После Kelp DeFi сталкивается с проблемой ИИ, которую еще не начали оценивать

Децентрализованные финансы только что пережили худшие две недели за всю историю. Утечка $292 млн из моста рестейкинг-эфира Kelp DAO за выходные, вслед за эксплойтом Drift Protocol на $285 млн 1 апреля, подняла совокупные потери DeFi в апреле выше $580 млн — и спровоцировала отток $6 млрд только из Aave, поскольку вкладчики бросились к выходу.

Bitcoin, со своей стороны, едва дрогнул, торгуясь около $75 000, пока разворачивалась эпидемия. Но спокойствие сектора скрывает более глубокую проблему. Атакующий Kelp не взломал криптографию и не нашел уязвимость нулевого дня в смарт-контракте. Они использовали выбор конфигурации в кроссчейн-верификаторе, обманули уровень обмена сообщениями LayerZero, заставив его пропустить поддельную инструкцию, и создали 116 500 rsETH из воздуха на Ethereum. Контракты, как выразился один разбор от разработчиков, не были сломаны — был сломан уровень верификации. Это различие имеет значение, потому что следующему классу атакующих не понадобятся ошибки конфигурации. У них будет ИИ.

Aave обвалился на новостях, Источник: BNC

Враждебный период и истончающееся преимущество

Непосредственная картина неприглядна. Эксплойт Kelp теперь является крупнейшим взломом DeFi 2026 года, опережая Drift примерно на $7 млн. Меньшие утечки в CoW Swap, Zerion, Rhea Finance и Silo Finance заполнили недели между ними. Компания по безопасности блокчейна Cyvers оценила общие потери криптовалют в первом квартале примерно в $482 млн; эта цифра уже сильно устарела. Общая заблокированная стоимость Aave упала с $26,4 млрд 18 апреля до менее $20 млрд к воскресному утру по торговым часам США, согласно DefiLlama, а токен AAVE потерял более 18% за выходные, поскольку вкладчики пытались занять свой выход из замороженных рынков rsETH.

Стани Кулечов, основатель Aave, быстро отметил, что собственные контракты протокола не были скомпрометированы. Это правда, и это также слабое утешение: Aave принял rsETH в качестве обеспечения, обеспечение этого залога испарилось на мосту, который Aave не контролирует, и около $196 млн плохого долга теперь находится в крупнейшем кредиторе DeFi. Протоколы, включая SparkLend, Fluid и earnETH от Lido, приостановили рынки rsETH или приостановили новые депозиты, пока разбираются со своей экспозицией.

Более широкий урок, который извлекают создатели, носит структурный характер. Гибкая, модульная кроссчейн безопасность — где отдельные проекты выбирают свои собственные наборы верификаторов — может свернуться к единой точке отказа, если конфигурация нарушится. «Мы наблюдаем повторяющиеся, идентичные попытки эксплойта по нескольким контрактам одновременно», — сказал DL News ранее в этом месяце Стивен Аджайи, технический руководитель аудита dapp в компании по безопасности блокчейна Hacken, описывая паттерн, который, по его словам, соответствовал скриптовому, агент-управляемому зондированию контрактов DeFi.

Что ИИ уже сделал в лаборатории

Формулировка Аджайи имеет значение. Страх в кругах безопасности DeFi больше не в том, что атакующие в конечном итоге автоматизируются. Страх в том, что они уже это сделали, и что экономика гонки вооружений незаметно перевернулась.

Красная команда Anthropic опубликовала исследование в конце прошлого года, в котором передовые модели — Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI — были выпущены на тест из 405 реальных смарт-контрактов, ранее использованных в период с 2020 по 2025 год. Агенты коллективно создали работающие эксплойты стоимостью $4,6 млн против контрактов, которые были датированы позже их порога обучения. При дальнейшем давлении те же модели были направлены на 2 849 недавно развернутых контрактов без известных уязвимостей и обнаружили два новых бага, создав эксплойты стоимостью $3 694 при затратах на вывод $3 476. Исследователи описали результат как доказательство концепции того, что автономная, прибыльная эксплуатация теперь технически осуществима.

