Квітень 2026 року став найгіршим місяцем у історії за кількістю порушень безпеки DeFi. CertiK зафіксувала 29 інцидентів із загальними збитками у 651 мільйон доларів — і два мегазломи самі по собі склали 93% шкоди.

Два катастрофічні удари:

Drift Protocol (Solana) — $285M (1 квітня): Lazarus Group витратила 6 місяців на налагодження довіри з командою Drift — особисті зустрічі в кількох країнах, понад $1M у реальних депозитах — потім обдурила підписантів мультиsig, щоб попередньо схвалити приховані дозволи, і вивела кошти за 12 хвилин. Фонди були переказані на Ethereum за кілька годин. Другий за масштабом злом у історії Solana.

Kelp DAO (Ethereum/LayerZero) — $285M (18 квітня): Зловмисник надіслав підроблене міжланцюгове повідомлення до моста LayerZero Kelp DAO о 17:35 UTC, обдуривши його, щоб він випустив 116 500 rsETH (~18% від усього обігу токена). Вкрадені rsETH потім були внесені як заставу на Aave v3, позичаючи великі суми wETH — залишивши Aave у боргу на $293M , спричинивши падіння токена AAVE на 18% і виведення ~$195M у потоки TVL.

Розподіл за вектором атаки (дані CertiK):

Вектор Збитки

Компрометація гаманців $8B
Маніпуляція цінами $18.8М

Вразливості у коді $16.9М

Фішинг $3.5М

Неперевірені контракти $8.5М

Атаки на фронтенд $611M

Системні наслідки:

~$544K
виведення TVL у DeFi по протоколах

TVL Aave знизився приблизно на ~$14B за 24 години; токен AAVE впав з $112 до $89.5

Aave заблокував ринки rsETH на v3 і v4

Security Council Arbitrum заблокував ~$8B ETH, пов’язаний із злом Kelp DAO

Оператори з Північної Кореї (Lazarus Group) тепер становлять 76% усіх крадіжок криптовалют у 2026 році (TRM Labs)

Срібна лінія — фонд відновлення "DeFi United": кампанія з відновлення, організована Aave, зібрала понад $71M — достатньо, щоб повністю покрити злом Kelp DAO. Внески включають Aave DAO (25 000 ETH), Lido DAO (2 500 ETH) та зобов’язання від Kelp DAO і LayerZero.

Але з’явився новий поворот: дослідник ZachXBT звинуватив американську юридичну фірму Gerstein Harrow LLP у поданні фальшивих претензій для конфіскації $302M заморожених коштів KelpDAO, використовуючи судове рішення 2015 року проти Північної Кореї, щоб пріоритетно захищати своїх клієнтів перед реальними жертвами зламу 2026 року. ZachXBT запропонував створити DAO спільноти для юридичного протистояння цій фірмі.

Висновки щодо безпеки для користувачів DeFi:

Перевіряйте управління мультиsig — відсутність таймлоків у міграціях є фатальною вразливістю

Ретельно аудитуйте реалізацію міжланцюгових мостів (верифікація повідомлень LayerZero є критичною)

Диверсифікуйте застави — не концентруйте активи у одному токені для повторного залучення

Контролюйте можливості замороження/паузи протоколів — швидке реагування врятувало ~$71M у подальших спробах Kelp DAO

Використовуйте апаратні гаманці та окремі стратегії гарячих/холодних гаманців для великих позицій

Цей пост щойно опубліковано — лайків і коментарів ще немає. Будьте першими, хто долучиться і допоможе поширити інформацію. Безпека DeFi — відповідальність кожного.

$80M

DRIFT-3,53%

SOL1,85%

ETH0,61%

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

4 лайків

Нагородити
4
10
Репост
Поділіться

Прокоментувати

Додати коментар

MasterChuTheOldDemonMasterChu

· 2год тому

Твердо тримай💎