#DeFiLossesTop600MInApril

Ландшафт DeFi зазнав перевірки у квітні 2026 року, що стало найвразливішим місяцем для безпеки протоколів за останню історію. Дані з DeFi Llama та CertiK свідчать, що з 24 по 30 число сталося 24 окремі інциденти, що призвели до загальних збитків приблизно у 651 мільйон доларів, з яких протоколи DeFi склали саме 614,17 мільйонів доларів. Це найзначніші щомісячні втрати у доларовому еквіваленті з моменту

Концентрація ризику: два основні зломи
Майже 95% загальних втрат місяця походили всього від двох масштабних порушень:
Kelp DAO (292 мільйони доларів): 18 квітня протокол для ліквідного повторного залучення зазнав архітектурної експлуатації, а не помилки коду. Зловмисники зламали вузол валідатора LayerZero та два вузли RPC, використовуючи DDoS-атаку на резервні копії для примусового переключення. Це дозволило створити 116 500 непідкріплених rsETH. Наслідки були миттєвими, змусивши такі великі платформи, як Aave і SparkLend, заморозити ринки. Вартість заблокованих активів Aave знизилася з 26,4 мільярда до 18 мільярдів доларів за 48 годин через поширення інфекції.
Drift Protocol (280 мільйонів доларів): 1 квітня платформа для перпетуальних контрактів на базі Solana була знята з понад половини свого TVL. Це стало кульмінацією шести місяців "структурованої розвідки", що включала соціальну інженерію для отримання адміністративного доступу. Відлуння цього вплинуло на інтегровані платформи, такі як Gauntlet і PrimeFi, що призвело до припинення операцій на кількох партнерських протоколах.
Від смарт-контрактів до операційних вразливостей
У квітні фокус змістився з помилок повторного входу на "операційні слабкості". Злом протоколу Wasabi 30 квітня є яскравим прикладом, коли було втрачено 4,55 мільйона доларів через те, що обліковий запис розгортання надав адміністративні ролі контракту зловмисника через оновлення проксі. Це підкреслює критичну ваду галузі: єдину точку контролю. Без таймлоків або надійних мульти-підписів адміністративна влада фактично стає центральною точкою відмови.
Ефект поширення та реакція галузі
Інцидент з Kelp DAO спричинив масовий відтік капіталу, за два дні з DeFi TVL зникло 13 мільярдів доларів. Оскільки фальшивий rsETH використовувався як заставне забезпечення, ризик "поганого боргу" швидко поширився по екосистемах Ethereum і Solana. Це знову підняло питання між пуристами "Код — це Закон" і тими, хто підтримує "Короткі зупинки". Хоча проєкти, такі як Flying Tulip, інтегрують автоматичні паузи, галузь залишається між необхідністю дотримання децентралізованих ідеалів і практичною необхідністю централізованих заходів безпеки для захисту коштів депонентів.
Стратегічні висновки для учасників ринку
Події квітня свідчать про кілька важливих змін у тому, як користувачі повинні оцінювати безпеку протоколів:
Прозорість інфраструктури: Проєкти, що використовують міжланцюгові мости, повинні розкривати свої конфігурації валідаторів. Конфігурація 1-із-1 тепер вважається високоризикованим індикатором.
Аудит адміністративних прав: Користувачі все частіше відстежують, чи використовують протоколи MPC, мульти-підписи або таймлоки. Відсутність цих функцій свідчить про те, що один зламаний ключ може призвести до повної втрати.
Моніторинг у реальному часі: Оскільки зловмисники тепер виходять через міксери та DEX протягом кількох хвилин, моніторинг у реальному часі та можливість зупинити протоколи перейшли з розкоші у необхідність безпеки.
З урахуванням збитків, що перевищують 770 мільйонів доларів з початку року, більшість з яких сталася саме в квітні, центральне питання для галузі змінилося. Йдеться вже не лише про безпеку коду, а про цілісність влади, що тримає ключі.
Завжди проводьте власне дослідження (DYOR).
#DeFiLossesTop600MInApril
#GateSquareMayTradingShare
#Gate广场五月交易分享