Ускорение ИИ-взломов в DeFi: почему управление ключами теперь важнее аудита кода

Сообщение приходит в 03:12 UTC: «Казначейский кошелёк опустошён?» Ваши холодные ладони зависают над клавиатурой, пока вы наблюдаете, как подтверждения распространяются по мемпулам BNB Chain. Злоумышленник не эксплуатирует баг контракта. Он подписывает транзакции вашими ключами.

В течение нескольких часов в остальном здоровый токен рисует вертикальную линию вниз. Маркет-мейкеры снимают котировки; Discord заполняется зернистыми скриншотами и бесполезной самоуверенностью. Кто-то говорит: «Но мы прошли два аудита». Никто не задаёт единственный важный вопрос: кто ещё контролирует ключи?

В эпоху ИИ в DeFi доминирующий режим сбоя сместился от кода к хранению. Управление ключами, а не аудиты, теперь определяет выживание.

Автоматизация сократила время между компрометацией и бегством капитала. Продвинутый фишинг, дипфейк-звонки и боты «добычи подтверждений» означают, что путь наименьшего сопротивления больше не является тонким багом повторного входа — это подписант, принимающий одно неверное решение, или скомпрометированная машина, делающая это за него.

Это не гипотетически. Компрометация приватного ключа в Humanity Protocol в начале июня 2026 года предположительно опустошила более 30 000 000 $ из 17 кошельков и отправила токен H вниз более чем на 80% внутри дня, причём злоумышленники даже выпустили дополнительные H на BNB Chain (CoinDesk).

Данные подтверждают этот сдвиг. В своём отчёте об угрозах за июнь 2026 года CertiK отмечает, что только инциденты, связанные с мостами, в этом году составили более 328 000 000 $, и что компрометация кошельков обогнала уязвимости кода как доминирующий вектор эксплуатации по стоимости (CertiK Skynet (CertiK)). Даже в относительно спокойный месяц для взломов — около 68 300 000 $ в мае по 60 инцидентам — фишинг всё равно принёс около 2 600 000 $, при этом было восстановлено лишь ~9 400 000 $ (CoinCentral (по данным CertiK Alert)).

От багов кода к краже ключей: как изменилась поверхность атаки

Почему баланс сместился

Аудиты протоколов улучшили базовый уровень. Распространённые баги встречаются реже, проверенные в боевых условиях библиотеки широко используются, а формальные методы больше не являются экзотикой. Между тем операционная сложность резко возросла: больше мостов, больше цепочек, больше ботов, больше подписантов. Злоумышленники освоили инструменты ИИ для масштабирования целевого фишинга, имитации писем от вендоров и подражания основателям в голосовых звонках. Трение, чтобы обмануть, утомить или надавить на человека-подписанта, часто ниже, чем трение, чтобы найти прибыльный он-чейн баг.

Доказательства из 2026 года

Последние данные разведки CertiK по стейблкоинам и безопасности указывают на чёткий переход: компрометация кошельков теперь доминирует в потерях по стоимости, даже когда инциденты с мостами продолжают накапливать девятизначные суммы в 2026 году (CertiK Skynet (CertiK)). Ежемесячные итоги колеблются — ~68 300 000 $ в мае скромны по криптостандартам — но распределение векторов подчёркивает истину: операционные промахи, а не только дефекты кода, опустошают казначейства (CoinCentral (по данным CertiK Alert)).

Вторжения с помощью ИИ: сценарии, которые мы наблюдаем в реальности

Современная цепочка атаки

Современная компрометация редко выглядит как монтаж из фильма с окнами терминала. Она выглядит как работа. Злоумышленник зеркалит ритмы вашей организации, пока подписание не выглядит рутиной.

1. Разведка и имперсонация: сбор данных с LinkedIn, GitHub, Discord. Обучение голосовой модели. Клонирование подписи в электронном письме вендора.
2. Точка входа: приглашение в календарь для обсуждения «срочных обновлений», запрос разрешений в репозитории или документ «новой интеграции моста» с вредоносным ПО.
3. Перехват сессии: кейлоггер, внедрение в расширение кошелька или захват мобильного устройства через загруженные из сторонних источников приложения.
4. Сбор подтверждений: проталкивание последовательности внешне безобидных подтверждений и повышений ролей, прокладывающих путь для последующих переводов.
5. Быстрый вывод средств: выполнение переводов через заранее подготовленные контракты и миксеры; ротация газа и аккаунтов ретрансляторов для уклонения от правил ограничения скорости.
6. Шум и дезориентация: пока начинается триаж, запуск ботов для минтинга, свопа токенов или перемешивания через кросс-чейн, чтобы запутать специалистов по реагированию на инциденты.

Случай из практики: компрометация приватного ключа, реальные последствия

Событие с Humanity Protocol в июне 2026 года воплотило то, как быстро отказ в единственной точке может вызвать лавину. Он-чейн следователи и команда сообщили, что приватный ключ был скомпрометирован, около 17 кошельков были атакованы, а злоумышленники выпустили дополнительные токены H на BNB Chain перед ликвидацией, обрушив H более чем на 80% за несколько часов (CoinDesk). Не потребовалось никакого сложного эксплойта контракта — только контроль над ключом.

