Kriptovaliutų įsilaužimų rekordas: didžiausia grėsmė – infrastruktūra
Kriptovaliutų įsilaužimų skaičius pasiekė naują rekordą, tačiau didžiausia grėsmė rinkai vis aiškiau slypi ne pačiose išmaniosiose sutartyse, o infrastruktūroje. Naujausi TRM Labs duomenys rodo, kad pirmasis 2026 m. pusmetis tapo įspėjimu visai industrijai apie tai, kur iš tiesų prarandami pinigai.
Rekordinis incidentų skaičius, bet mažesni bendri nuostoliai
Savo 2026 m. pirmojo pusmečio kriptovaliutų įsilaužimų apžvalgoje TRM Labs nurodė, kad per pirmuosius šešis mėnesius užpuolikai įvykdė 207 atskirus įsilaužimus – tai daugiausia, kiek bendrovė yra užfiksavusi per bet kurį šešių mėnesių laikotarpį. Vis dėlto bendri nuostoliai sumažėjo iki 972 mln. USD, t. y. mažiau nei pusės 2,3 mlrd. USD, pavogtų per pirmąjį 2025 m. pusmetį.
Šis skirtumas keičia saugumo analizę. Nors incidentų daugėja ir nukenčia daugiau protokolų, žetonų bei decentralizuotų programų, didžiausi nuostoliai vis dažniau siejami su operacinėmis sistemomis: raktais, saugojimu, pasirašymo infrastruktūra, patvirtinimo srautais ir kitais valdikliais, susijusiais su lėšų judėjimu, o ne vien tik su kodu.
DeFi komandoms išmaniųjų sutarčių auditai ir toliau išlieka būtini, nes būtent išmaniųjų sutarčių išnaudojimai nulėmė didžiąją dalį incidentų. Tačiau vis daugiau žalos padaro ne pačios sutartys, o sistemos, kurios leidžia nustatyti, kas gali pervesti lėšas, kaip tikrinami parašai ir kaip pasitikima protokolo infrastruktūra.
Daugiau incidentų, bet mažesnis vidutinis nuostolis
TRM Labs teigė, kad įsilaužimų skaičius daugiau nei padvigubėjo – nuo 83 incidentų 2025 m. pirmąjį pusmetį iki 207 2026 m. pirmąjį pusmetį. Vien per antrąjį ketvirtį užfiksuoti 123 incidentai po rekordinio pirmojo ketvirčio.
Didžiausią šio augimo dalį sudarė išmaniųjų sutarčių išnaudojimai, kurie sudarė 125 iš 207 incidentų. Tačiau tipinis nuostolis buvo gerokai mažesnis, nei rodo bendras skaičius. TRM skaičiavimu, vidutinis įsilaužimo nuostolis siekė apie 219 000 USD, o mediana – 4,7 mln. USD.
Tai rodo, kad keli itin dideli incidentai gali smarkiai iškreipti bendrą vaizdą, net jei kasdienė grėsmių aplinka tampa vis tankesnė ir fragmentiškesnė.
Infrastruktūra ir operaciniai kompromisai – didžiausia problema
TRM Labs nustatė, kad infrastruktūros ir operaciniai kompromisai sudarė tik apie 15% incidentų 2026 m. pirmąjį pusmetį, tačiau jiems teko maždaug 76% pavogtos vertės. Būtent šis santykis ir yra pagrindinė ataskaitos išvada: didžiausi nuostoliai kyla ne iš dažniausių incidentų, o iš tų atakų, kurios pažeidžia lėšas valdančias sistemas.
Tai reiškia, kad vienas auditų ciklas nėra pakankamas saugumo strategijai. Užpuolikas gali apeiti pagrindinę sutartį ir smogti per pasirašantį asmenį, paveikti tilto patvirtinimo kelią, užnuodyti operacinę priklausomybę arba gauti patvirtinimą kenkėjiškam pervedimui.
