Що сталося
29 червня 2026 року CoinDesk із посиланням на дані DeFiLlama повідомив: близько 40% усіх втрат від крипто-зломів припали не на вразливості смартконтрактів, а на компрометацію приватних ключів. Сумарно індустрія втратила на зломах, експлойтах і атаках на мости $16,69 млрд.
Деталі
- За даними DeFiLlama, на компрометацію ключів припадає ~40% сукупних втрат ($16,69 млрд за весь час спостережень).
- Аналітики CertiK відзначають тренд: кількість інцидентів з операційною безпекою зростає, а зломів самих смартконтрактів — знижується. Атакувальники б’ють у найслабшу ланку.
- Найбільший приклад — злом Bybit у лютому 2025 року: $1,5 млрд в Ethereum украли через скомпрометований сторонній інструмент розробника, а не через діру в контракті.
- Віш Ву (CEO Pharos): більшість блокчейн-інфраструктури побудовано під модель «один користувач — один ключ», що суперечить базовим принципам безпеки традиційних фінансів.
- Що пропонують індустрії: MPC-гаманці (ключ ділиться між кількома сторонами), «розумні» акаунти із соціальним відновленням, вхід за passkey, обов’язкові апаратні гаманці.
Що це означає
Головний висновок простий і неприємний: найчастіше зламують не код, а людину та її ключі. Можна скільки завгодно довіряти «перевіреному» протоколу — якщо ваш seed-ключ витік, контракт ні до чого.
- Кого стосується: усіх, хто зберігає крипту сам (self-custody) або тримає її на сервісах; особливо тих, хто тримає ключі в браузерних гаманцях або в хмарі.
- Ризик із цифрою: ~40% від $16,69 млрд — це близько $6,7 млрд, втрачених саме через ключі. Найслабше місце — управління ключами, а не «діряві» контракти.
- Горизонт: ризик постійний. Мінімальний чек-лист уже сьогодні: апаратний гаманець для великих сум, seed-фраза лише офлайн (не фото, не хмара), окремий «гарячий» гаманець із дрібною сумою для щоденних операцій.
Контекст
Як така атака виглядає на практиці, ми розбирали на свіжому прикладі — експлойт Polymarket через скомпрометований сторонній сервіс.
