ЕС хочет включить в 21-й пакет санкций 90 российских банков — Reuters
Аналитический обзор реестра инцидентов 2020-2026
За шесть лет индустрия зафиксировала 312 подтверждённых инцидентов с минимальным порогом $1 млн. Суммарный ущерб составил $20,7 млрд, хотя $8,7 млрд из этой суммы приходится на коллапс FTX в ноябре 2022 года, который представлял собой системное банкротство, а не технический взлом. После исключения FTX реальный ущерб от эксплойтов и взломов за период составил $12,0 млрд.
Разрыв между средним значением $66 млн и медианой $7,5 млн отражает крайнюю концентрацию потерь. Девяносто процентов инцидентов по объёму не превышают $82 млн каждый, тогда как пять крупнейших взломов формируют около 60% совокупного ущерба реестра. Распределение в большей степени характеризует редкие катастрофические события, а не типичный инцидент.
Где сосредоточен ущерб
Централизованные биржи несут 64% суммарного ущерба при 49 инцидентах, что отражает концентрацию активов, а не частоту атак. Три инцидента, FTX с $8,7 млрд, Bybit с $1,46 млрд и Voyager с $1 млрд формируют большую часть этой цифры. За их вычетом ущерб CEX-сегмента опускается до $1,7 млрд за шесть лет, что сопоставимо с убытками мост-протоколов при почти втрое большем числе инцидентов в других категориях.
DEX-сегмент занимает противоположную позицию по структуре риска с 155 инцидентами и средним ущербом $17 млн. Флеш-атаки и манипуляции оракулами позволяют опустошать протокол в рамках одной транзакции, после чего от него не остаётся ни резервов, ни менеджмента. Полный возврат зафиксирован лишь в 15,6% случаев против 47% в CEX-сегменте, что прямо вытекает из этой структуры.
Мост-протоколы формируют наибольший средний ущерб на инцидент в $85 млн против $17-21 млн в DEX и lending. При 35 инцидентах суммарный ущерб составил $2,99 млрд, а четыре крупнейших кейса, Ronin на $624 млн, Wormhole на $320 млн, BNB Chain Token Hub на $566 млн и Nomad на $190 млн, связаны с государственными хакерами КНДР или унесли средства через миксеры без возможности переговоров. Показатель в 40% полного возврата объясняется тем, что часть компенсаций покрыта материнскими компаниями, а не возвратом похищенного.
Динамика по годам
2022 год зафиксировал $11,9 млрд суммарного ущерба при 67 инцидентах, что остаётся абсолютным максимумом за всю историю реестра. После исключения FTX реальный технический ущерб года составил $3,2 млрд, что само по себе остаётся историческим максимумом. Первая половина 2022 года была периодом системных bridge-катастроф: Ronin, Wormhole и Harmony вместе унесли более $1 млрд в течение пяти месяцев, BNB Chain Token Hub в октябре добавил ещё $566 млн.
Период 2023-2024 годов характеризуется снижением среднего ущерба до $21-25 млн на инцидент при сохранении числа событий на уровне 50-60 в год. Доля кейсов с полным возмещением в эти годы наиболее высока в относительном выражении, отражая адаптацию через стандартизацию white hat переговоров и формирование страховых фондов. 16 инцидентов с полным возвратом в 2024 году стали лучшим показателем за всю историю реестра.
В 2025 году средний ущерб на инцидент вырос до $53 млн за счёт единственного события. Взлом Bybit на $1,46 млрд, атрибутированный Lazarus Group, составил 58% годового ущерба. После исключения Bybit год выглядит вполне рядовым. Парадокс 2025-го в том, что именно он показал максимальный абсолютный объём полного возмещения за всю историю: $1,89 млрд, из которых $1,46 млрд покрыт Bybit через экстренные займы от Galaxy Digital, FalconX и Wintermute, а также прямую поддержку от Binance и Bitget в течение 72 часов.
Реальная картина возврата средств
65% инцидентов в категории без публичных данных формируют главное методологическое ограничение реестра. Большинство из 205 кейсов приходится на мелкие DeFi-протоколы, которые прекращали работу или замолкали без итогового отчёта. Отсутствие данных не равнозначно отсутствию выплат. Часть «неизвестных» исходов завершилась частичной компенсацией через treasury или токенные планы, просто без верифицируемой документации. Реальная доля возмещений, по всей видимости, выше 28%.
