Що сталося
Протягом першого півріччя 2026 року (H1 2026) індустрія пережила рекордні 207 хакерських інцидентів — більше, ніж у будь-якому півріччі за весь час спостережень. Водночас сукупні збитки становили близько $972 млн: уперше вони лишилися нижчими за $1 млрд і виявилися меншими за половину втрат першого півріччя 2025-го. Дані — зі звіту компанії з безпеки Immunefi, оприлюдненого 9 липня 2026 року.
Деталі
Головний парадокс звіту: атак стало більше, але кожна коштує дешевше. Зі 207 інцидентів 125 припали на експлойти смарт-контрактів — це досі найчастіший вектор. Проте найбільші крадіжки дедалі частіше трапляються не через діри в коді, а через операційні слабини: скомпрометовані приватні ключі, системи підписання транзакцій, кастоді-інфраструктуру та права привілейованого доступу.Показник Дані Інциденти за H1 2026 207 — рекорд за весь час спостережень Сукупні втрати за H1 2026 ~$972 млн (нижче $1 млрд; удвічі менше за H1 2025) Експлойти смарт-контрактів 125 зі 207 інцидентів Виплати дослідникам безпеки за H1 2026 $13,45 млн за 837 підтверджених багів Збитки DeFi-експлойтів, 2022 → 2025 $2,62 млрд → $680,3 млн (−74%)
За окремим звітом Immunefi про шість років втрат у DeFi, збитки від експлойтів протоколів упали на 74% від піка 2022 року ($2,62 млрд) до $680,3 млн за підсумками 2025-го, а медіанний збиток на один експлойт за той самий період знизився на 75%. Мостові (bridge) експлойти й атаки через флеш-позики, що домінували в минулих циклах, сьогодні дають лише частки відсотка втрат. Довічні виплати white-hat-дослідникам на майданчику Immunefi перевищили $140 млн (поріг пройдено в червні 2026 року).
Що це означає
Зниження доларових збитків — не сигнал «стало безпечніше для всіх». Це радше зміна характеру загрози, і вона безпосередньо стосується користувачів DeFi та всіх, хто тримає кошти на самостійному зберіганні. Великі протоколи після років аудитів і баунті-програм стало важче зламати через код: за півріччя дослідникам виплатили $13,45 млн за 837 багів, знайдених раніше за атакувальників. Але фронт змістився туди, де відповідає сам користувач, — в управління приватними ключами, підписання й дозволи (approvals). Ми вже розбирали, як втрачені приватні ключі коштують ринку мільярди, і звіт підтверджує цей зсув.
За масштабом картина двоїста: 207 атак за півріччя — рекордна частота, тобто точок входу більше, ніж будь-коли; але медіанний збиток на експлойт за чотири роки впав на 75%, а сукупні втрати вдвічі нижчі за торішні. Горизонт — уже сьогодні: тренд зафіксовано за підсумками першого півріччя, а структурний зсув до операційної безпеки визначатиме ризики й у другій половині 2026-го. Практичний висновок для читача простий — гігієна ключів, апаратний гаманець і регулярне очищення approvals захищають дужче, ніж віра у «перевірений» смарт-контракт.
Контекст
Оцінки різних фірм із безпеки різняться через методики підрахунку: наприклад, CertiK за те саме півріччя нарахувала $1,32 млрд втрат. Утім напрям тренду в усіх збігається — кількість атак зростає, а доларовий збиток на тлі зрілості DeFi знижується. «Криптобезпека ворожа за своєю природою і не припиняє еволюціонувати. Чесне прочитання цифр просте: індустрія вчиться», — прокоментував підсумки CEO Immunefi Мітчелл Амадор.
