Криптовалюта втратила $482M у першому кварталі 2026 року через зломи та експлойти.

Я щойно ознайомився з звітом @hackenclub про безпеку та відповідність за перший квартал, щоб ви цього не робили.
Ось найважливіші висновки ↓
——————————
1️⃣ Аудитовані протоколи проти неаудитованих — суми експлойтів
Шість протоколів з аудиторією були зламані у першому кварталі.
Середній збиток:
• $6.3М для аудиторських проектів
• $4.3М для неаудитованих
Аудитовані проекти мають більшу цінність, що робить їх більш привабливими для атак.
Зловмисники також схильні цілитися в те, що виходить за межі аудиторського охоплення.
2️⃣ Найбільший інцидент у 2026 році
У січні особа, яка видавала себе за ІТ-підтримку, переконала людину передати свої облікові дані для відновлення апаратного гаманця.
Зловмисник забрав $282M у BTC та LTC, одразу обмінявши їх на $XMR , щоб зробити слідство майже неможливим.
Безумовно, найневезучіша особа 2026 року.
3️⃣ Зломщики рухаються швидко... чи ні?
У 76% випадків зловмисники переказують кошти до того, як команда дізнається про злом.
Середній час повідомлення про злом — близько 1,5 днів.
Змушує задуматися, чи дійсно команди були неусвідомлені, чи затримка з оголошенням була зручністю для них.
4️⃣ Тенденція експлойтів смарт-контрактів
Загальні збитки за перший квартал 2026 року були нижчими, ніж у першому кварталі 2025 року, але лише тому, що цього кварталу не було катастрофічного зламу біржі.
Збитки від експлойтів смарт-контрактів фактично зросли на 213% у порівнянні з минулим роком, досягнувши $86.2М у 28 інцидентах.
Якщо дивитися з цієї точки зору, це не є покращенням.
5️⃣ Північнокорейські хакери продовжують красти крипту
Вони відповідальні за крадіжки на суму $2.04Млрд у 2025 році, що становить 52% від усіх щорічних збитків.
Жоден з цих випадків не був через експлойти смарт-контрактів.
Кожен інцидент був викликаний соціальною інженерією.
Фальшивий дзвінок від венчурного капіталіста, що зруйнував @StepFinance_, — це той самий сценарій, який вони використовують, і він продовжує працювати через людський фактор.
6️⃣ RWA-протоколи стали найуразливішим сектором за результатами аудиту
У першому кварталі протоколи RWA та TradFi у середньому мали 22.4 проблеми на огляд, більше, ніж будь-який інший сектор.
Більшість ризиків не у логіці токена.
Вони у контролях відповідності, які правильно прописані на папері, але не працюють так, як мають у реальності.
7️⃣ Виправлення коду створює нові вразливості
1 з 3 спроб виправити вразливість випадково вводила нову у першому кварталі цього року.
Проектам потрібно ставитися до перевірки коду після кожного патчу як до стандартної процедури, щоб це не стало трендом.
8️⃣ Витік @VenusProtocol
Зловмисник провів дев’ять місяців тихо накопичуючи 84% запасу токена перед запуском експлойти.
Весь процес був видимий у блокчейні протягом усього часу.
Ніхто не помітив.
9️⃣ Код, написаний штучним інтелектом, схильний до експлойтів
У лютому @MoonwellDeFi втратив $1.78Млн через, можливо, перший експлойт коду, створеного штучним інтелектом.
Використання AI для кодування відкриває проєкти для непередбачених вразливостей.
Це головний ризик безпеки 2026 року.
🔟 Найбільш аудиторський протокол у першому кварталі все ще був зламаний на $25M
, навіть 18 аудитів не зупинили @ResolvLabs від витоку.
Зловмисник зламав їхню інфраструктуру AWS, щоб викрасти ключ, який дозволяв створювати USR.
Через дві транзакції було створено 80 мільйонів непідкріплених токенів USR з колатералу $200K , витягуючи $25M перед тим, як команда зупинила операції.
——————————
З урахуванням всього, що відбувається, очевидно, що безпека у криптовалютах сприймається дуже легковажно.
Командам слід переосмислити свій підхід до цієї проблеми перед тим, як зосередитися на чомусь іншому.
Інакше ми можемо побачити ще більше жертв у звітах.