной человеческой экспертизы.

По оценкам Anthropic половину блокчейн-атак 2025 года ИИ мог бы провести автономно, а «потенциальный доход от эксплойтов» удваивается каждые 1,3 месяца.

По оценкам Anthropic, более половины атак на блокчейн в 2025 году с приписыванием опытным киберпреступникам мог бы осуществить ИИ в автономном режиме. У исследователей есть показатель «потенциального дохода от эксплойтов» с удвоением каждые 1,3 месяца.

Для DeFi подобная динамика звучит почти как предупреждение. Ошибка в смарт-контракте, неверная логика залога, уязвимый мост или обман сотрудника могут привести не к абстрактному риску, а к мгновенному выводу сотен миллионов долларов.

Северокорейские хакеры давно рассматривают криптовалюту как удобный источник дохода. Ранее сообщалось о превращении КНДР из криптокраж в промышленный бизнес с доходом около 2 млрд долларов за 2025 год. Подобный показатель на 51% больше результата предыдущего года.

Также ранее сообщалось об отправлении 76% всей похищенной криптовалюты с начала 2026 года КНДР. По данным TRM Labs, за этим стояли всего 2 крупные атаки на DeFi-платформы в апреле:

• взлом Drift Protocol на 285 млн долларов;
• атака на Kelp DAO на 292 млн долларов;
• в сумме большая часть всех потерь от криптовзломов года;
• всего 3% от общего числа атак за период;
• максимальная концентрация ущерба за последние годы.

Подобное соотношение выглядит опасным. Большинство атак могут быть небольшими, но несколько удачных операций против DeFi способны изменить всю статистику. Для северокорейских групп сектор остаётся привлекательным через крупные цели и долгую подготовку.

DeFi-проекты уязвимы не только из-за кода. Многие команды работают распределённо, быстро запускают новые функции, зависят от внешних библиотек и интегрируются с десятками протоколов. Чем быстрее растёт продукт, тем труднее держать под контролем все риски.

Экспертам и защитникам DeFi-проектов придётся работать сразу с несколькими направлениями угроз:

• атаки на смарт-контракты через эксплойты в коде;
• социальная инженерия против сотрудников и подрядчиков;
• манипуляции с фиктивными токенами и обеспечением;
• взаимосвязи между протоколами и эффект домино;
• автономные ИИ-агенты для поиска уязвимостей.

Эксперты редакции CISOCLUB отмечают, что апрельские атаки на Drift Protocol и Kelp DAO показывают, что DeFi входит в новую фазу риска. По мнению редакции, северокорейские хакеры уже не просто ищут баги в коде, а соединяют социальную инженерию, манипуляцию активами, экономическую логику протоколов и, вероятно, ИИ-инструменты. Они заявили, что при работе сектора с оборотом 130 млрд долларов на необратимых транзакциях даже 1 успешная атака способна вызвать не только прямую кражу, но и массовый отток доверия по всей экосистеме. Подобная цепная реакция превращает DeFi-безопасность из задачи отдельной команды в общий риск целой отрасли, где провал одного проекта бьёт сразу по нескольким соседним платформам.