Что упускают аудиты кода — и как должны развиваться операции

Аудиты необходимы, но недостаточны

Аудиты помогают выпускать более безопасные контракты, но не могут защитить ваши ноутбуки, почтовые ящики или ежедневные подтверждения. Они не определяют, сколько подписантов вам нужно в 02:00, или держит ли ваш бот маркет-мейкинга горячий EOA с неограниченным разрешением. Они не остановят основателя от вставки сид-фразы в приложение заметок во время путешествия.

Операционные слепые пятна

Команды часто упускают три ключевых аспекта:

• Подтверждение личности: кто за клавиатурой? Зарегистрированы ли подписанты с ключами доступа? Привязаны ли сессии к аппаратному обеспечению?
• Политика и контекст: корректируется ли политика подписания в зависимости от размера актива, репутации адресата или времени суток?
• Видимость во время выполнения: можете ли вы остановить или изолировать транзакцию в процессе выполнения, если она нарушает эвристику?

Мосты усиливают эти пробелы. Итоги 2026 года показывают, что инциденты с мостами накапливают более 328 000 000 $ потерь (CertiK Skynet (CertiK)), которые нередко каскадируют по цепочкам быстрее, чем управление успевает отреагировать.

Управление ключами, соответствующее реалиям 2026 года

Выбирайте примитивы, которые отказывают плавно

EOA с единственным подписантом ненадёжны. Переходите к схемам, требующим сговора или владения несколькими устройствами. Разные варианты стека жертвуют задержкой ради безопасности; согласуйте их с вариантами использования.

Метод | Сильные стороны | Слабые стороны | Лучшее применение | EOA с аппаратным обеспечением | Простота; надёжное офлайн-хранение сида; привычный UX | Единая точка отказа; фишинг по-прежнему эффективен; слабый контроль политики | Личные средства; нечастые административные операции | Мультиподпись (он-чейн N-of-M) | Устойчивость к потере одного устройства; прозрачность; гибкие пороги | Усталость подписантов; задержка координации; накладные расходы на он-чейн комиссии | Казначейство, управление, хранилища с высокой стоимостью | Кошельки MPC/TSS | Полный ключ никогда не существует; механизмы политик; разнообразие устройств | Сложность настройки; риск вендора; требуется планирование аварийного восстановления | Институциональные казначейства; столы маркет-мейкинга | Абстракция аккаунта (смарт-аккаунты) | Программируемые политики; сессионные ключи; социальное восстановление | Зрелость инструментов варьируется по цепочкам; зависимость от ретрансляторов/paymasters | UX dapp, повторяющиеся действия, применение политик на цепочке | Хранение с временной блокировкой | Задержка крупных оттоков; потенциальное право вето сообщества/хранителей | Медленное выполнение; требуется мониторинг; потенциальные векторы цензуры | Казначейства DAO; мосты; активы под управлением протокола

Политика важнее импровизации

Определите явные политики транзакций:

• Многоуровневые пороги: более крупные переводы требуют больше подписантов или временной задержки.
• Контекстно-зависимые проверки: блокируйте получателей впервые выше определённого лимита; требуйте второй фактор для новых маршрутов.
• Лимиты скорости: дневные и недельные ограничения оттока на актив и на контрагента.
• Разделение обязанностей: разные люди одобряют создание новых подписантов и действия по расходованию.

Мосты, казначейства и временные блокировки: уменьшение радиуса поражения

Проектируйте для сдерживания, а не совершенства

Учитывая устойчивость инцидентов с мостами в 2026 году, структурируйте операции так, чтобы единственный скомпрометированный компонент не мог опустошить системные средства (CertiK Skynet (CertiK)).

• Шардируйте ликвидность: держите оборотный капитал на горячих путях; размещайте резервы за более строгими политиками.
• Используйте поэтапные кошельки: казначейство → тёплое хранилище → горячие операции; переводите средства только по мере необходимости.
• Внедрите он-чейн задержки: блокируйте по времени высокоценные пути с публичными оповещениями для проверки сообществом.
• Требуйте списки разрешённых контрагентов для контрактов мостов и кастодиальных конечных точек.
• Предварительно одобрите аварийные выключатели: приостанавливаемые модули, автоматические выключатели или рисковые оракулы для заморозки аномальных потоков.

Мониторинг «неизвестных неизвестных»

Эвристика в реальном времени важнее дашбордов. Отмечайте аномалии: переводы в нетипичные часы, скачки в использовании газа, новые расходники, взаимодействующие с привилегированными контрактами, или дрейф геолокации подписанта.

