Эволюция моделей атак в криптоиндустрии на примере 20 инцидентов безопасности

博链BroadChain узнал, что 21 апреля в 19:00, в апреле 2026 года, Kelp DAO понес убытки в размере 292 миллионов долларов из-за того, что злоумышленник использовал немаржинальные токены для займов на Aave, что является лишь одним из недавних серийных инцидентов безопасности. От Drift Protocol с убытками в 285 миллионов долларов до Step Finance с примерно 30 миллионами долларов и Resolv Labs с примерно 23 миллионами долларов, отрасль сталкивается с постоянными проблемами безопасности. Анализ 20 репрезентативных случаев в истории позволяет наблюдать несколько ключевых тенденций: хотя технические уязвимости составляют большинство, убытки от отдельных инцидентов относительно ограничены, в то время как атаки, связанные с правами доступа и социальной инженерией, хотя и менее часты, составляют подавляющую часть общих убытков. Масштабы атак, связанных с правами доступа, продолжают расти, и четыре крупнейших инцидента связаны с северокорейскими хакерскими группами. В то же время поле битвы технических уязвимостей смещается, особенно выделяются проблемы безопасности кросс-чейн мостов. Среди топ-10 проектов по убыткам: Bybit в феврале 2025 года потерял 1,5 миллиарда долларов из-за северокорейской хакерской группы Lazarus Group, использовавшей перехват фронтенда и мошенничество с мультиподписью; Ronin Network в марте 2022 года потерял 624 миллиона долларов из-за атаки социальной инженерии; Poly Network в августе 2021 года потерял 611 миллионов долларов из-за уязвимости прав доступа в кросс-чейн контракте; Wormhole в феврале 2022 года потерял 326 миллионов долларов из-за уязвимости проверки подписи; Drift Protocol в апреле 2026 года потерял 285 миллионов долларов из-за целевого проникновения и схемы предварительной подписи; WazirX в июле 2024 года потерял 235 миллионов долларов из-за постепенного взлома мультиподписного кошелька; Cetus в мае 2025 года потерял 223 миллиона долларов из-за уязвимости арифметического переполнения; Gala Games в мае 2024 года потерял 216 миллионов долларов из-за утечки приватного ключа учетной записи с высокими правами доступа; Mixin Network в сентябре 2023 года потерял 200 миллионов долларов из-за утечки приватного ключа облачной базы данных; Euler Finance в марте 2023 года потерял 197 миллионов долларов из-за несоответствия внутренней логики расчетов, использованного в flash-займе. Среди недавних случаев Hyperbridge в апреле 2026 года потерял около 2,5 миллионов долларов из-за дефекта логики проверки доказательств, а Venus Protocol в марте 2026 года потерял от 3,7 до 5 миллионов долларов. Эти инциденты показывают, что модели атак смещаются от простых уязвимостей смарт-контрактов к более сложным комбинированным атакам, направленным на слабые места взаимодействия человека и машины и управление правами доступа.