Анализ уязвимостей безопасности в криптоиндустрии: 20 типичных атак раскрывают три основные закономерности

博链BroadChain узнал, что 21 апреля в 18:16, в апреле 2026 года, Kelp DAO из-за того, что злоумышленники использовали немаржинальные токены для займа реальных активов на Aave, за 46 минут вызвали безнадежную задолженность на сумму более 200 миллионов долларов, убытки составили 292 миллиона долларов. Это лишь один из недавних серийных инцидентов безопасности: Drift Protocol был взломан на 285 миллионов долларов, Step Finance потерял около 30 миллионов долларов, Resolv Labs потерял около 23 миллионов долларов и другие случаи происходили один за другим. Анализируя 20 репрезентативных случаев взломов в истории и в последнее время, можно наблюдать три заметные закономерности: количество случаев технических уязвимостей преобладает, но убытки от каждого случая относительно ограничены; хотя случаев атак на права и социальной инженерии меньше, они составляют подавляющую часть общих убытков; масштабы атак на права продолжают расти. Примечательно, что за четырьмя крупнейшими инцидентами стоят северокорейские хакерские группы, а поле битвы технических уязвимостей смещается, особенно выделяются проблемы безопасности в области кросс-чейн мостов. Среди проектов, вошедших в топ-10 по размеру убытков, Bybit был взломан в феврале 2025 года на 1,5 миллиарда долларов из-за того, что северокорейская хакерская группа Lazarus Group через захват интерфейса и мошенничество с мультиподписью взломала механизм мультиподписи Safe Wallet; Ronin Network в марте 2022 года потерял 624 миллиона долларов, также из-за того, что Lazarus Group через социальную инженерию получила контроль над приватными ключами валидационных узлов; Poly Network в августе 2021 года был взломан на 611 миллионов долларов, основная причина — серьезные уязвимости в управлении правами кросс-чейн контрактов; Wormhole в феврале 2022 года потерял 326 миллионов долларов из-за использования устаревших и небезопасных функций в процессе проверки подписи; Drift Protocol в апреле 2026 года был взломан на 285 миллионов долларов, злоумышленники провели целенаправленную проникновение в течение шести месяцев в сочетании с мошенничеством с предварительной подписью Solana Durable Nonce; WazirX в июле 2024 года потерял 235 миллионов долларов из-за постепенного взлома мультиподписного кошелька и замены его на вредоносный контракт; Cetus в мае 2025 года потерял 223 миллиона долларов, атака использовала уязвимость арифметического переполнения в расчете ликвидности протокола; Gala Games в мае 2024 года потеряла 216 миллионов долларов, основная причина — взлом приватного ключа высокопривилегированного аккаунта для чеканки; Mixin Network в сентябре 2023 года потеряла 200 миллионов долларов из-за кражи приватных ключей, централизованно хранящихся в облачной базе данных; Euler Finance в марте 2023 года потеряла 197 миллионов долларов, атака использовала несоответствие логики расчета внутренних активов и обязательств протокола. Среди десяти недавних инцидентов Hyperbridge в апреле 2026 года потеряла около 2,5 миллионов долларов из-за дефектов логики проверки доказательств Token Gateway; Venus Protocol в марте 2026 года потеряла от 3,7 до 5 миллионов долларов, злоумышленники обошли проверку supply cap и использовали уязвимость логики расчета обменного курса для получения прибыли.