Ключові висновки
- Дані DeFi Llama підтверджують, що квітень 2026 року встановив рекорд за кількістю інцидентів із зломом криптовалют за один місяць
- Аналітики з безпеки задокументували понад 24 окремі зломи, що призвели до сукупних збитків на суму понад 600 мільйонів доларів
- Kelp DAO зазнав найруйнівнішої атаки місяця, втративши 292 мільйони доларів у результаті експлойту
- Drift Protocol зазнав другого за величиною злому на суму понад 280 мільйонів доларів, який згодом виявився витонченою шестимісячною розвідувальною операцією
- Дослідники безпеки виявили активний експлойт 30 квітня, спрямований проти неактивних гаманців Ethereum
Індустрія криптовалют пережила найтемніший розділ своєї історії у квітні 2026 року, встановивши безпрецедентний рекорд за кількістю порушень безпеки. Хоча загальна сума вкрадених коштів не перевищила попередні рекордні місяці, частота атак досягла історичного рівня. Аналітична платформа DeFi Llama задокументувала, що кількість інцидентів із експлойтами вперше в історії криптовалют впевнено перевищила 20.
Галузевий аналітик Стейсі Муур виявила щонайменше 24 окремі інциденти з безпекою до кінця місяця, підрахувавши сукупні збитки на суму понад 600 мільйонів доларів.
Найкатастрофічніший злом місяця стався на Kelp DAO — платформі децентралізованих фінансів (DeFi), внаслідок чого було викрадено активи на суму 292 мільйони доларів. Цей масштабний експлойт підняв тривогу щодо потенційного ризику безнадійних боргів в Aave, що вважається одним із найвідоміших протоколів кредитування в екосистемі DeFi. Кілька суб'єктів мобілізувалися з екстреним фінансуванням і внесками для покриття дефіциту.
Drift Protocol, платформа для торгівлі безстроковими контрактами, побудована на Solana, зазнала другої за величиною шкоди атаки місяця зі збитками понад 280 мільйонів доларів. Команда Drift згодом уточнила, що злом не був звичайною вразливістю смарт-контракту. Вони охарактеризували його як «структуровану розвідувальну операцію», яку зловмисники ретельно організовували протягом приблизно півроку.
Атаки на людей випереджають технічні експлойти
Методології атак, що застосовувалися протягом квітня, стали центром уваги аналітиків з безпеки. Спостерігач за криптовалютами під псевдонімом CuriousCrypto в X наголосив, що ні Drift, ні Kelp DAO не стали жертвами помилок у коді чи вразливостей смарт-контрактів. Натомість зловмисники використовували тактики соціальної інженерії, щоб скомпрометувати осіб, які мають доступ до адміністративних ключів.
Це представляє критичний зсув у схемах атак. Вдосконалені процедури аудиту коду та технічні заходи безпеки виявилися б неефективними проти цих векторів атак, спрямованих на людей.
Hyperbridge, протокол, рідний для екосистеми Polkadot, також став жертвою зловмисників у квітні, втративши 2,5 мільйона доларів. Зловмисник спочатку вилучив близько 245 ETH, перш ніж розгорнути підроблене кросчейн-повідомлення для обходу критичної перевірки безпеки. Це маніпулювання дозволило йому створити приблизно один мільярд зв'язаних токенів DOT, які згодом були ліквідовані на біржах.
Давно неактивні гаманці Ethereum стали мішенню масового спустошення
Аналітик з безпеки блокчейну Wazz підняв тривогу 30 квітня щодо того, що, схоже, було поточним експлойтом, спрямованим проти основної мережі Ethereum. Сотні адрес гаманців, багато з яких були неактивні понад сім років, були систематично спустошені однією адресою зловмисника за стислий проміжок часу.
Сумнозвісна група Lazarus, кіберзлочинна організація, пов'язана з Північною Кореєю, за повідомленнями, була відповідальна приблизно за 95% сукупних фінансових втрат квітня, згідно зі звітами з безпеки. Раніше цей колектив був причетний до масштабного злому Bybit на суму 1,4 мільярда доларів, що стався у лютому 2025 року.
Хоча історичні дані DeFi Llama показують три окремі місяці, коли збитки від криптовалют перевищували 1 мільярд доларів у загальній вартості, значення квітня 2026 року полягає в безпрецедентній кількості окремих атак, а не в сукупних сумах у доларах.
30 квітня Arbitrum DAO ініціював голосування щодо управління для авторизації вивільнення 30 766 заморожених ETH для DeFi United — дія, безпосередньо пов'язана з вирішенням наслідків інциденту з Kelp DAO.
Публікація «Квітень 2026: криптовалюта зазнала рекордної хвилі хакерських атак» вперше з'явилася на Blockonomi.
Джерело: https://blockonomi.com/april-2026-cryptocurrency-suffers-record-breaking-wave-of-hacking-incidents/
