Совокупные потери от взломов в криптоиндустрии за первое полугодие 2026 года сократились на 46,8% в годовом выражении — до $1,32 млрд, однако отрасль остаётся глубоко уязвимой. К такому выводу пришла блокчейн-компания CertiK в отчёте Hack3d: H1 2026, предупредив, что снижение ущерба создаёт ложное впечатление о безопасности экосистемы.
Главный искажающий фактор — рекордный взлом Bybit в 2025 году, унёсший $1,4 млрд. Без учёта этого инцидента потери в первом полугодии 2026-го оказались бы примерно на 28% выше, чем за аналогичный период прошлого года. «Поверхностный взгляд на цифры может убедить, что отрасль стала значительно безопаснее. Данные этого не подтверждают», — подчеркнули в CertiK.
Количество зарегистрированных атак выросло более чем вдвое: со 83 в первой половине 2025-го до 207 в 2026 году, что стало абсолютным рекордом для шестимесячного периода по данным TRM Labs. Основную массу инцидентов (125 случаев, или 60%) составили эксплойты смарт-контрактов.
Динамика векторов атак изменилась: если в первом квартале доминировал фишинг (убытки $508,2 млн), то во втором квартале главной угрозой стали компрометации кошельков — $807,5 млн похищенных активов, что на 59% больше кварталом ранее. Более 70% квартальных потерь пришлось на взломы KelpDAO и Drift Protocol, ответственность за которые приписывают спонсируемым властями КНДР хакерским группировкам. По оценкам TRM Labs, с 2017 года северокорейские злоумышленники похитили свыше $6 млрд в криптовалютах.
Участившиеся резонансные инциденты даже вынудили власти США, Японии и Южной Кореи провести совместные консультации для координации ответных мер. На встрече также признали, что IT-специалисты из КНДР активно применяют искусственный интеллект для наращивания масштаба и изощрённости операций.
В CertiK видят критической точкой уязвимости управление приватными ключами и мультиподписные кошельки. Компания рекомендует усиливать защиту на каждом уровне — от аппаратной безопасности до географического распределения подписантов. Производитель аппаратных кошельков Ledger в очередной раз напомнил базовое правило: хранить seed-фразы офлайн и никогда не сообщать их третьим лицам.