Обложка отчёта CertiK Skynet 2026 Stablecoin Threat Intelligence Report (3 июня 2026 года); в отчёте задокументировано, что компрометация кошельков/ключей теперь составляет наибольшую долю потерь 2026 года и что инциденты с мостами превысили 328 000 000 $ — что подчёркивает сдвиг от уязвимостей кода смарт-контрактов к ключевым/операционным рискам. — Источник: CertiK Skynet (CertiK)

Реагирование на инциденты, которое должна отрепетировать каждая команда DeFi

Пятиминутный план на случай компрометации ключа

1. Заморозьте всё, что можно: приостановите модули, отзовите разрешения и остановите ретрансляторы мостов, если это позволяют политики.
2. Смените подписантов: повысьте заранее назначенные аварийные ключи; понизьте подозреваемые устройства.
3. Изолируйте инфраструктуру: поместите ноутбуки в карантин, отключите SSO-токены, смените API ключи для маркет-мейкеров и ботов.
4. Сообщайте чётко: опубликуйте заявление об инциденте с задействованными адресами; координируйте работу с биржами и аналитическими компаниями.
5. Законно верните средства: свяжитесь с площадками, подайте запросы на удаление там, где это уместно, и работайте с провайдерами трассировки.

Предварительные учения и артефакты

Храните зашифрованный сценарий реагирования, обновлённые деревья контактов и предварительно подписанные аварийные транзакции, требующие только финального подтверждения. Регулярно проверяйте подписантов на сценариях «настольных учений» с ложными, но реалистичными оповещениями, чтобы снизить панику в реальной ситуации.

Риски и что может пойти не так

• Ложная безопасность от аудитов: прохождение аудитов может скрывать слабые ключевые церемонии и гигиену устройств.
• Неправильная конфигурация MPC: плохое распределение шардов или восстановление может заново создать единые точки отказа.
• Усталость людей: подписанты мультиподписи одобряют на автопилоте, минуя должную осмотрительность.
• Зависимость от мостов: кросс-чейн ликвидность усиливает заражение, когда один маршрут выходит из строя.
• Атаки на цепочку поставок: скомпрометированные расширения, обновления кошельков или CI-системы приводят к утечке секретов.
• Захват управления: вредоносные предложения проскальзывают через кворумы с низкой явкой избирателей в системах с временной блокировкой.
• Регуляторные заморозки: действия контрагентов или чёрные списки могут обездвижить активы в процессе реагирования.

Для постоянного освещения безопасности, разбора инцидентов и комментариев по рискам в разных цепочках Crypto Daily отслеживает эти события и их влияние на рынок практически в реальном времени (Crypto Daily).

Часто задаваемые вопросы

Устарели ли аудиты смарт-контрактов теперь, когда ИИ усиливает социальную инженерию?

Нет. Аудиты по-прежнему необходимы для устранения известных рисков кода и укрепления путей обновления. Суть в приоритетах: аудиты не могут защитить ключи, устройства или ежедневные подтверждения. Сочетайте проверенный аудитом код с усиленным управлением ключами, мониторингом во время выполнения и учениями по реагированию на инциденты.

В чём практическая разница между мультиподписью и MPC/TSS для команд?

Мультиподпись применяет пороги он-чейн; каждый подписант держит полный приватный ключ. MPC/TSS вычисляет подписи из шардов ключей, так что полный ключ никогда не существует в состоянии покоя. Мультиподпись прозрачна и проста, но может быть медленнее; MPC предлагает механизмы политик и разнообразие устройств, но добавляет сложность настройки и зависимость от вендора.

Как защитить горячие кошельки, используемые ботами и маркет-мейкерами?

Ограничивайте балансы; часто меняйте сессионные ключи; ограничивайте разрешения до минимально необходимых; изолируйте среды выполнения; применяйте политики скорости и времени суток. Предпочитайте смарт-аккаунты с сессионными ключами или подписантов на основе MPC, которые можно быстро отозвать без раскрытия сидов казначейства.

Какие меры контроля снижают ущерб, если подписант стал жертвой фишинга?

Многоуровневые пороги, временные блокировки для крупных переводов, списки разрешённых адресов и обнаружение аномалий, останавливающее транзакции вне политики. Держите резервы в отдельных более строгих хранилищах, чтобы скомпрометированный горячий путь не мог опустошить казначейство.

Достаточно ли зрела абстракция аккаунта для казначейств?

Для некоторых цепочек и вариантов использования — да, особенно там, где программируемость политик и сессионные ключи добавляют ценность. Для крупных казначейств многие команды сочетают смарт-аккаунты с мультиподписью или MPC для многоуровневой защиты, пока инструментарий и стандарты продолжают развиваться.

За какими метриками следить в 2026 году?

Степень воздействия подтверждений по активам, события новых расходников, аномалии поведения подписантов (время/геолокация), концентрация маршрутов мостов и готовность к восстановлению (время смены подписантов, время приостановки модулей). Отслеживайте тенденции эксплойтов — компрометации кошельков превзошли баги кода по стоимости в этом году согласно CertiK Skynet (CertiK).

Как часто нужно репетировать реагирование на инциденты?

Не реже раза в квартал, с внезапными учениями для критически важных ролей. Относитесь к упражнениям как к культурной практике: первые пять минут определяют, сдержите ли вы утечку или усугубите её.

Отказ от ответственности: эта статья предоставлена исключительно в информационных целях. Она не предлагается и не предназначена для использования в качестве юридических, налоговых, инвестиционных, финансовых или иных советов.