Десять лет назад криптоэксплойт требовал редкого набора навыков.
Нужны были глубокие инстинкты по Solidity, практическое понимание архитектуры мостов и достаточно терпения, чтобы проследить месяцы ончейн‑активности. В 2026 году передовая языковая модель может сделать первые два за один день, а мотивированный атакующий может просто купить третье.
Вывод $292 млн из Kelp DAO в эти выходные — последнее напоминание о том, что экономика атак на криптоизменилась, а защитники всё ещё догоняют.
Взлом Kelp DAO — это лишь предупредительный выстрел
Сам по себе эксплойт Kelp — не вся история.
История — в его форме. Атакующий нашёл узкий валидационный зазор в том, как мост Kelp на базе LayerZero обрабатывал межсетевые сообщения, сфальсифицировал пакет, извлёк 116 500 rsETH, а затем завёл добытые средства в Aave (AAVE) V3, чтобы занять под них.
Вся последовательность уложилась меньше чем в час. Раньше на то, чтобы пройти путь от новичка до уровня атакующего, провернувшего такое, уходили годы. Сегодня способная модель, запущенная в исследовательском security‑контуре, может обнаружить такой класс ошибок за одну сессию тестирования.
Как ИИ обрушает стоимость криптоэксплойтов
Шарль Гийемэ, технический директор Ledger, недавно сформулировал тренд в цифрах. За последний год крипторынок потерял около $1,4 млрд из‑за хаков и эксплойтов, и он ожидает роста этой суммы по мере удешевления ИИ‑инструментов.
Причина не мистическая. ОфENSивные инструменты всегда первыми осваивают новые технологии. Большая языковая модель, которая читает Solidity, моделирует крайние случаи и генерирует рабочий эксплойт‑код, сжимает подготовительную фазу атаки с недель до часов. В паре с агентной автоматизацией один атакующий может параллельно прощупывать десятки протоколов.
На стороне трейдинга асимметрия ещё жёстче.
По сообщениям, ИИ‑боты для торговли уже формируют 58% объёма крипторынка в начале 2026 года. Это значит, что контрагентом по большей части человеческих сделок уже выступает машина, что тихо меняет представление о «нормальном» рынке и делает любой honeypot‑ или spoofing‑атаку существенно более выгодной.
Также читайте: Why Does An Oil Lane 7,000 Miles Away Control The Bitcoin Price
Скрытая проблема LLM‑роутеров, из‑за которой опустошаются кошельки
Исследователи CoinDesk недавно отметили второй, более тихий вектор атаки, о котором большинство пользователей никогда не слышало. LLM‑роутеры — это сервисы, стоящие между пользовательским приложением и моделью, которая фактически выполняет работу.
Они выбирают, какая модель обработает какой запрос, и логируют ответы. Исследователи задокументировали 26 роутеров, тайно внедрявших вредоносные вызовы инструментов в агентные цепочки, и один случай, когда так было выведено $500 000 из одного клиентского кошелька. Для атаки не нужен никакой баг в смарт‑контракте. Роутер просто переписывает то, что агенту велено сделать.
Это важно, потому что новое поколение агентных кошельков, включая Agentic Wallets от Coinbase и Life OS от Supra, полагается на доверенные роутеры почти в каждом значимом действии. Компрометированный роутер может превратить полезного шопинг‑агента в тихий дренаж кошелька. Пользователи не видят подмену, потому что агент покорно сообщает, что действие выполнено успешно.
Что строят Ledger, Anthropic и Coinbase в ответ
Оборонительный ответ формируется на трёх уровнях. Ledger спускает проблему на уровень железа. Компания анонсировала новый ИИ‑ориентированный комплект безопасности, который держит право подписи на физическом устройстве и пропускает каждое действие агента через человекочитаемый промпт перед тем, как транзакция попадёт в сеть.
Anthropic в апреле проводила red‑team‑учения на поверхности «агент → биржа», и её исследователи предупреждают, что реальный риск ИИ — не в том, что модели станут «бунтовать», а в том, что их будут тихо манипулировать на уровне биржевых API.
Coinbase встроила программируемые лимиты расходов, ограничения сессий и «оградки» для библиотек инструментов напрямую в продукт Agentic Wallets, при этом приватные ключи хранятся в инфраструктуре Coinbase, а не передаются агенту. Ничто из этого не является серебряной пулей.
Аппаратная подпись предполагает, что пользователь прочитает промпт. Red‑team‑учения ловят только те атаки, о которых вы уже подумали. А оградки Coinbase помогают только в том случае, если агент действительно запускается в стеке Coinbase. Честный вывод: 2026‑й — это год, когда криптоиндустрия перестаёт притворяться, что ИИ — просто продуктовая категория, и начинает рассматривать его как модель угроз.
Историю с выводом средств из Kelp DAO расследуют, и часть средств, возможно, удастся вернуть.
Вопрос, который поднимает открытие торгов в понедельник, — были ли другие мосты DeFi на базе LayerZero уже прощупаны ИИ‑ассистированными атакующими и просто ещё не «выстрелили». Каждый протокол, использующий межсетевые сообщения, входит в этот список.
Читайте далее: Strategy Stock Jumps 12% As Bitcoin Rockets Past $77,000