12 Протоколів Зламано за 15 Днів Після Експлойту Drift на $280 млн
Дванадцять крипто-протоколів і компаній зламано трохи більш ніж за два тижні. Це приблизно один інцидент кожні 28 годин у стеку DeFi та CeFi, починаючи з дня, наступного після експлойту Drift Protocol на 280 мільйонів доларів 1 квітня. Для контексту: Q1 2026 вже зафіксував викрадення $168,6 мільйона з 34 протоколів, тож цей квітневий відрізок сам по собі розвивається з темпом, який перевищить весь попередній квартал, якщо так продовжиться.
Інциденти тематично неоднорідні. Деякі — маніпуляції з оракулами, деякі — порушення контролю доступу, деякі — чиста соціальна інженерія проти людей, що тримають ключі. Їх об'єднує час і, принаймні у двох випадках, атрибуція.
Що Сталося
Тригерною подією став Drift. Як повідомляє CoinMarketCap, експлойт Drift Protocol 1 квітня виснажив $280 мільйонів через те, що слідчі описують як тривалу атаку соціальної інженерії, а влада підозрює причетність акторів, пов'язаних із Північною Кореєю. Це не історія про баг у смарт-контракті. Це компрометація людини в ланцюжку, що завершилась підписаними транзакціями.
Подальше нагадує список цілей, що проробляється у Q2. CoW Swap, Hyperbridge, Bybit, Dango, Silo Finance, Aethir, MONA, Zerion, Rhea Finance та Grinex — усі фігурують у переліку. Два найновіші, Rhea та Grinex, разом становлять близько $21 мільйона.
Rhea Finance у четвер оголосила, що зловмисник вдарив по функції Margin Trading через скоординовану маніпуляцію пулом проти смарт-контракту Rhea Lend. CertiK оцінив збиток приблизно у $7,6 мільйона. Механізм, за версією CertiK: зловмисник розгорнув фіктивні контракти токенів, засіяв ліквідність у нові пули та використав ці пули, щоб ввести в оману оракул протоколу та рівень валідації.
Того ж дня пов'язана з Росією біржа Grinex призупинила операції після зламу на $13,7 мільйона, який вона приписала «недружнім державам» без подальшої атрибуції. Раніше цього місяця: Silo Finance втратив $392 000 3 квітня через неправильно налаштований оракул, Aethir втратив $423 000 9 квітня через експлойт контролю доступу, а агрегатор мостів Dango втратив $410 000 13 квітня через баг у смарт-контракті. Інцидент Zerion, поряд із Drift, приписується групам, пов'язаним із КНДР, які використовували соціальну інженерію з підтримкою AI для викрадення облікових даних і коштів.
Джерело не розкриває точний вектор для CoW Swap, Hyperbridge, Bybit або MONA у цьому кластері, що важливо, оскільки ми поки не можемо сказати, чи є вони варіантами тієї самої кампанії соціальної інженерії, чи опортуністичними наслідувачами, які їдуть на хвилі новинного циклу. Межа встановлена атрибуцією: щонайменше два з дванадцяти підтверджено пов'язані з КНДР.
Технічна Анатомія
Три класи атак домінують у цьому кластері, і вони відображають різні частини стека.
По-перше, маніпуляція оракулами та пулами. Rhea Finance — підручний приклад: запустити фіктивні ERC-подібні контракти токенів, забезпечити ліквідність у новий пул, а потім використати цей пул як цінове посилання, якому довіряє оракул протоколу або логіка валідації. Якщо контракт кредитування зчитує спотову ціну без меж перевірки або приймає пул як канонічний без білого списку лістингу, зловмисник генерує позикову потужність із тонкої ліквідності. Збиток Silo Finance у $392 000 лежить у тій самій сім'ї — неправильно налаштований оракул, а не новий примітив експлойту. Власна документація оракулів Chainlink роками застерігала саме від цієї схеми, зокрема від використання необмежених спотових AMM-цін як заставних посилань.
По-друге, контроль доступу. Збиток Aethir у $423 000 стався через експлойт контролю доступу на децентралізованій платформі GPU-обчислень. Це нудний, але високочастотний клас: привілейована функція без належного модифікатора, призначення ролі, яке ніколи не було відкликано, адмін-ключ із ширшим охопленням, ніж передбачала модель загроз. Це також клас, який статичні аналізатори надійно виявляють, — саме тому кожен із цих випадків є збоєм процесу, а не браком знань.
