Хакеры и регулирование: что погубило DeFi?

Автор: Гу Юй, ChainCatcher

В апреле 2026 года череда катастроф в сфере безопасности вновь вывела DeFi в центр общественного внимания. Атаки на Kelp DAO и Drift Protocol привели к убыткам, превышающим 575 миллионов долларов, в результате чего общая стоимость заблокированных средств (TVL) в DeFi упала примерно со 172 миллиардов до 148 миллиардов долларов, а TVL в секторе кредитования сократился с 53 миллиардов до 40 миллиардов долларов.

Недавно Мануэль Араос, соучредитель известной компании по аудиту безопасности OpenZeppelin, прямо заявил на платформе X: «Я считаю, что весь DeFi сейчас небезопасен». Он даже упомянул, что начал в частном порядке советовать друзьям и близким ликвидировать все позиции в DeFi, включая такие протоколы, как Aave, MakerDAO и Compound, которые считаются «низкорисковыми голубыми фишками».

Хотя это суждение звучит особенно резко, оно заставляет задуматься. В конце концов, OpenZeppelin долгое время была одним из важнейших создателей инфраструктуры безопасности в мире DeFi, а ее стандарты смарт-контрактов и инструменты безопасности пронизывают развитие всей отрасли. Если даже те, кто лучше всех разбирается в системе безопасности смарт-контрактов, начинают сомневаться в рисках DeFi и решительно выводят средства, это, несомненно, указывает на то, что на поверхность выходят более глубокие проблемы.

В последние несколько лет, когда DeFi сталкивался с трудностями, люди могли быстро найти конкретную причину. Во время рыночных спадов вину возлагали на макроэкономическую среду; когда происходили хакерские атаки, их списывали на технические уязвимости; когда регулирующие органы принимали меры, проблемы сводили к давлению со стороны политики.

Однако, если расширить временной горизонт, станет очевидным ясный факт: нынешнее бедственное положение DeFi вызвано не одной атакой, конкретной регуляторной политикой или провальным проектом, а тем, что две основные логики, на которых он изначально строился, одновременно сталкиваются с вызовами.

Одна логика пришла из технического мира: код может заменить доверие. Другая логика пришла из институционального мира: открытые сети могут обходить ограничения традиционных финансовых систем.

И именно по этим двум столпам нанесли удар хакеры и регуляторы.

I. Глубинная эволюция кризиса безопасности DeFi

На протяжении десятилетия ключевой парадокс в сфере безопасности DeFi оставался неизменным. Исследователи безопасности Web3 давно выявили эту фатальную асимметрию: защитник должен закрыть каждую возможную уязвимость, в то время как атакующему достаточно добиться успеха лишь в одном аспекте.

На первый взгляд, методы атак — это обычные подозреваемые: уязвимости кросс-чейн мостов, перехват прав мультиподписи, манипуляции с оракулами и т. д. Однако инциденты с Kelp DAO и Drift Protocol выявляют более жестокую тенденцию: самые фатальные уязвимости часто кроются не в коде смарт-контрактов.

18 апреля протокол ликвидного рестейкинга Ethereum Kelp DAO подвергся атаке. Злоумышленник воспользовался уязвимостью конфигурации в DVN (децентрализованной сети валидации) кросс-чейн моста LayerZero, подделав кросс-чейн сообщения и выведя 116 500 rsETH из моста за несколько часов, что на тот момент составляло около 293 миллионов долларов.

Суть этой катастрофы заключается в ошибке конфигурации, а не в дефекте кода. Kelp DAO выбрала конфигурацию «1 из 1» для сети кросс-чейн валидации LayerZero — для признания легитимности кросс-чейн сообщений требуется подтверждение только одного узла DVN. Когда злоумышленник скомпрометировал два RPC-узла, предоставляющих данные валидации, и начал DDoS-атаку, вся система моста фактически перестала существовать.

1 апреля одна из крупнейших DEX для бессрочных контрактов в экосистеме Solana, Drift Protocol, подверглась атаке, что привело к потере 285 миллионов долларов. Это стало крупнейшим единичным инцидентом взлома DeFi в 2026 году и вторым по величине случаем взлома в истории Solana.

Это также не было уязвимостью смарт-контракта. Злоумышленник использовал социальную инженерию, чтобы скомпрометировать как минимум двух из трех подписантов кошелька с мультиподписью, заставив их предварительно подписать вредоносные транзакции с использованием функции durable nonce в Solana. Получив административные привилегии, злоумышленник завершил кражу средств менее чем за 12 минут.

Корень атаки кроется в полном провале операционной безопасности (OpSec): ненадлежащая настройка кошелька с мультиподписью, «слепые зоны» в управлении ключами и практически отсутствующая линия защиты от социальной инженерии.

Эти два инцидента раскрывают глубокую эволюцию кризиса безопасности DeFi: точки прорыва атак систематически смещаются от традиционных уязвимостей кода смарт-контрактов к уровням конфигурации и человеческому фактору/OpSec.

Мануэль Араос указал на суть проблемы: «Безопасность смарт-контрактов — это, по сути, крайне асимметричная игра: защитники должны исправить все уязвимости, в то время как атакующим достаточно найти одну, чтобы украсть средства». Поскольку ИИ начинает экспоненциально повышать эффективность атак, эта асимметрия быстро становится неуравновешенной.