Цифра $14,3 млрд в категории полного возврата требует отдельного пояснения. Из них $8,7 млрд приходится на FTX, где клиенты получили 96–120% требований по ценам ноября 2022 года в рамках судебного плана реструктуризации. По нашей классификации 96% превышает порог ≥95%, и FTX попадает в «полный возврат», технически корректно, хотя принципиально отличается от возврата средств после технического взлома. Без учёта FTX полный возврат от технических взломов составляет $5,6 млрд по 71 кейсу, то есть 26,8% от суммарного ущерба реестра. По плану реструктуризации, утверждённому Delaware Bankruptcy Court в октябре 2024 года, US-клиенты получили 100% требований по ценам ноября 2022 года, Dotcom-клиенты 96%, мелкие держатели до $50 тыс. получили 120% с процентами. После четырёх раундов выплат в 2025–2026 году FTX Recovery Trust распределил около $10 млрд. Ключевое ограничение сохраняется. Все выплаты рассчитаны по ценам ноября 2022 года, и держатели биткоина, по существу, зафиксировали убыток относительно рыночной стоимости активов на момент получения компенсации.
14 верифицированных кейсов без возврата на $852 млн объединяет общая характеристика. Либо атака государственных хакеров с немедленным выводом через миксеры, либо rug pull с исчезновением команды, либо арест создателей. Beanstalk на $181 млн, Multichain июль 2023 на $126 млн, BonqDAO на $120 млн, Mirror Protocol на $92 млн и Orbit Chain на $81 млн формируют 70% этого объёма. В каждом из этих случаев стандартный переговорный механизм был заведомо неприменим.
Размер взлома и вероятность возврата
Крупнейшие взломы дают наибольшую вероятность полного возврата: 11 из 24 случаев с ущербом выше $100 млн завершились полным возмещением. Диапазон $50-100 млн показывает худший результат по сочетанию двух рисков, где вероятность полного возврата вдвое ниже верхней когорты, вероятность нулевого исхода в два раза выше.
Контринтуитивная зависимость объясняется двумя механизмами. Платформа с $600 млн на кону располагает мотивом, резервами и репутационным давлением для урегулирования, недоступными протоколу с $3 млн ущерба. Одновременно атакующий, укравший крупную сумму, сталкивается с практической невозможностью вывода: USDT замораживает Circle, объём неликвиден на открытом рынке, идентификация неизбежна. В диапазоне $50-100 млн эти ограничения пропадают, а протокол к тому же достаточно мал, чтобы не вызвать системной реакции отрасли.
Как возвращают деньги
Собственный резерв или страховой фонд платформы преобладает в CEX-сегменте. KuCoin, Crypto.com, Stake.com и DMM Bitcoin покрыли потери из операционных средств или предварительно сформированных фондов без привлечения внешнего финансирования. Bybit восполнил резервы через экстренные займы от Galaxy Digital, FalconX и Wintermute плюс прямую поддержку от Binance и Bitget в виде депозитов ETH. Механизм в обоих случаях работает только при управленческом решении не перекладывать потери на пользователей и достаточной репутации для привлечения внешней ликвидности.
Переговорный возврат через вознаграждение за уязвимость стал стандартом DeFi-сегмента. Схема проста. Протокол публично предлагает атакующему оставить 10-20% похищенного как вознаграждение за обнаруженную уязвимость в обмен на возврат остальных средств и письменную гарантию отсутствия уголовного преследования. Большинство атакующих принимают предложение, когда понимают, что их адреса под наблюдением и вывести средства без идентификации невозможно. Механизм срабатывает при двух условиях. Атакующий идентифицируем или рискует быть идентифицированным, и средства ещё не выведены через миксер. Loopscale вернул $5,8 млн за 72 часа, Thala Labs $25,5 млн за 6 часов, Seneca $5,1 млн из $6,4 млн за сутки. Скорость реакции напрямую определяет исход.
Правовое и регуляторное давление применимо при наличии идентифицируемого оператора или юрисдикции. Euler Finance вернул $197 млн в течение 23 дней, причём атакующий начал возврат добровольно после публичного on-chain ультиматума, осознав невозможность безопасного вывода. Poly Network на $611 млн в 2021 году представлял уникальную ситуацию, в которой атакующий столкнулся с практической невозможностью вывода при сумме такого масштаба и вернул средства добровольно за две недели.