По-третє, і це те, через що CTO мають не спати вночі: соціальна інженерія з підтримкою AI. Drift і Zerion обидва ведуть до груп, пов'язаних із КНДР, які використовують AI-інструменти для вилучення облікових даних і коштів. Це якісно відрізняється від бага в Solidity. Поверхня атаки — це ваш конвеєр найму в інженерний відділ, ваш Slack, ваш Telegram, ваші дзвінки в Zoom із фіктивними кандидатами або фіктивними аудиторами. Клонування голосу та LLM-керована розмовна наполегливість перетворюють двотижневу фішинг-операцію на дводенну. Жодна формальна верифікація на рівні контракту не захищає від підписанта, якого соціально спроектували на схвалення шкідливого оновлення або переміщення коштів на мультипідпис, контрольований зловмисником.
Мій висновок: вікно від Drift до Rhea — не випадковий кластер. Це те, що відбувається, коли добре забезпечена група застосовує ту саму схему дій проти списку цілей паралельно, причому експлойти смарт-контрактів (Rhea, Silo, Aethir, Dango) забезпечують шумове прикриття для більш цінних компрометацій на людському рівні.
Хто Постраждає
Протоколи кредитування та маржинальної торгівлі з безпозвільним лістингом перебувають на вершині списку впливу. Режим відмови Rhea — фіктивний контракт токена у новий пул і далі до зчитування оракула — узагальнюється на будь-який протокол кредитування, який дозволяє користувачам запускати нові ринки або розглядає пул із низькою ліквідністю як дійсне джерело ціни. Якщо ваш протокол має поверхню «лістинг будь-якого токена» та спільний контракт оракула, слід вважати, що цього місяця ви є в чиємусь списку цілей.
Наступні — мости та крос-чейн агрегатори. Збиток Dango у $410 000 невеликий у доларовому вираженні, але мости концентрують цінність і припущення про довіру, а поява Hyperbridge у списку кластера свідчить про активне сканування цієї категорії. Прогноз на 90 днів для команд мостів: очікуйте переоцінки страхових премій, очікуйте вимог від інституційних контрагентів щодо нових аудитів, і очікуйте принаймні ще одного інциденту до кінця кварталу.
Централізовані біржі вразливі в іншому вимірі. Bybit і Grinex обидва фігурують у списку, а збиток Grinex у $13,7 мільйона з формулюванням «недружні держави» говорить про те, що геополітична атрибуція тепер є частиною шаблону реагування на інциденти, а не виноскою. Біржі, що тримають баланси гарячих гаманців для маркет-мейкінгу, є найціннішими одиночними цілями в екосистемі, і групи КНДР історично надають їм пріоритет.
Постачальники інфраструктури, як-от Aethir, знаходяться в незручній середині. Грошовий збиток скромний, але експлойти контролю доступу на обчислювальній платформі є ризиком ланцюжка постачання для кожного навантаження, що працює поверх. Якщо GPU-хмару можна скомпрометувати за $423 000, питання не в збитку, а в тому, що зловмисник із root-доступом до інфраструктури інференсу міг би зробити далі. Джерело не розкриває, чи постраждали навантаження клієнтів, — а це ключова невідома для всіх, хто будує на цьому рівні.
Перевірюваний прогноз: якщо ця схема продовжиться, до кінця Q2 2026 слід очікувати щонайменше трьох інцидентів, приписаних КНДР, проти цілей DeFi або CeFi, а середній збиток за інцидент у цій підгрупі має перевищувати $50 мільйонів.
Дорожня карта для Крипто та DeFi
Цього тижня, а не наступного кварталу, інженерні команди та керівники з безпеки мають зробити чотири речі.
Перше: проаудіюйте конфігурацію оракула для будь-якого ринку, де новий пул із низькою ліквідністю може впливати на цінову стрічку. Якщо ваш контракт кредитування зчитує спотову ціну з AMM без вікна TWAP, порогу ліквідності або білого списку лістингу — це режим відмови Rhea, і він експлуатується вже сьогодні. Обмежте зчитування перевірками на адекватність, навіть якщо ви довіряєте висхідному фіду.
Друге: ставтеся до конвеєра найму в інженерний відділ і до онбордингу постачальників як до поверхні атаки. Схема дій КНДР тепер включає персонажів, підтримуваних AI, які витримують багатотижневі цикли співбесід. Вимагайте очних або верифікованих відео-фіналів для всіх, хто матиме доступ до ключів підпису або виробничої інфраструктури. Вважайте будь-яке небажане повідомлення від «аудитора» або «дослідника безпеки» ворожим, доки не доведено зворотне.
