Протоколи децентралізованих фінансів (DeFi) втратили $92.5 мільйонів у 15 окремих хакерських нападах у квітні 2025 року. Згідно з останнім щомісячним звітом від фірми з безпеки блокчейну Immunefi, це представляє 27.3% річного збільшення у порівнянні з квітнем 2024 і більше ніж подвоює втрати березня 2025 у $41.4 мільйона.
Цей тривожний сплеск підтверджує зростаючу думку серед фахівців з безпеки про те, що технічна основа DeFi залишається небезпечно вразливою, незважаючи на роки високопрофільних експлойтів та повторюваних попереджень від експертів з кібербезпеки. Показники квітня сприяють ще більш тривожній статистиці: загальні криптовалютні втрати від зламів та експлойтів у 2025 році вже досягли $1.74 мільярда - перевищивши загальну річну суму за 2024 рік у $1.49 мільярда лише за чотири місяці.
"Те, що ми спостерігаємо, це не просто тимчасовий сплеск, а фундаментальна криза безпеки в тому, як децентралізовані протоколи розробляються, впроваджуються та підтримуються," пояснює Марія Чен, головний дослідник у ChainSecurity. "Індустрія будує дедалі складнішу фінансову інфраструктуру на коді, що не пройшов такого ж рівня ретельності, як традиційні фінансові системи."
Експлойти квітня, в основному, були спрямовані на вже встановлені блокчейн-мережі, причому 100% атак були класифіковані як технічні експлойти, а не соціальна інженерія або шахрайські напади. Серед 15 задокументованих інцидентів кілька виділяються і по масштабам, і за складними векторами атак:
Протокол UPCX: $70 мільйонів
Найбільший злом місяця вплинув на UPCX, протокол для міжланцюжкових платежів, який накопичив понад $300 мільйонів у загальній заблокованій вартості (TVL) з моменту свого запуску наприкінці 2024 року. 12 квітня зловмисники виявили критичну вразливість у механізмі верифікації повідомлень між ланцюжками.
Згідно з попереднім судово-медичним аналізом компанії Chainalysis, експлойт скористався тонким недоліком у тому, як UPCX перевіряв підписи транзакцій у різних EVM-сумісних ланцюжках. Атакуючі виконали точну атаку у період високої завантаженості мережі, обійшли кроки верифікації та санкціонували шахрайські зняття коштів з декількох пулів ліквідності одночасно.
"Атака на UPCX демонструє, як міжланцюжкові мости продовжують залишатися однією з найбльвразливіших інфраструктур в екосистемі," зазначає Томас Уолтон-Покок, засновник Optimism Security Labs. "Незважаючи на численні історичні приклади експлойтів на мостах, які датуються хакерськими атаками Wormhole та Ronin 2022 року, проекти продовжують недооцінювати складність безпечного міжланцюжкового обміну повідомленнями."
UPCX з тих пір оголосив план компенсації для постраждалих користувачів, хоча деталі все ще залишаються невідомими, поки триває розслідування.
KiloEx: $7.5 мільйона
KiloEx, децентралізована біржа, зосереджена на торгівлі опціонами, втратила $7.5 мільйона 19 квітня через те, що, на перший погляд, є атакою шляхом маніпуляції цінами оракулів. Атакуючий скористався тимчасовим зниженням ліквідності на одному з ринків посилань KiloEx, маніпулюючи сприйнятими цінами контрактів опціонів KETH/ETH.
Спочатку штучно подавивши ціну оракулу через серію скоординованих торгів на декількох майданчиках, потім використовуючи автоматизований механізм ліквідації KiloEx, атакуючий зміг купити сильно знижені контракти на опціони до того, як ціна оракулу відновилася. Content: перевірка.
"Ми спостерігаємо, що протоколи запитують набагато ретельніші аудити, ніж навіть рік тому", повідомляє Ян Михалевський, засновник фірми з питань безпеки Ottersec. "Проекти зазвичай проходять кілька незалежних аудитів, формальну перевірку, де це можливо, та економічні симуляції перед впровадженням."
Страхові рішення
On-chain страхові протоколи, такі як Nexus Mutual та InsurAce, розширили свої варіанти покриття, хоча премії значно зросли у відповідь на зростаючу частоту претензій. Станом на травень 2025 року приблизно 500 мільйонів доларів США у DeFi-активах мають певну форму покриття від експлойтів, що все ще становить менше 1% від загального TVL у DeFi.