Anthropic показывает, что модели ИИ все чаще находят больше эксплойтов DeFi, Источник: Anthropic

Отдельный тест от компании по безопасности ИИ Cecuro, охватывающий 90 контрактов DeFi, эксплуатированных с конца 2024 по начало 2026 года, показал, что специально созданный агент безопасности обнаружил уязвимости в 92% из них, по сравнению с 34% для агента общего назначения, работающего на той же базовой модели. Средняя стоимость сканирования с использованием ИИ, согласно исследованию, теперь составляет около $1,22 за контракт. Способность к эксплойту, по тому же показателю, похоже, примерно удваивается каждые 1,3 месяца.

Это число, которое должно встревожить распределителей. Рынок, на котором каждый работающий контракт, содержащий средства, может быть проверен за копейки программным обеспечением, которое продолжает совершенствоваться, — это не рынок, на котором однократный аудит перед развертыванием обеспечивает значимую защиту.

Модель, которую Anthropic не будет продавать

Риск не только теоретический из-за того, что уже находится внутри лабораторий. Claude Mythos Preview от Anthropic — представленный ранее в этом месяце и ограниченный коалицией примерно из 40 проверенных корпоративных и правительственных партнеров в рамках проекта Glasswing — уже выявил тысячи ранее необнаруженных уязвимостей нулевого дня в каждой крупной операционной системе и каждом крупном браузере, включая 27-летнюю уязвимость в OpenBSD, которая пережила миллионы предыдущих сканирований. BNC подробно описал в то время, почему эта возможность является более насущной проблемой для DeFi, чем давние дебаты о квантовых вычислениях: кодовые базы DeFi являются открытыми по дизайну, что делает их именно тем типом цели, которую модели класса Mythos могут прочитать от начала до конца на машинной скорости.

Собственная формулировка Anthropic показательна. Компания отказалась выпускать Mythos для общественности и на прошлой неделе выпустила коммерческую модель Claude Opus 4.7, явно описанную как «менее широко способную» в задачах кибербезопасности, чем система, удерживаемая внутри Glasswing. Это признание того, что публичный выпуск сдвинул бы баланс атакующий-защитник в неправильном направлении.

Оценка асимметрии

Позиция безопасности DeFi не догнала. Емкость ончейн страхования остается измеренной в сотнях миллионов долларов по сравнению с сектором с общей заблокированной стоимостью около $100 млрд. Рынок аудита не может угнаться за объемом развертывания контрактов, а компонуемость продолжает расширять поверхность, которую должны покрывать защитники. Регуляторы, включая ЕС в рамках MiCA, начали формализовать требования к раскрытию информации, но ни один еще не требует непрерывного состязательного тестирования или принудительного исполнения во время выполнения для протоколов с высокой TVL.

Создатели, которых стоит слушать, сходятся на одном коротком списке. Рассматривайте каждое обновление и интеграцию как свежую поверхность атаки. Сделайте состязательное тестирование непрерывным, а не одноразовой вехой аудита. Сегментируйте границы доверия, чтобы единый компромисс — будь то неправильно настроенный верификатор, как в Kelp, или поддерживаемый моделью эксплойт завтра — не мог каскадироваться через стек кредитования. И оценивайте позицию безопасности в решениях о распределении так же, как кредитные менеджеры оценивают риск дефолта.

Последствия Kelp разрешатся так или иначе. Некоторый процент украденного эфира может еще быть восстановлен, и резерв Umbrella от Aave может быть вынужден поглотить дефицит. Вкладчики в конечном итоге вернутся. Что не изменится, так это кривая затрат. Впервые способному противнику больше не нужна исследовательская команда, уязвимость нулевого дня и шестизначный бюджет для истощения протокола DeFi. Им нужно несколько сотен долларов кредитов на вывод и список целей.

Вопрос индустрии на оставшуюся часть 2026 года заключается в том, могут ли её защиты нарастать быстрее, чем эта возможность.