В первом квартале 2026 года Web3-проекты потеряли 482 миллиона долларов в результате взломов и мошенничеств, в то время как многомиллиардные «мега-взломы» уступили место большему количеству инцидентов среднего размера, согласно исследованию компании Hacken, специализирующейся на безопасности блокчейна.
Согласно отчету Hacken за первый квартал 2026 года, фишинговые атаки и социальная инженерия доминировали в этот период, что привело к потерям в размере 306 миллионов долларов за квартал, в котором было зафиксировано 44 инцидента. Одиночная мошенническая схема с аппаратными кошельками на 282 миллиона долларов в январе привела к более чем половине ущерба за квартал.
Эксплойты смарт-контрактов составили 86,2 миллиона долларов, при этом сбои в контроле доступа, включая скомпрометированные ключи и облачные сервисы, привели к дополнительным потерям в размере 71,9 миллиона долларов.
Потери делают этот квартал вторым по величине первым кварталом с 2023 года, при этом отсутствие единого мега-взлома масштаба Bybit, который потерял 1,46 миллиарда долларов в первом квартале 2025 года, является основной причиной снижения по сравнению с прошлым годом.
Картирование инцидентов Hacken показывает, что самые серьезные сбои все чаще происходят за пределами кода onchain, в операционных и инфраструктурных слоях, которые редко затрагиваются традиционными аудитами. Йев Брошеван, главный исполнительный директор и соучредитель Hacken, рассказал Cointelegraph, что самые дорогостоящие сбои «происходят за пределами кодового слоя».
По словам Hacken, этот сдвиг привлекает все больше внимания со стороны регуляторов и институциональных контрагентов, поскольку такие рамки, как Регламент о рынках криптоактивов (MiCA) и Закон о цифровой операционной устойчивости (DORA) в Европейском Союзе, все дальше продвигаются в области применения и повышают ожидания в отношении постоянного мониторинга безопасности и реагирования на инциденты.
Устаревший код, фальшивые звонки венчурных фондов и компрометация ключей
Брошеван указал на 306 миллионов долларов в виде фишинга, звонок фальшивого венчурного капиталиста (VC) из Северной Кореи на 40 миллионов долларов против Step Finance и компрометацию сервиса управления ключами AWS на 25 миллионов долларов в Resolv Labs. Даже там, где были виноваты смарт-контракты, самые дорогостоящие ошибки часто находились в устаревших развертываниях и известных классах уязвимостей. Truebit потерял 26,4 миллиона долларов из-за ошибки в контракте Solidity, развернутом около пяти лет назад, в то время как Venus Protocol пострадал от шаблона атаки пожертвований, зафиксированного с 2022 года.
Первый квартал 2025 года по сравнению с первым кварталом 2026 года. Источник: Hacken.
Шесть проверенных проектов, включая Resolv с 18 аудитами и Venus с пятью отдельными фирмами, все же составили 37,7 миллиона долларов потерь. В среднем это было больше, чем у их непроверенных аналогов, поскольку протоколы с более высокой общей заблокированной стоимостью (TVL) привлекают более сложных злоумышленников и эксплойты.
Глобальные надзорные органы ужесточают ожидания по реагированию на инциденты
В первом квартале MiCA и DORA в ЕС все дальше продвинулись в области активного применения, регулятор Дубая, Управление регулирования виртуальных активов, ужесточило ожидания в отношении своей Технологической и Информационной Кодекс, Сингапур применил правила капитала, соответствующие Базелю, и правила уведомления об инцидентах в течение одного часа, а новое Управление капитальных рынков Объединенных Арабских Эмиратов взяло на себя федеральный надзор за цифровыми активами с более широкими полномочиями и более высокими штрафами.
Общие потери от криптовалюты по кварталам. Источник: Hacken
Hacken связывает эти режимы с новым эталоном для «готовых к регулированию» стеков, которые включают аттестации подтверждения резервов, подкрепленные ежедневным внутренним согласованием, круглосуточным мониторингом onchain по казначейским кошелькам и привилегированным ролям, автоматическими предохранителями на функции минтинга и управления и часами уведомления об инцидентах, откалиброванными на самый строгий применимый стандарт.
В отчете подчеркиваются «реалистичные» цели осведомленности в течение 24 часов, маркировки в течение четырех часов и блокировки за 30 секунд, с «стремительными» целями до 10 минут для обнаружения и 1 секунды для блокировки, основанными на руководстве данных Laundering Race от Global Ledger за 2025 год.
На человеческом уровне Hacken отмечает северокорейские кластеры как наиболее последовательную операционную угрозу, при этом потеря Step Finance в размере 40 миллионов долларов и взлом инфраструктуры Bitrefill расширяют playbook фальшивых контактов венчурных фондов, вредоносных инструментов для видеозвонков и скомпрометированных конечных точек сотрудников, которые извлекли примерно 2,04 миллиарда долларов из сектора в 2025 году.
