В апреле 2026 года взломы в DeFi происходили почти ежедневно, а директор по развитию бизнеса CertiK Джейсон Цзян объяснил, почему даже несколько аудитов не гарантируют безопасность Web3-проекта. Это важно для трейдеров, долгосрочных держателей токенов и команд, которые держат миллионы долларов в смартконтрактах.
По словам Цзяна, всплеск атак в апреле усилили сразу несколько факторов: рост цен на активы, быстрый приток капитала в DeFi и инструменты на базе ИИ, которые упростили сложные эксплойты для менее опытных хакеров. Он отдельно упомянул системные слабые места в мостах и оракулах, а также атаки со стороны прогосударственных групп, в частности связанных с КНДР. И это не просто ощущение рынка. По данным a major exchange, второй квартал 2026 года стал рекордным по числу инцидентов, 83 взлома и около $755,3 млн потерь.
Почему несколько аудитов не дают полной защиты?
Цзян говорит это прямо: аудит ловит часть проблем, но не закрывает всё. Причина проста. Команда безопасности должна быть права постоянно, а атакующему достаточно попасть один раз. Один пропущенный сценарий, одна слабая интеграция, один неудачный мост между сервисами, и деньги уже не вернуть.
Вот почему даже проекты с несколькими проверками всё равно срываются на базовых вещах. В источнике отдельно упомянуты мосты и оракулы, где ошибка быстро запускает каскадный эффект. Для украинских пользователей вывод приземлённый: если вы держите активы в DeFi, смотрите не только на название аудиторов, но и на то, как часто обновляется код, есть ли ограничения прав и проверяют ли источники инструкций.
Реакция рынка: ИИ помогает и нападать, и защищаться
В CertiK подчёркивают, что ИИ работает в обе стороны. С одной стороны, он помогает быстрее находить уязвимости, автоматически генерировать эксплойты, масштабировать фишинг и социальную инженерию. С другой, те же модели уже помогают защите, когда речь идёт об обработке больших объёмов кода, поиске аномалий в блокчейне в реальном времени и замечании мелких деталей в аудитах.
«Ключевая роль здесь в асимметрии: атакующему достаточно успеха один раз, а команде безопасности нужно быть эффективной постоянно», объясняет Джейсон Цзян в разговоре с a major exchange.
Этот перекос хорошо виден и в цифрах CertiK. В отчёте Hack3D за 2025 год Web3-проекты потеряли $3,352 млрд против $2,446 млрд годом ранее, то есть на 37,06% больше. Средний ущерб на инцидент вырос до $5,32 млн, а медианный составил лишь $103 996. Это означает, что большинство атак не громкие, но отдельные крупные взломы тянут статистику вверх. Именно на них и сосредотачиваются хакеры.
В апреле 2026 года взломы в DeFi шли почти ежедневно.
CertiK связывает часть всплеска с ИИ и слабыми местами в мостах и оракулах.
ИИ ускоряет фишинг, социальную инженерию и поиск уязвимостей.
Те же инструменты помогают выявлять аномалии и анализировать код.
В 2025 году Web3 потеряла $3,352 млрд, что на 37,06% больше, чем в 2024-м.
Средний ущерб на инцидент в отчёте CertiK достиг $5,32 млн.
Что означает риск ИИ-агентов для владельцев криптовалют?
Отдельная часть интервью касается ИИ-агентов. Это программы, которые могут сами выполнять действия по заданной цели, и именно поэтому их любят атакующие. CertiK в марте уже предупреждала о рисках безопасности ИИ-агента OpenClaw, у которого было около 2 млн активных пользователей. Если система слабо проверяет источник инструкций, то вредоносная команда может незаметно изменить поведение агента.
Самый простой способ атаки здесь называется prompt injection. Злоумышленник вшивает вредоносные указания прямо в данные, которые обрабатывает агент, и тот выполняет не то, что нужно. В худшем сценарии агент может сам перевести средства на кошелёк атакующего. Это уже не абстрактная проблема для разработчиков. Если ИИ получил лишние права, риск растёт в разы. Для пользователя это означает простую вещь: не давайте сервису больше доступа, чем нужно, и не подключайте кошелёк ко всему подряд.
Ещё один важный контекст. В 2025 году, по данным a major exchange, американцы подали 181 565 жалоб, связанных с криптовалютой, а потери превысили $11 млрд. Отдельно в отчёте выделили 22 364 AI-related жалобы почти на $893 млн. Это показывает, что мошенничество уже давно не ограничивается кодом. Оно заходит через доверие, спешку и автоматизацию. И именно здесь ИИ становится удобным инструментом для обеих сторон.
Частые вопросы
Почему аудит не гарантирует безопасность Web3-проекта?
Потому что аудит проверяет то, что видно на момент ревизии, а атаки часто бьют по смежным вещам: мостам, оракулам, правам доступа, подписантам и человеческому фактору. Исследование The Audit Gap in Blockchain Security показало, что 48% инцидентов произошли с проектами, у которых уже был как минимум один публичный аудит, и на них пришлось около 55% потерь.
Как именно ИИ помогает хакерам в крипте?
Через фишинг, социальную инженерию, более быстрый поиск уязвимостей и автоматическую генерацию эксплойтов. В более сложных случаях атака идёт через ИИ-агентов, где вредоносные инструкции подсовывают в данные, которые агент читает и выполняет.
Что делать обычному пользователю, чтобы снизить риск?
Не держать все активы в одном месте, внимательно проверять доступы, не подключать кошелёк к непроверенным сервисам и не давать ИИ-агентам лишних прав. Если нужно быстро вывести часть монет в фиат, можно продать Bitcoin на Monobank без лишних шагов и удобнее распределить риск.
Вывод здесь без прикрас: в 2026 году безопасность Web3 зависит не только от кода, но и от того, кто и как управляет доступами, данными и автоматизацией. Аудит нужен, но сам по себе он не спасает. Если вы работаете с криптоактивами, стоит смотреть на безопасность так же внимательно, как на курс и ликвидность.
Данный материал не является финансовой рекомендацией. Торговля криптовалютами сопряжена с рисками. Часть текста подготовлена с использованием искусственного интеллекта на основе открытых источников и проверена редакцией.