Квітень уже побачив понад $600m краденого через DeFi, мости та гаманці, перетворюючи безпеку з питання протоколу‑рівня на повномасштабний ринковий ризиковий преміум.

Резюме

• Крипто-протоколи вже втратили понад $600m через зломи в квітні, очолювані $292m краденим з KelpDAO та $285m з Drift Protocol.
• Експлойти тепер охоплюють смарт-контракти, інфраструктуру та соціальне інженерство, включаючи кампанії на основі ШІ проти гаманців, таких як Zerion.
• Між 11:00 та 13:00 за UTC, середньокапні назви DeFi зазнали капітуляційних продажів, оскільки ринки деривативів враховували постійний “ризиковий преміум безпеки”.

Нові агреговані дані показують, що крипто-протоколи вже втратили понад $606m через зломи за перші 18 днів квітня, зробивши цей місяць найгіршим за кількістю експлойтів з лютого 2025 року і піднявши річний показник 2026 року понад $770 млн. За даними DefiLlama, щонайменше 13 протоколів були скомпрометовані цього місяця, причому лише KelpDAO і Drift Protocol становили близько 95% збитків квітня і приблизно 75% загального за 2026 рік.

KelpDAO, протокол ліквідного стейкінгу на Ethereum, зазнав атаки 18 квітня, яка злила близько 116 500 rsETH, оцінюваних приблизно у $292 млн, після того, як зловмисник підробив міжланцюгові повідомлення, щоб обдурити контракт моста LayerZero EndpointV2 і випустити резерви. Drift, найбільша децентралізована біржа перпетуалів на Solana, був атакований 1 квітня у тому, що регіональні ЗМІ назвали “складною” експлуатацією, втративши близько $285m у тому, що тепер є другим за величиною порушенням безпеки в історії Solana після злома $326m Wormhole у 2022 році.

Від помилок у контрактах до соціального інженерства на основі ШІ

Остання хвиля зломів не обмежується помилками у смарт‑контрактах або примітивами повторного стейкінгу. Інциденти торкнулися рівнів маршрутизації та інфраструктури, таких як Hyperbridge, а також фронтенд і DevOps провайдерів, наприклад Vercel, де зловмисники отримали доступ до внутрішніх систем і нібито продають викрадені дані для $2m для підтримки “глобальних атак на ланцюги поставок”.

З людської сторони, провайдер гаманців Zerion повідомив, що його цілеспрямовано атакували хакери з Північної Кореї, які використовували ШІ‑підсилені довгострокові кампанії соціального інженерства для компрометації ключів гарячих гаманців, викравши близько $100 000, залишивши при цьому кошти користувачів і основну інфраструктуру недоторканими. Alliance (SEAL) ідентифікувала щонайменше 164 зловмисних доменів, пов’язаних з групою UNC1069, що має зв’язки з DPRK, описуючи її тактику як визначену “терпінням, точністю і цілеспрямованою озброєністю існуючих довірчих відносин”.

Дані галузі з попередніх випадків, таких як $70m злом гарячого гаманця на біржі Phemex у 2025 році, вже підкреслювали схильність акторів, пов’язаних з Північною Кореєю, швидко конвертувати викрадені USDT і USDC у ETH, щоб уникнути чорних списків, і цей патерн, за словами влади, продовжується і в 2026 році.

Структура ринку реагувала у реальному часі, коли зломи квітня накопичувалися. Між 11:00 та 13:00 за UTC у ключові дні новин книги ордерів у слабших середньокапних назвах DeFi демонстрували класичні ознаки “капітулювання”: одноденні зниження приблизно на 5–8%, тонкі пропозиції і явна ротація у протоколи з більш чистими історіями безпеки. Відкриті ринки деривативів побачили м’яко негативне фінансування кошиків для DeFi, тоді як ліквідність спот зменшилася, що є характерним для конфігурації, яку дески асоціюють із широким “податком на безпеку” ризикових активів, а не із ізольованими ідіосинкразіями.

Для трейдерів це означає, що безпека стала явним фактором: відмовлятися від використання левередженного DeFi-бета на новинах про зломи, залишатися довгими на централізованих майданчиках і інфраструктурі, що монетизує волатильність, і тримати резерви для примусових продавців, коли поганий борг і знецінення будуть повністю зафіксовані в ланцюгу.