hashtelegraph.com
За десять лет хакеры похитили у криптовалютного рынка свыше $17 млрд — и главной причиной потерь стала не уязвимость смарт-контрактов, а компрометация приватных ключей. Такие данные опубликовала платформа DefiLlama, зафиксировавшая 518 задокументированных инцидентов за последнее десятилетие.
Приватные ключи как главная мишень
Около 22,3% всех зафиксированных случаев связаны с компрометацией приватных ключей через их технической уязвимости. Ещё 18,2% инцидентов произошли через неустановленные методы, ещё 10% — из-за фишинговых атак на мультиподписные кошельки. Ещё 10% инцидентов произошли из-за фишинговых атак на мультиподписные кошельки. Иными словами, уязвимость инфраструктуры хранения ключей и поведение самих пользователей сегодня представляют куда большую угрозу, чем ошибки в коде протоколов.
Эти данные появились вскоре после того, как в текущем 2026 году был зафиксирован крупнейший взлом: злоумышленник вывел около 116 500 единиц restaked Ethereum (rsETH) из rsETH-моста KelpDAO на базе LayerZero. Сумма ущерба составила $293 млн.
Почему приватные ключи оказываются уязвимы
Приватный ключ — это число длиной 256 бит. Пространство возможных вариантов настолько велико, что подобрать его методом перебора физически невозможно: даже все компьютеры планеты не справились бы с этой задачей за время существования вселенной. Проблема возникает раньше — в момент создания кошелька.
Чтобы сгенерировать по-настоящему случайный ключ, программа должна опираться на непредсказуемые данные: движения мыши, тепловой шум процессора, временны́е метки нажатий клавиш и другие источники. Совокупность этой непредсказуемости называется энтропией. Если её недостаточно — например, из-за ошибки в коде кошелька или слабости браузерного генератора случайных чисел — реальное пространство вариантов резко сужается. Вместо 2²⁵⁶ возможных вариантов их может оказаться всего около 4 млрд — и современный компьютер перебирает такой диапазон за несколько часов.
Именно это произошло с миллионами кошельков, созданных через браузер между 2011 и 2015 годами: библиотека BitcoinJS использовала генератор, который в браузерном окружении того времени давал недостаточно случайные числа. Уязвимость получила название Randstorm — под угрозой оказались кошельки на таких платформах, как Blockchain.com, Bitgo и Dogechain. Схожая проблема была обнаружена в расширении Trust Wallet в 2023 году: генератор случайных чисел там также работал с критически сниженной случайностью.
Отдельный сценарий — когда пользователь сам задаёт основу для ключа: вводит любимую цитату, дату рождения или простое слово. Такой ключ выглядит уникальным, но злоумышленники давно составили базы из миллиардов подобных фраз и автоматически проверяют их все. Кошельки, созданные таким образом, как правило, опустошаются в течение нескольких минут после пополнения. Уязвимы и так называемые генераторы красивых адресов — инструменты, которые подбирают адрес кошелька с заданным набором символов. Если алгоритм такого генератора недостаточно надёжен, атакующий может восстановить соответствующий приватный ключ. В 2022 году подобная атака на генератор Profanity привела к потерям около $172 млн.
DeFi теряет $600 млн за два месяца
Волна взломов нанесла серьёзный удар по децентрализованным финансам. По данным отчёта крипто-трейдинговой компании GSR, за последние 60 дней из DeFi-протоколов было похищено более $600 млн. Основную часть этой суммы обеспечили взлом Kelp и апрельский инцидент с децентрализованной биржей Drift Protocol на базе Solana.
В GSR отмечают характерный сдвиг в тактике атакующих: по мере того как безопасность смарт-контрактов улучшается, хакеры переключаются на «операционную безопасность, инфраструктуру подписи, инструменты разработчиков и самих людей». Происходящее давит на и без того сужающуюся доходность сектора: доходность DeFi сближается с показателями традиционных финансов, что ставит под сомнение целесообразность размещения средств в сети с учётом существующих рисков.
ИИ снижает порог входа для хакеров
Развитие вредоносного программного обеспечения и инструментов на основе искусственного интеллекта упрощает проведение атак через социальную инженерию и делает их масштабируемыми. Одна из распространённых схем — отправка жертвам небольших транзакций в расчёте на то, что те скопируют адрес злоумышленника из истории операций и сами переведут средства на подконтрольный мошенникам кошелёк.
Рост числа инструментов «взлом как услуга» (hacking-as-a-service) снижает барьер входа для потенциальных атакующих. Платформы в даркнете берут комиссию за предоставление своих инструментов, тогда как исполнители атак получают бо́льшую часть средств с опустошённых кошельков. При этом хакеры, как правило, ориентируются на наименее защищённые цели, требующие минимальных усилий.
Согласно отчёту компании Hacken, Web3-проекты потеряли $482 млн в первом квартале 2026 года, причём $306 млн из этой суммы пришлось на фишинг и атаки через социальную инженерию.
Мнение ИИ
Исторический контекст показывает: криптовалютная отрасль повторяет путь ранних интернет-банков 2000-х, где технический протокол был неуязвим, а люди и процессы — нет. Тогда SSL-шифрование не спасало от фишинга и кейлоггеров, и сегодня блокчейн с его математически безупречной криптографией не защищает от атак на «прокладку между стулом и клавиатурой». Инцидент Trust Wallet особенно показателен: браузерные расширения кошельков имеют привилегированный доступ ко всем веб-страницам, что превращает одно вредоносное обновление в оружие массового поражения сразу для тысяч адресов.
Примечателен и структурный парадокс: чем надежнее становится код смарт-контрактов, тем выше «цена» человеческой ошибки — атаки смещаются именно туда, где аудиты бессильны. При этом горизонт угроз расширяется: квантовые компьютеры теоретически способны вычислить приватный ключ из публичного — и это уже не фантастика, а вопрос инженерных сроков.