Централизованная заморозка стейблкоинов применима только к активам под контролем эмитента. Circle блокировала USDC на адресах атакующих в нескольких кейсах мост-протоколов и CEX. Инструмент охватывает узкий класс активов и не масштабируется на нативные токены или ETH. Ни один из механизмов не работает против Lazarus Group и аналогичных государственных структур, поскольку средства уходят через миксеры в первые минуты, идентификация невозможна в операционно значимые сроки.
Кейсы, которые меняют интерпретацию
Bybit, $1,46 млрд, полное возмещение за 72 часа
Взлом Bybit в феврале 2025 года стал крупнейшим верифицированным техническим инцидентом в истории индустрии. Атака проведена через Safe{Wallet} multisig-интерфейс, атрибутирована Lazarus Group. Bybit восполнил резервы на ~447 000 ETH за трое суток через комбинацию экстренных займов от Galaxy Digital, FalconX и Wintermute, а также поддержки от Binance и Bitget без приостановки вывода средств пользователями. Украденные активы остались у Lazarus Group и лаундерились через миксеры. Инцидент переформатировал рыночные ожидания. Быстрое восполнение резервов через индустриальную солидарность, а не собственный фонд, стало де-факто стандартом реакции для крупной биржи.
Poly Network, $611 млн, полный возврат за 14 дней
В августе 2021 года атакующий вернул $611 млн приблизительно за две недели, из которых $610 млн возвращено напрямую, а $33 млн USDT заморожено Tether в первый час после атаки. Структурная причина возврата состоит в другом. При сумме такого масштаба у атакующего не было инфраструктуры для безопасного вывода средств. $33 млн USDT заморожено Tether в течение часа после атаки, остальные токены оказались неликвидны в таком объёме. Кейс интерпретируют как переговорный успех, хотя атакующий оказался в практическом тупике и возврат был рациональным выходом.
FTX, $8,7 млрд дефицита, фактически полный возврат через банкротство
FTX представляет системный коллапс, а не технический взлом. Дефицит $8,7 млрд верифицирован судебными документами марта 2023 года. Конкурсная масса собрала $14,7-16,5 млрд за счёт продажи долей в Anthropic, Robinhood, SOL-позиций и clawback-исков. Четыре раунда выплат в 2025-2026 году суммарно вернули около $10 млрд. По состоянию на март 2026 года US-клиенты получили 100% требований, Dotcom-клиенты 96%, держатели мелких требований до $50 тыс. получили 120% с процентами. Ключевое ограничение сохраняется. Все выплаты рассчитаны по ценам ноября 2022 года, и держатели биткоина, по существу, зафиксировали убыток относительно рыночной стоимости активов на момент получения компенсации.
Euler Finance, $197 млн — возврат с прибылью через 23 дня
Атакующий («Jacob») вернул все средства в течение 23 дней после атаки 13 марта 2023 года. Euler опубликовал on-chain ультиматум с дедлайном. Примечательно: ETH вырос за три недели переговоров, и Euler в итоге получил обратно $240 млн при изначальном ущербе $197 млн. Кейс показал, что при публичной угрозе идентификации и затруднённом выводе переговорный механизм работает даже при суммах этого масштаба.
Multichain, $126 млн, нулевой возврат
CEO Zhaojun арестован китайской полицией в мае 2023 года за два месяца до атаки. После исчезновения CEO его сестра перевела оставшиеся активы на подконтрольные адреса и также была задержана. High Court Сингапура в 2025 году назначил ликвидаторов KPMG. Единственная публично подтверждённая выплата пользователям составила $2,18 млн в пользу Fantom Foundation, то есть 1,7% от потерь. Структурная причина провала состояла в архитектуре хранения. Протокол с $100+ млн TVL держал все мастер-ключи у одного человека без резервной процедуры.
Вывод
За шесть лет 312 верифицированных инцидентов суммарно нанесли ущерб на $20,7 млрд. По верифицированным данным реестра, $14,3 млрд из $20,7 млрд ущерба попадают в категорию полного возврата, однако $8,7 млрд из этой суммы приходится на FTX, чьи клиенты получили компенсацию через судебный план реструктуризации, а не через возврат похищенного. Без учёта FTX полный возврат от технических взломов составляет $5,6 млрд по 71 кейсу. Реальные потери пользователей значительно ниже публикуемых заголовочных цифр, но точная оценка невозможна из-за отсутствия публичных данных по 65% инцидентов.