Третє: зменшіть радіус ураження від будь-якого окремого підписанта. Якщо порогові значення вашого мультипідпису не переглядалися з часу останнього раунду фінансування — вони застаріли. Урок Drift полягає в тому, що соціальна інженерія не перемагає криптографію — вона перемагає управління. Time-locked оновлення, обов'язкові вікна перевірки для привілейованих викликів і розділення зберігання ключів від їхнього використання — все це знижує цінність єдиного скомпрометованого людського ресурсу.
Четверте: проведіть аудит контролю доступу. Клас експлойту Aethir — найдешевший у запобіганні та найчастіше ігнорований. Кожна привілейована функція, кожна роль, кожен адмін-ключ. Slither, статичні аналізатори та свіжий погляд виявляють більшість із них за день.
Ключові Висновки
- Дванадцять протоколів зламано приблизно за 15 днів після експлойту Drift на $280M — темп, який перевищить загальний показник Q1 2026 у $168,6M по 34 протоколах, якщо збережеться.
- Rhea Finance ($7,6M) і Grinex ($13,7M) разом становлять близько $21M найсвіжіших втрат: Rhea — через маніпуляцію оракулом із фіктивним токеном, Grinex — розпливчасто приписана «недружнім державам».
- Drift і Zerion обидва приписані групам, пов'язаним із КНДР, що використовують соціальну інженерію з підтримкою AI, — це зміщує основну поверхню атаки з Solidity на людей, які тримають ключі.
- Менші інциденти (Dango $410K, Silo $392K, Aethir $423K) відносяться до добре відомих класів: баги смарт-контрактів, неправильна конфігурація оракула, контроль доступу. Всі є збоями процесу, а не новими примітивами.
- Невирішене питання з перевірюваною межею: ми поки не знаємо вектора атаки для CoW Swap, Hyperbridge, Bybit або MONA у цьому кластері. Якщо більше половини з них виявляться пов'язаними з соціальною інженерією КНДР, це скоординована кампанія, а не кластер.
Часті Запитання
Q: Що спричинило експлойт Rhea Finance?
За версією CertiK, зловмисник здійснив скоординовану маніпуляцію пулом проти смарт-контракту Rhea Lend, створивши фіктивні контракти токенів і засіявши ліквідність у нові пули. Ця фіктивна ліквідність, найімовірніше, ввела в оману оракул протоколу та рівень валідації, дозволивши зловмиснику вилучити приблизно $7,6 мільйона через функцію Margin Trading.
Q: Чи всі дванадцять нещодавніх крипто-експлойтів пов'язані з Північною Кореєю?
Ні. Лише Drift Protocol і Zerion явно приписані групам, пов'язаним із КНДР, що використовують соціальну інженерію з підтримкою AI. Вектори атак для інших інцидентів у кластері різняться: Silo Finance — неправильно налаштований оракул, Aethir — контроль доступу, Dango — баг у смарт-контракті, а Grinex — приписаний самою біржею «недружнім державам» без конкретики.
Q: Скільки було викрадено з DeFi-протоколів у 2026 році на сьогодні?
Зловмисники викрали понад $168,6 мільйона з 34 DeFi-протоколів у Q1 2026. Квітнева хвиля після експлойту Drift на $280 мільйонів суттєво додає до цієї цифри: лише Rhea Finance і Grinex разом становлять близько $21 мільйона в найсвіжіших збитках.
Crossmint отримав ліцензію PSD2 на додаток до MiCA для стейблкоїнів у ЄС
Crossmint тепер має обидві авторизації MiCA та PSD2 в Іспанії, об'єднуючи зберігання активів і платежі в одного регульованого контрагента для фінтех-компаній ЄС.
Закон GENIUS та DEX агрегатори: проблема KYC, яку ніхто не вирішив
Аналіз того, що вимоги KYC до стейблкоїнів за законом GENIUS означають для DEX агрегаторів та DeFi-розробників у найближчі 12–24 місяці.
Binance виходить з Європи після попередження регулятора про ризики фінансових злочинів
Binance відключає європейських користувачів після того, як регулятор вказав на ризики фінансових злочинів. Що це означає для крипто-команд, кастодіанів та комплаєнс-стеків.




