В апреле 2026 года сектор DeFi столкнулся с самым серьезным кризисом доверия за последние годы. Согласно данным таких организаций, как CertiK, в этом месяце из-за хакерских атак, эксплуатации уязвимостей и других инцидентов было нанесено ущерба на сумму примерно 6,34–6,51 миллиарда долларов, что более чем в десять раз превышает взрывной рост в 59,5 миллиона долларов в марте и установило рекорд по одновременным потерям за месяц с марта 2022 года. Еще более тревожным является тот факт, что в этом месяце произошло 31 отдельное событие атаки, почти ежедневно, что обновило рекорд по частоте атак и суммарным потерям в истории DeFi.

Два крупнейших инцидента, оказавшихся в центре этого штормового кризиса — KelpDAO и Drift Protocol — вместе забрали более 90% украденных активов за месяц. KelpDAO был взломан из-за уязвимости в единственном валидаторе межцепочечного моста, злоумышленник обошел механизмы безопасности и создал токены rsETH на сумму 292 миллиона долларов, а затем заложил эти токены в платформах кредитования, таких как Aave, чтобы занять реальные эфиры. Эта операция не только поставила под угрозу около 200 миллионов долларов потенциальных безнадежных долгов в Aave, но и вызвала за 24 часа вывод более 8 миллиардов долларов с платформы, что привело к снижению общего заблокированного объема (TVL) примерно на 32%. Следующий за этим инцидент с Drift Protocol также был шокирующим: злоумышленник, используя шесть месяцев разведки и проникновения, в конечном итоге украл ключ администратора и перевел активы на сумму около 285 миллионов долларов. Оба случая связывают с группой Lazarus, которая, по всему видно, действует из Северной Кореи; характер их действий в блокчейне в этих атаках совпадает с ранее зафиксированными.

Этот цикл кризиса безопасности не является случайностью, а результатом долгосрочной модели развития DeFi, ориентированной на максимизацию эффективности. Он в корне выявил три системных риска: во-первых, критические недостатки в механизмах проверки межцепочечных мостов, где архитектура с одним валидатором ставит под угрозу миллионы долларов, полагаясь на безопасность одного приватного ключа; при этом инцидент с мостом Ronin в 2022 году уже предупреждал о подобных рисках, но отрасль их игнорировала. Во-вторых, социальная инженерия и долгосрочные скрытые атаки становятся новыми угрозами, методы атак эволюционировали от простых уязвимостей к комплексным проникновениям в права персонала и процессы. В-третьих, возможность комбинирования протоколов в DeFi усиливает как доходность, так и риски — уязвимость одного протокола может быстро перерасти в цепную реакцию, затрагивающую несколько протоколов одновременно.

Реакция рынка также была очень острой. За короткое время из сектора DeFi было выведено около 13 миллиардов долларов TVL, депозит в Aave снизился на 38%, а цена токена AAVE упала на 15–21%. Средства явно перетекли из высокорискованных протоколов в более зрелые платформы кредитования или централизованные хранилища. Глубже всего влияние ощущается на уровне доверия институциональных инвесторов: JPMorgan четко указал, что постоянные уязвимости и застой в росте TVL значительно снижают привлекательность DeFi для крупных игроков. В то же время, Standard Chartered, несмотря на оптимизм по поводу долгосрочных перспектив рынка RWA (реальных активов), признает необходимость структурных улучшений в межцепочечных рисках.