arrow back

Чому аудит не рятує Web3: ІІ посилює злами

03 лип 2026

Аудит не гарантує безпеку Web3, а ШІ спрощує злами в DeFi. Дізнайтеся, чому це б’є по трейдерах і власниках токенів, і що робити.

У квітні 2026 року злами в DeFi траплялися майже щодня, а директор з розвитку бізнесу CertiK Джейсон Цзян пояснив, чому навіть кілька аудитів не гарантують безпеку Web3-проєкту. Це важливо для трейдерів, довгострокових власників токенів і команд, які тримають мільйони доларів у смартконтрактах.

За словами Цзяна, сплеск атак у квітні підсилили одразу кілька речей: зростання цін на активи, швидкий приплив капіталу в DeFi та інструменти на базі ШІ, які спростили складні експлойти для слабших хакерів. Він окремо згадав системні слабкі місця в мостах і оракулах, а також атаки з боку прогосударственних груп, зокрема пов’язаних із КНДР. І це не просто відчуття ринку. За даними a major exchange, другий квартал 2026 року став рекордним за кількістю інцидентів, 83 злами і близько $755,3 млн втрат.

Чому кілька аудитів не дають повного захисту?

Цзян каже це прямо: аудит ловить частину проблем, але не закриває все. Причина проста. Команда безпеки має бути права постійно, а атакувальному достатньо влучити один раз. Один пропущений сценарій, одна слабка інтеграція, один невдалий місток між сервісами, і гроші вже не повернути.

Ось чому навіть проєкти з кількома перевірками все одно зриваються на базових речах. У джерелі окремо згадані мости й оракули, де помилка швидко розганяє каскадний ефект. Для українських користувачів висновок приземлений: якщо ви тримаєте активи в DeFi, дивіться не лише на назву аудиторів, а й на те, як часто оновлюється код, чи є обмеження прав і чи перевіряють джерела інструкцій.

Реакція ринку: ШІ допомагає і нападати, і захищатися

У CertiK підкреслюють, що ШІ працює в обидва боки. З одного боку, він допомагає швидше знаходити вразливості, автоматично генерувати експлойти, масштабувати фішинг і соціальну інженерію. З іншого, ті самі моделі вже допомагають захисту, коли йдеться про обробку великих обсягів коду, пошук аномалій у блокчейні в реальному часі та помічання дрібних деталей в аудитах.

«Ключова роль тут в асиметрії: атакувальнику досить успіху один раз, а команді безпеки треба бути ефективною постійно», пояснює Джейсон Цзян у розмові з a major exchange.

Цей перекіс добре видно і в цифрах CertiK. У звіті Hack3D за 2025 рік Web3-проєкти втратили $3,352 млрд проти $2,446 млрд роком раніше, тобто на 37,06% більше. Середній збиток на інцидент зріс до $5,32 млн, а медіанний становив лише $103 996. Це означає, що більшість атак не гучні, але окремі великі зломи тягнуть статистику вгору. Саме на них і зосереджуються хакери.

  • У квітні 2026 року злами в DeFi йшли майже щодня.

  • CertiK пов’язує частину сплеску з ШІ та слабкими місцями в мостах і оракулах.

  • ШІ пришвидшує фішинг, соціальну інженерію та пошук уразливостей.

  • Ті самі інструменти допомагають виявляти аномалії та аналізувати код.

  • У 2025 році Web3 втратила $3,352 млрд, що на 37,06% більше, ніж у 2024-му.

  • Середній збиток на інцидент у звіті CertiK сягнув $5,32 млн.

Що означає ризик ІІ-агентів для власників криптовалют?

Окрема частина інтерв’ю стосується ІІ-агентів. Це програми, які можуть самі виконувати дії за заданою метою, і саме тому їх люблять атакувальники. CertiK у березні вже попереджала про ризики безпеки ІІ-агента OpenClaw, у якого було близько 2 млн активних користувачів. Якщо система слабо перевіряє джерело інструкцій, то шкідлива команда може непомітно змінити поведінку агента.

Найпростіший спосіб атаки тут називається prompt injection. Зловмисник вшиває шкідливі вказівки прямо в дані, які обробляє агент, і той виконує не те, що треба. У найгіршому сценарії агент може сам перевести кошти на гаманець атакувального. Це вже не абстрактна проблема для розробників. Якщо ІІ отримав зайві права, ризик росте в рази. Для користувача це означає просту річ: не давайте сервісу більше доступу, ніж потрібно, і не підключайте гаманець до всього підряд.

Ще один важливий контекст. У 2025 році, за даними a major exchange, американці подали 181 565 скарг, пов’язаних із криптовалютою, а втрати перевищили $11 млрд. Окремо у звіті виділили 22 364 AI-related скарги майже на $893 млн. Це показує, що шахрайство вже давно не обмежується кодом. Воно заходить через довіру, поспіх і автоматизацію. І саме тут ІІ стає зручним інструментом для обох сторін.

Часті запитання

Чому аудит не гарантує безпеку Web3-проєкту?

Бо аудит перевіряє те, що видно на момент ревізії, а атаки часто б’ють по суміжних речах: мостах, оракулах, правах доступу, підписантах і людському фактору. Дослідження The Audit Gap in Blockchain Security показало, що 48% інцидентів сталися з проєктами, які вже мали щонайменше один публічний аудит, і на них припало близько 55% втрат.

Як саме ШІ допомагає хакерам у крипті?

Через фішинг, соціальну інженерію, швидший пошук вразливостей і автоматичну генерацію експлойтів. У складніших випадках атака йде через ІІ-агентів, де шкідливі інструкції підсовують у дані, які агент читає та виконує.

Що робити звичайному користувачу, щоб зменшити ризик?

Не тримати всі активи в одному місці, уважно перевіряти доступи, не підключати гаманець до неперевірених сервісів і не давати ІІ-агентам зайвих прав. Якщо треба швидко вивести частину монет у фіат, можна продати Bitcoin на Monobank без зайвих кроків і зручніше розкласти ризик.

Висновок тут без прикрас: у 2026 році безпека Web3 залежить не тільки від коду, а й від того, хто і як керує доступами, даними та автоматизацією. Аудит потрібен, але сам по собі він не рятує. Якщо ви працюєте з криптоактивами, варто дивитися на безпеку так само уважно, як на курс і ліквідність.

Даний матеріал не є фінансовою рекомендацією. Торгівля криптовалютами пов'язана з ризиками. Частину тексту підготовлено з використанням штучного інтелекту на основі відкритих джерел та перевірено редакцією.