Страховой резерв, сформированный заранее, определяет исход взлома. CEX-сегмент с 47% случаев полного возмещения опережает все остальные категории вопреки тому, что несёт 64% ущерба. Резерв, сформированный заранее, эффективнее любого смарт-контракта при отсутствии ликвидности для погашения долга в момент атаки.
Диапазон $50-100 млн концентрирует наибольший риск невозврата для пользователя. При ущербе этого размера протокол разрушается, но событие недостаточно заметно для системной реакции отрасли. Вероятность нулевого исхода здесь составляет 16% против 12% в крупнейшей когорте.
Государственные хакеры формируют категорию вне стандартных сценариев урегулирования. Lazarus Group стоит за крупнейшими bridge-взломами. Скорость вывода через миксеры исключает переговорный механизм, а юрисдикционные ограничения делают правовое преследование практически нереализуемым.
White hat bounty работает только если протокол успевает выйти на контакт с атакующим до завершения первичного вывода средств. Из кейсов в реестре Loopscale, Thala Labs, KiloEx и Seneca показывают, что при быстрой реакции вероятность возврата кратно выше, чем принято считать. Стандарт 10-20% bounty достаточно укоренён в отрасли, чтобы атакующий воспринимал его как реальную альтернативу.
65% кейсов без публичных данных удерживают реальную долю возмещений в зоне неопределённости. Большинство из 202 протоколов в этой категории просто не публиковали итоговой документации. Отраслевые показатели возврата занижены по умолчанию, и верифицированная доля возмещений составляет 30% по числу инцидентов, с учётом всех категорий частичного и полного возврата.
Практические критерии оценки риска для инвестора
Реестр 312 инцидентов выявляет устойчивые паттерны, которые позволяют структурировать оценку риска до размещения позиции. Девять критериев ниже вытекают непосредственно из наблюдаемых данных, а не из общих принципов безопасности.
1. Наличие верифицированного страхового резерва
Централизованные биржи с публично подтверждённым страховым фондом компенсировали потери пользователей в 47% случаев взломов против 11% и ниже у платформ без резерва. Платформа без сформированного резерва при взломе выбирает между ликвидацией и перекладыванием убытков на пользователей. Перед размещением средств необходимо установить объём фонда относительно суммарных пользовательских активов, факт и автора последнего независимого Proof-of-Reserves аудита, а также наличие публичного обязательства о покрытии потерь.
Наличие фонда не заменяет понимания его целевого назначения. Страховой фонд Drift Protocol существовал на момент взлома в апреле 2026 года, однако пострадавшие пользователи не получили из него компенсации. Его мандат распространяется только на торговые банкротства, когда ликвидации недостаточно для погашения долга и убытки распределяются среди депозиторов протокола, а внешний взлом в этот мандат не входит. Перед размещением средств в протоколе с Insurance Fund необходимо установить конкретный перечень сценариев, при которых фонд может быть задействован, и убедиться, что внешние взломы в их число входят.
2. Диапазон TVL $50-100 млн как зона повышенного риска
Протоколы с суммарными заблокированными активами в этом диапазоне демонстрируют 16% вероятность нулевого возврата при взломе, что вдвое хуже показателя протоколов с TVL выше $100 млн. Протокол достаточно велик, чтобы представлять интерес для профессионального атакующего, однако недостаточно заметен, чтобы привлечь системную реакцию индустрии в виде помощи от конкурентов, регуляторного давления или инфраструктуры blockchain-аналитики в режиме реального времени. Размер позиции в этом диапазоне должен отражать вероятность полного невозврата.
3. Мост-протоколы требуют отдельного уровня осторожности
Средний ущерб на один инцидент с мост-протоколом составил $85 млн, что в пять раз превышает аналогичный показатель для DEX. Четыре из крупнейших bridge-взломов атрибутированы государственным акторам КНДР, для которых стандартный переговорный механизм возврата не работал ни разу. Особенность bridge заключается в том, что он аккумулирует активы в транзитном состоянии, где средства концентрируются в одной точке на время перехода между сетями, формируя цель с высоким соотношением ценности к сложности атаки. Использование bridge оправдано только в рамках конкретной транзакции, без хранения средств в протоколе сверх времени, необходимого для перевода.
