Проекти Web3 втратили 464,5 мільйона доларів через зломи та шахрайство в першому кварталі 2026 року, тоді як багатомільярдні «мегазломи» поступилися місцем більшій кількості інцидентів середнього розміру, за даними компанії безпеки блокчейну Hacken.
Відповідно до звіту Hacken за 1 квартал 2026 року, фішингові атаки та атаки соціальної інженерії домінували в цьому періоді, що призвело до збитків у розмірі 306 мільйонів доларів США за квартал, у якому загалом було зареєстровано 43 інциденти. Одне шахрайство з апаратним гаманцем на 282 мільйони доларів у січні спричинило 81% збитків за квартал.
Експлуатація смарт-контрактів склала 86,2 мільйона доларів США, а збої в контролі доступу, включаючи зламані ключі та хмарні служби, спричинили додаткові збитки на 71,9 мільйона доларів.
Завдяки збиткам цей квартал став другим найнижчим першим кварталом з 2023 року за відсутності жодного мега-злому в масштабі Bybit, який втратив 1,46 мільярда доларів у першому кварталі 2025 року, що стало основною причиною падіння в порівнянні з минулим роком.
Картування інцидентів Hacken показує найбільші збої, які все частіше виникають за межами коду onchain, на операційних рівнях та рівнях інфраструктури, яких традиційні аудити рідко торкаються. Єв Брошеван, виконавчий директор і співзасновник Hacken, сказав Cointelegraph, що найдорожчі збої «відбуваються поза межами рівня коду».
За словами Хаккена, ця зміна викликає більшу увагу з боку регуляторів та інституційних контрагентів, оскільки такі рамки, як Регулювання ринків криптовалют (MiCA) і Закон про цифрову операційну стійкість (DORA) у Європейському Союзі просуваються далі у правозастосування та підвищують очікування щодо постійного моніторингу безпеки та реагування на інциденти.
Застарілий код, фальшиві виклики VC і ключові компроміси
Брошеван вказав на фішинг на суму 306 мільйонів доларів США, пов’язаний із Північною Кореєю фальшивий венчурний капітал (VC) на суму 40 мільйонів доларів США проти Step Finance та компрометацію служби керування ключами AWS у Resolv Labs на суму 25 мільйонів доларів США. Навіть там, де винні були смарт-контракти, найдорожчі помилки часто були в застарілих розгортаннях і відомих класах уразливостей. Truebit втратив 26,4 мільйона доларів через помилку в контракті Solidity, розгорнутому близько п’яти років тому, тоді як Venus Protocol постраждав від шаблону атаки пожертвувань, задокументованого з 2022 року.
Шість перевірених проектів, включаючи Resolv з 18 аудитами та Venus з п’ятьма окремими фірмами, все ще принесли збитки в розмірі 37,7 мільйонів доларів. У середньому це було більше, ніж у неперевірених аналогів, оскільки протоколи з вищим блокуванням загального значення (TVL) приваблюють більш складних зловмисників і експлойтів.
Глобальні спостерігачі посилюють очікування реагування на інциденти
У першому кварталі MiCA та DORA в ЄС перейшли до активного правозастосування, регулятор Дубая, Регуляторний орган віртуальних активів, посилив очікування щодо свого Зводу правил щодо технологій та інформації, Сінгапур застосував узгоджені з Базельським законодавством правила щодо капіталу та одногодинного сповіщення про інциденти, а нове Управління ринку капіталу Об’єднаних Арабських Еміратів взяло на себе федеральний нагляд за цифровими активами з ширшими повноваженнями та вищими штрафами.
Hacken пов’язує ці режими з новим тестом для стеків, «готових до регулятора», який включає атестації підтвердження запасів, що підтверджуються щоденною внутрішньою звіркою, цілодобовий моніторинг у мережі казначейських гаманців і привілейованих ролей, автоматичні вимикачі для функцій карбування та керування та годинники сповіщень про інциденти, відкалібровані за найсуворішим застосовним стандартом.
У звіті висвітлюються «реалістичні» цілі щодо обізнаності протягом 24 годин, позначення протягом чотирьох годин і блокування через 30 секунд, з «бажаними» цілями всього лише 10 хвилин для виявлення та 1 секунда для блокування, засновані на вказівках Global Ledger Laundering Race 2025.
На людському рівні Hacken позначає кластери Північної Кореї як найбільш послідовну операційну загрозу, а втрата Step Finance у розмірі 40 мільйонів доларів США та порушення інфраструктури Bitrefill розширюють список фальшивих венчурних контактів, шкідливих інструментів для відеодзвінків і скомпрометованих кінцевих точок співробітників, які вилучили приблизно 2,04 мільярда доларів із сектора у 2025 році.
