Что произошло
29 июня 2026 года CoinDesk со ссылкой на данные DeFiLlama сообщил: около 40% всех потерь от крипто-взломов пришлись не на уязвимости смарт-контрактов, а на компрометацию приватных ключей. Суммарно индустрия потеряла на взломах, эксплойтах и атаках на мосты $16,69 млрд.
Детали
- По данным DeFiLlama, на компрометацию ключей приходится ~40% совокупных потерь ($16,69 млрд за всё время наблюдений).
- Аналитики CertiK отмечают тренд: число инцидентов с операционной безопасностью растёт, а взломов самих смарт-контрактов — снижается. Атакующие бьют в самое слабое звено.
- Крупнейший пример — взлом Bybit в феврале 2025 года: $1,5 млрд в Ethereum украли через скомпрометированный сторонний инструмент разработчика, а не через дыру в контракте.
- Виш Ву (CEO Pharos): большинство блокчейн-инфраструктуры построено под модель «один пользователь — один ключ», что противоречит базовым принципам безопасности традиционных финансов.
- Что предлагают индустрии: MPC-кошельки (ключ делится между несколькими сторонами), «умные» аккаунты с социальным восстановлением, вход по passkey, обязательные аппаратные кошельки.
Что это значит
Главный вывод простой и неприятный: чаще всего ломают не код, а человека и его ключи. Можно сколько угодно доверять «проверенному» протоколу — если ваш seed-ключ утёк, контракт ни при чём.
- Кого касается: всех, кто хранит крипту сам (self-custody) или держит её на сервисах; особенно тех, кто держит ключи в браузерных кошельках или в облаке.
- Риск с цифрой: ~40% от $16,69 млрд — это около $6,7 млрд, потерянных именно из-за ключей. Самое слабое место — управление ключами, а не «дырявые» контракты.
- Горизонт: риск постоянный. Минимальный чек-лист уже сегодня: аппаратный кошелёк для крупных сумм, seed-фраза только офлайн (не фото, не облако), отдельный «горячий» кошелёк с мелкой суммой для повседневных операций.
Контекст
Как такая атака выглядит на практике, мы разбирали на свежем примере — эксплойт Polymarket через скомпрометированный сторонний сервис.