Агенты кодирования на базе ИИ могут сжать задачи, на решение которых у лучших команд «белых хакеров» раньше уходили недели, до нескольких минут, даже автономно генерируя скрипты атак на основе общедоступного кода протоколов. Пессимистичное суждение соучредителя одной из самых популярных компаний по аудиту безопасности в отрасли служит сигналом — сама индустрия безопасности осознает, что существующая система защиты сталкивается с системным сбоем.

II. Продолжающееся распространение регуляторного давления

По мере углубления кризиса безопасности регуляторные силы также постоянно оказывают давление как на ончейн, так и на офчейн измерения.

26 мая правительство Великобритании внесло криптовалютную биржу HTX в свой санкционный список против России, что стало первым случаем использования Постановления 17A для введения санкций против криптобиржи. Великобритания обвинила HTX в проведении транзакций на сумму 3,3 триллиона долларов в 2025 году, предположительно предоставляя финансовые услуги подсанкционной платежной сети A7 и российской бирже Garantex.

Цепная реакция, вызванная санкциями, быстро распространилась. Поскольку несколько крупных AML-компаний внесли адрес биржи HTX в список адресов с высоким уровнем риска, многие биржи, использующие их системы AML, ужесточили проверку транзакций, связанных с адресами HTX, что привело к тому, что многочисленные пользователи HTX столкнулись с проблемами при выводе активов на другие биржи.

Инцидент с HTX выявляет более глубокую дилемму: в условиях сложной геополитической обстановки одна санкция, инициированная регуляторами, может вызвать расширяющийся цепной эффект в блокчейне, в конечном итоге затрагивая средства бесчисленного количества обычных пользователей. Пользователь HTX может быть совершенно невиновен в хранении активов, но из-за потенциальных комплаенс-рисков платформы он может столкнуться с «файрволом» всей системы AML при попытке вывода средств на другие биржи, что приведет к заморозке средств или их бессрочной задержке.

На самом деле, инцидент с HTX — это лишь верхушка айсберга регуляторного давления. Что действительно сдерживает инновации в DeFi на более глубоком уровне, так это юридическая квалификация базовых бизнес-моделей протоколов регулирующими органами.

За последние два года Комиссия по ценным бумагам и биржам США (SEC) начала расследования в отношении «голубых фишек» DeFi, таких как Compound, Uniswap и Curve, сосредоточившись на том, являются ли токены управления незарегистрированными ценными бумагами. Еще более прямые удары приходятся на сектор доходных токенов — правоприменительные действия SEC против таких продуктов, как Gemini Earn, показывают, что если протокол выплачивает пользователям пассивный доход на основе депозитов, он легко классифицируется как инвестиционный контракт, что влечет за собой обязательства по регистрации и раскрытию информации в соответствии с Законом о ценных бумагах.

Эта правовая неопределенность и обстановка высокого давления напрямую подавляют самые смелые направления инноваций в DeFi: от майнинга ликвидности до структурированных доходных продуктов — разработчики должны постоянно беспокоиться о том, не пересекают ли их токеномические модели регуляторные «красные линии».

В некотором смысле, «безразрешительная» природа, на которой изначально настаивал DeFi, постепенно превращается в другую форму «системы разрешений». Это «разрешение» исходит не от конкретной компании или протокола, а от каждого звена в цепи регуляторного комплаенса: AML-списков, систем риск-менеджмента бирж, экстерриториальной юрисдикции законов о ценных бумагах и так далее.

III. DeFi вступает в реалистичную фазу

Оглядываясь на взлеты и падения DeFi за последние несколько лет, можно увидеть, что дилеммы безопасности и регуляторное давление в DeFi не существуют независимо друг от друга. Отсутствие четкой регуляторной базы затрудняет достижение отраслевого консенсуса по стандартам безопасности; частые инциденты безопасности, в свою очередь, дают самое прямое оправдание глобальным регулирующим органам для ужесточения правоприменения; а ускоряющаяся асимметрия безопасности в эпоху ИИ в сочетании с постепенно ужесточающимися порогами комплаенса в конечном итоге переплетаются, чтобы бросить бесчисленное количество обычных пользователей в эпицентр шторма.

По сути, границы аудита безопасности и жесткость регуляторного комплаенса постоянно подрывают два основных допущения, на которых стоит DeFi — «код есть закон» и «безразрешительная свобода».

Сегодня пользователи несут более высокие технические риски, чем в традиционных финансах, но при этом могут не получать больше свободы, чем в традиционных финансах. Именно поэтому многие участники рынка находятся в замешательстве. Они обнаруживают, что DeFi не так безопасен, как банки, и не так полностью открыт, как обещалось изначально.

Когда система одновременно теряет и премии за безопасность, и премии за свободу, ее логика роста неизбежно ставится под сомнение. Поэтому вопрос может заключаться не в том, «разрушили ли хакеры и регуляторы DeFi?».

Точнее будет сказать, что хакеры и регуляторы просто заставили отрасль столкнуться с реальностью. Хакеры заставили людей осознать, что код не создает доверие автоматически; регуляторы заставили людей понять, что ончейн-мир никогда не функционировал как параллельная вселенная, оторванная от реального мира.

Это не означает крах DeFi. Напротив, это означает, что данный эксперимент переходит от идеалистической фазы к реалистичной.

DeFi не разрушается хакерами или регуляторами. Он переопределяется законами выживания, сформированными ими обоими: будущее DeFi должно либо двигаться в сторону более строгой саморегуляции отрасли и комплаенса, вынужденно жертвуя принципами децентрализации; либо постепенно утратить доверие рынка из-за постоянного дисбаланса между атакой и защитой, что приведет к долгосрочной маргинализации.