Ескалація багбаунті
Immunefi повідомляє, що винагороди за багбаунті зросли в середньому на 64% рік до року, з максимальними виплатами за критичні вразливості, що зараз регулярно перевищують 1 мільйон доларів. У березні 2025 року білий хакер отримав 2,5 мільйона доларів за виявлення критичної вразливості в Uniswap V4—це найбільша винагорода за багбаунті в історії криптовалют.
Регуляторна увага
Регуляторні органи у всьому світі звернули увагу на кризу безпеки. Рамкове законодавство Європейського Союзу з ринків криптоактивів (MiCA), повністю впроваджене на початку 2025 року, тепер вимагає від DeFi-протоколів, що працюють у європейських юрисдикціях, відповідати мінімальним стандартам безпеки.
У Сполучених Штатах Комісія з цінних паперів та бірж (SEC) використовує порушення безпеки як додаткове виправдання для примусових дій проти протоколів, які вважаються такими, що пропонують незареєстровані цінні папери. Голова SEC Гарі Генслер недавно зауважив: "Частота цих хакерських атак демонструє, чому захист інвесторів повинен поширюватися на ці нові фінансові продукти."
Технічна профілактика: шлях вперед
Експерти з питань безпеки загалом погоджуються з кількома необхідними технологічними покращеннями для вирішення основних причин вразливостей DeFi:
Формальна перевірка
Техніки формальної перевірки, які математично доводять правильність коду щодо специфікацій, все більше вважаються необхідними для основних компонентів протоколів. Хоча вони є ресурсомісткими, формальна перевірка може усунути цілий клас вразливостей.
"Індустрія повинна перейти від моделі аудит та запуск до математично обґрунтованих гарантій безпеки," стверджує Мануель Араоз, засновник Zeppelin Solutions. "Для протоколів, які обробляють мільярди у фондах користувачів, нічого меншого, ніж формальна перевірка, не повинно бути прийнятним."
Децентралізоване моніторинг безпеки
Системи моніторингу режиму виконання, які можуть виявляти аномальні транзакційні зразки, набирають оберти. Протоколи, такі як Forta Network, забезпечують децентралізований моніторинг, що може виявляти підозрілі дії через кілька ланцюгів, потенційно дозволяючи швидше реагувати на надзвичайні ситуації.
Тимчасові замки та автоматичні вимикачі
Впровадження обов'язкових затримок для значних рухів коштів та автоматичного призупинення протоколів під час аномальних умов може пом'якшити наслідки майбутніх експлойтів.
Стандартизовані рамкові безпеки
Кілька галузевих груп розробляють стандартизовані рамкові безпеки специфічно для DeFi, включаючи DeFi Security Alliance від Open Zeppelin та Консорціуму безпеки смарт-контрактів Ethereum Foundation.
Балансування інновацій та безпеки
Цифри щодо експлойтів у квітні 2025 року є яскравим нагадуванням, що проблеми безпеки в криптовалюті залишаються актуальними як ніколи. З втратою з початку року у 1,74 мільярда доларів, що вже перевищує весь 2024 рік, індустрія стикається з критичною точкою перелому.
"Основна проблема, з якою стикається DeFi, не є технічною - це культурна," підсумовує д-р Нарула. "Індустрія надає пріоритет швидкості інновацій над безпекою, і поки цей баланс не зміниться, ми продовжимо бачити ці заголовки."
Щоб DeFi досягло широкого прийняття та інституційної участі, практики безпеки повинні дорівнювати величезній фінансовій відповідальності, яку ці протоколи взяли на себе. Пермісивні інновації, які стимулювали швидкий розвиток криптовалют, повинні бути збалансовані з суворими практиками безпеки, відповідними для фінансової інфраструктури, що обробляє мільярди у фондах користувачів.
По мірі того, як індустрія входить у другу третину 2025 року, всі очі будуть спрямовані на те, чи зможуть протоколи впровадити більш надійні заходи безпеки без жертвування відкритістю та сумісністю, які роблять DeFi революційним. Результат цієї технічної та культурної проблеми, ймовірно, визначить, чи стане децентралізоване фінансування трансформаційною глобальною фінансовою системою або залишиться постійно вразливим до експлуатації.