Что произошло
За первое полугодие 2026 года (H1 2026) индустрия пережила рекордные 207 хакерских инцидентов — это больше, чем в любом полугодии за всё время наблюдений. При этом суммарный ущерб составил около $972 млн: впервые он остался ниже $1 млрд и оказался меньше половины потерь за первое полугодие 2025-го. Данные — из отчёта компании по безопасности Immunefi, опубликованного 9 июля 2026 года.
Детали
Главный парадокс отчёта: атак стало больше, но каждая обходится дешевле. Из 207 инцидентов 125 пришлись на эксплойты смарт-контрактов — это по-прежнему самый частый вектор. Но крупнейшие кражи всё чаще случаются не из-за дыр в коде, а из-за операционных слабостей: скомпрометированных приватных ключей, систем подписи транзакций, кастоди-инфраструктуры и прав привилегированного доступа.Показатель Данные Инциденты за H1 2026 207 — рекорд за всё время наблюдений Суммарные потери за H1 2026 ~$972 млн (ниже $1 млрд; вдвое меньше H1 2025) Эксплойты смарт-контрактов 125 из 207 инцидентов Выплаты исследователям безопасности за H1 2026 $13,45 млн за 837 подтверждённых багов Ущерб DeFi-эксплойтов, 2022 → 2025 $2,62 млрд → $680,3 млн (−74%)
По отдельному отчёту Immunefi о шести годах потерь в DeFi, ущерб от эксплойтов протоколов упал на 74% от пика 2022 года ($2,62 млрд) до $680,3 млн по итогам 2025-го, а медианный убыток на один эксплойт за тот же период снизился на 75%. Мостовые (bridge) эксплойты и атаки через флеш-займы, доминировавшие в прошлые циклы, сегодня дают лишь доли процента потерь. Пожизненные выплаты white-hat-исследователям на площадке Immunefi превысили $140 млн (порог пройден в июне 2026 года).
Что это значит
Снижение долларового ущерба — не сигнал «стало безопаснее для всех». Это скорее смена характера угрозы, и она напрямую касается пользователей DeFi и всех, кто держит средства на самостоятельном хранении. Крупные протоколы после лет аудитов и баунти-программ стало труднее пробить через код: за полугодие исследователям выплатили $13,45 млн за 837 багов, найденных раньше атакующих. Но фронт сместился туда, где отвечает сам пользователь, — в управление приватными ключами, подписи и разрешения (approvals). Мы уже разбирали, как потерянные приватные ключи стоят рынку миллиарды, и отчёт подтверждает этот сдвиг.
По масштабу картина двоякая: 207 атак за полугодие — рекордная частота, то есть точек входа больше, чем когда-либо; но медианный убыток на эксплойт за четыре года упал на 75%, а совокупные потери вдвое ниже прошлогодних. Горизонт — уже сегодня: тренд зафиксирован по итогам первого полугодия, а структурный сдвиг к операционной безопасности будет определять риски и во второй половине 2026-го. Практический вывод для читателя простой — гигиена ключей, аппаратный кошелёк и регулярная чистка approvals защищают сильнее, чем вера в «проверенный» смарт-контракт.
Контекст
Оценки разных фирм по безопасности расходятся из-за методик подсчёта: например, CertiK за то же полугодие насчитала $1,32 млрд потерь. Направление тренда, однако, у всех совпадает — число атак растёт, а долларовый ущерб на фоне зрелости DeFi снижается. «Криптобезопасность враждебна по своей природе и не перестаёт эволюционировать. Честное чтение цифр простое: индустрия учится», — прокомментировал итоги CEO Immunefi Митчелл Амадор.