4. Структура управления ключами
Multichain на $126 млн потерял всё, поскольку мастер-ключи хранились у одного человека. Qubit Finance на $80 млн использовал validator set из пяти адресов, пять из которых были скомпрометированы в рамках одной атаки. Устойчивая архитектура предполагает multisig с числом подписантов, при котором компрометация одного участника не даёт атакующему контроль, timelock на governance-предложениях, позволяющий сообществу заметить и заблокировать вредоносное действие до его исполнения, а также распределение ключей между независимыми юрисдикциями. Публичный post-mortem предыдущих аудитов является необходимым, но недостаточным условием: Euler Finance прошёл шесть аудитов до взлома на $197 млн.
5. Возраст протокола и история аудитов
Большинство эксплойтов используют уязвимости, существующие в коде с момента запуска протокола. Протокол, существующий менее двух лет и прошедший один аудит, несёт принципиально иной риск по сравнению с протоколом, который прошёл несколько независимых аудитов разными командами и функционирует без инцидентов три года и более. Время без взлома при высоком TVL является косвенным, но значимым сигналом, поскольку атакующие активно сканируют новые контракты, и выживание протокола в период роста означает, что очевидных уязвимостей в публичном коде нет.
6. Скорость реакции команды как индикатор готовности к кризису
Из всех случаев успешного переговорного возврата в реестре, Loopscale, Thala Labs, KiloEx и Seneca закрыли возврат в течение 72 часов с момента выдвинутого ультиматума, причём Thala вернула $25,5 млн уже через 6 часов. Протоколы, вышедшие на контакт с атакующим позже, как правило, не добивались возврата, поскольку окно до начала лаундеринга через миксеры составляет от нескольких минут до нескольких часов. Публично доступная история реакции команды на предыдущие инциденты, баг-репорты или технические сбои является опережающим индикатором того, насколько быстро она действует в условиях кризиса.
7. Государственные хакеры как отдельная категория угрозы
Lazarus Group атрибутирован в инцидентах на сумму свыше $3 млрд: Bybit, Ronin, Harmony, Wormhole, Orbit Chain. Тактика группы воспроизводима и включает социальную инженерия против команды или сторонней инфраструктуры, немедленный вывод через сеть промежуточных кошельков, конвертация в биткоин в течение нескольких недель. Переговорный механизм с этой категорией атакующих не сработал ни разу. Протокол с публично задокументированными связями с юрисдикциями, против которых действует Lazarus, или с командой, работающей через инфраструктуру из группы риска, несёт дополнительный структурный риск, не отражённый в аудитах смарт-контрактов.
8. Профиль риска CEX отличается от профиля DeFi
Взломы централизованных бирж реже бывают технически-контрактными и чаще операционными или криминальными. FTX представлял мошенничество менеджмента, Multichain рухнул из-за единоличного контроля, а не из-за уязвимости в коде. Верифицированный Proof-of-Reserves подтверждает, что активы существуют на момент аудита, однако не ограничивает их использование менеджментом в промежутке между проверками. Независимый аудит движения средств со стороны внешней структуры, а не самой платформы, является более сильным сигналом надёжности, чем частота публикации PoR.
9. Диверсификация хранения
Ни один из 312 инцидентов в реестре не затронул одновременно несколько несвязанных платформ одного пользователя. Максимально возможный единовременный ущерб при диверсификации между CEX с резервом, cold storage и несколькими DeFi-протоколами разных категорий ограничен размером наибольшей из позиций. Практическое следствие состоит в том, что концентрация свыше 30-40% капитала на одной платформе или в одном протоколе переводит риск взлома из управляемого в потенциально критический вне зависимости от качества аудита.
Методологическое примечание. FTX: сумма $8 700 млн представляет верифицированный дефицит клиентских средств по судебным документам марта 2023 года. Цифра $11 млрд относится к форфичеру СБФ по приговору и является иным правовым показателем. Для прочих диапазонных значений используется нижняя граница. Категория «данные не раскрыты» не приравнивается к отсутствию возврата. Данные актуальны на апрель 2026 года.