«ИИ-агенты превосходят людей в поиске уязвимостей, — написал Араос. — Безопасность смарт-контрактов слишком асимметрична: защитники должны исправить каждый баг, а атакующим достаточно одной бреши, чтобы украсть средства» .
Это не ошибка, которую можно исправить более тщательным аудитом. Это структурная особенность того, как теперь работают атаки с использованием ИИ. Традиционные защитные рубежи — прозрачность открытого кода, множественные независимые аудиты, формальная верификация — проектировались для эпохи, когда живые атакующие противостояли живым защитникам на примерно равных условиях. Искусственный интеллект полностью изменил этот расчет .
Предупреждение Араоса возникло не на пустом месте. В апреле 2026 года случился каскад атак, которые в совокупности опустошили протоколы DeFi на сумму от $630 до $647 миллионов в результате более 25 отдельных инцидентов — самый высокий месячный показатель с февраля 2025 года, когда потери достигли $1,47 млрд .
Drift Protocol — $285 млн (1 апреля)
Месяц открылся изощренной кампанией социальной инженерии, приписываемой северокорейской группировке Lazarus. Злоумышленники около шести месяцев втирались в доверие к членам Совета безопасности Drift, чтобы в итоге обманом заставить их подписать транзакции, предоставляющие привилегированный доступ. Оказавшись внутри, атакующие внесли поддельный токен в качестве залога и осушили протокол на базе Solana примерно на $285 миллионов — всего за 10 секунд .
Это был не баг в смарт-контракте. Это была компрометация людей в структуре управления.
KelpDAO — $293 млн (18 апреля)
Крупнейший взлом DeFi в 2026 году ударил по кроссчейн-мосту KelpDAO на базе LayerZero. Атакующий выпустил 116 500 токенов rsETH — стоимостью примерно $293 млн — и использовал их как залог для займа реального ETH, который затем был перемещен через THORChain . Позднее Chainalysis установила, что взлом выявил уязвимости внесетевой верификации, а не классический сбой смарт-контракта
.
В течение 48 часов панический отток пользовательских средств стер миллиарды долларов из общего объема заблокированных средств (TVL) DeFi. Крупнейший протокол кредитования Aave немедленно заморозил свои рынки rsETH в нескольких версиях .
Wasabi — компрометация админ-ключа (апрель)
Третий крупный инцидент апреля затронул Wasabi: скомпрометированный административный ключ вызвал эффект домино во всем протоколе. Вместе с Drift и KelpDAO эти три атаки представляли три совершенно разные категории «отказа не-кода»: социальная инженерия, слабости внесетевой верификации и компрометация инфраструктуры .
Аналитики по безопасности отметили, что классы уязвимостей, вызвавшие потери в 2026 году — сбои контроля доступа, эксплойты обновляемых прокси-контрактов и атаки на кроссчейн-мосты — являются векторами, которых практически не существовало в 2020 году .
Цифры рисуют безрадостную картину. Общий объем заблокированных средств в DeFi упал более чем на 50% с октябрьского пика 2025 года, составлявшего около $170 миллиардов, до примерно $38–43 миллиардов к середине мая 2026 года — худшее сжатие со времен краха FTX . Один из трекеров оценил TVL в $82,08 миллиарда в конце мая, что все еще отражает как сжатие цен активов, так и реальный вывод капитала
.
Заявление Араоса 26 мая вызвало новую волну оттока средств от нервничающих розничных и институциональных пользователей, которые цеплялись за надежду, что устоявшиеся протоколы остаются безопасными. Реальность же заключалась в том, что даже протоколы, которые OpenZeppelin помогала защищать с 2015 года — Aave, MakerDAO и Compound, — теперь были помечены как небезопасные тем самым экспертом, который знал их код лучше всех .
Перед лицом экзистенциального кризиса индустрия DeFi предприняла один из самых скоординированных ответов в своей истории.
Спасательный фонд «DeFi United». Под руководством Aave более 30 протоколов и компаний — включая Mantle, Consensys, Lido, EtherFi и Compound — обязались выделить более $300 миллионов в Ether для покрытия безнадежных долгов и восстановления обеспечения rsETH после взлома KelpDAO . Инициатива собрала обязательства на сумму свыше 43 500 ETH, при этом один только Mantle предложил предоставить Aave DAO заем до 30 000 ETH
. Standard Chartered публично похвалил эти усилия как свидетельство зрелости экосистемы
.
Беспрецедентное вмешательство Arbitrum. Совет безопасности Arbitrum принял спорное решение заморозить и переместить около 30 766 ETH отслеживаемых доходов от атаки на KelpDAO — без приватных ключей злоумышленников. Это стало одним из самых агрессивных ончейн-вмешательств со стороны сети второго уровня .
Экстренные остановки протоколов. KelpDAO приостановила все контракты в основной сети и L2-решениях в течение нескольких часов после обнаружения взлома. Aave заморозила свои рынки rsETH на версиях V3 и V4, чтобы предотвратить каскадные ликвидации .
Усиление давления регуляторов. Финансовые регуляторы ЕС начали разработку чрезвычайных требований к лицензированию DeFi-протоколов, а Министерство финансов США дало сигнал об усилении надзора за протоколами, управляющими активами пользователей на сумму более $50 миллионов .
Восстановление Drift Protocol. Tether объявила о выделении $127,5 млн на создание пула восстановления с привязкой к доходам для пользователей Drift — это одна из крупнейших в истории DeFi программ спасения со стороны эмитента стейблкоина .
Несмотря на все эти экстраординарные усилия, главный аргумент остается неоспоренным. Предупреждение Араоса — не о временном всплеске взломов или нескольких протоколах, нуждающихся в улучшенном аудите. Это структурный диагноз: атакующие с ИИ-инструментами навсегда изменили уравнение безопасности, а индустрия пока не продемонстрировала сопоставимого оборонительного прорыва .
Протоколы, пережившие апрель 2026 года, теперь работают в мире, где социальная инженерия может слить $285 миллионов за секунды, где верификаторы мостов можно подделать для выпуска поддельного залога на $293 миллиона, и где ИИ-агенты сканируют код в поисках новых уязвимостей быстрее, чем любая команда аудиторов успевает поставить заплатку. Пока асимметрия не будет устранена на фундаментальном уровне — через архитектуру, редизайн управления и оборону на базе ИИ, — предупреждение Араоса останется в силе.