Šiaurės Korėja – didžiausias pavogtos vertės šaltinis
Ryškiausias pavyzdys – su Šiaurės Korėja susijusios veiklos koncentracija. TRM apskaičiavo, kad apie 643 mln. USD, arba maždaug 66% visų lėšų, pavogtų 2026 m. pirmąjį pusmetį, buvo priskirta su Šiaurės Korėja susijusiai veiklai. Tai mažiau nei apie 1,7 mlrd. USD per 2025 m. pirmąjį pusmetį, tačiau šie veikėjai vis tiek išliko didžiausiu pavogtos vertės šaltiniu.
Beveik visa 2026 m. pirmojo pusmečio suma buvo gauta iš dviejų balandžio mėnesio operacijų, susijusių su „Drift Protocol“ ir „KelpDAO“. TRM vertinimu, „Drift“ nuostoliai siekė apie 285 mln. USD, o „KelpDAO“ – apie 292 mln. USD, iš viso beveik 577 mln. USD.
Šie incidentai atspindėjo tą patį platesnį modelį: užpuolikai taikėsi į infrastruktūros ir žmogiškąjį sluoksnį aplink DeFi sistemas, o ne vien į pagrindines išmaniąsias sutartis. Tai svarbu, nes su Šiaurės Korėja susijusios operacijos paprastai apima ne tik techninį įsibrovimą, bet ir socialinę inžineriją, operacinę kantrybę, plovimo infrastruktūrą bei valstybės remiamus finansinius tikslus.
Auditų nepakanka – reikia operacinės gynybos
TRM perspėja, kad mažesnė dolerio suma 2026 m. pirmąjį pusmetį nereiškia sumažėjusio užpuolikų pajėgumo. Veikiau tai rodo, kad nebuvo dar vienos vagystės, prilygstančios didžiausioms 2025 m. atakoms. Kitaip tariant, rizikos klasė, kuri sukuria didžiausius nuostolius, iš esmės liko nepakitusi.
Dėl to kitas didelis incidentas greičiausiai nebus paprastas programavimo klaidos atvejis. Labiau tikėtina, kad bus pažeistas patvirtinimo procesas, pavogtas privatus raktas, socialiai paveiktas pasirašantis asmuo, per plačiai pasitikėta tiekėjo ar infrastruktūros priklausomybe arba per lėtai sureaguota, kai lėšos pradėjo judėti per kelias grandines.
TRM pabrėžia, kad svarbiausi valdikliai, galintys lemti katastrofiškus nuostolius, yra susiję su turto judėjimu. Tai apima raktų valdymą, pasirašymo infrastruktūrą, patvirtinimo darbus ir saugojimą. Kitaip tariant, stipresnis protokolas turi ne tik žinoti, kas gali inicijuoti didelius pervedimus, bet ir kas juos gali patvirtinti, kurie įrenginiai turi prieigą prie pasirašymo kelių, kaip valdžios keitimai yra atidedami ar ginčijami bei kas nutinka pažeidus patikimo operatoriaus ar tiekėjo paskyrą.
Statinis auditas į šiuos klausimus neatsako, jei veiklos aplinka pasikeičia.
Platesnis poveikis biržoms ir rinkos infrastruktūrai
Šis pokytis paliečia ne tik protokolus, bet ir biržas, saugotojus bei finansų įstaigas. TRM teigė, kad pavogtas turtas dažnai keliauja per kryžmines grandines ir KYC neturinčias keityklas, kol pasiekia biržas. Todėl vien pirmojo pervedimo patikra nebepakanka, kai užpuolikai gali greitai judinti vertę tarp skirtingų grandinių ir paslaugų.
Dėl to vis svarbesni tampa daugiakrypčių operacijų stebėjimas, greitesnis piniginių adresų dalijimasis ir koordinacija tarp protokolų, biržų, stabiliųjų monetų leidėjų, analizės įmonių bei teisėsaugos. TRM pabrėžia, kad informacijos dalijimosi tinklai gali lemti, ar pavogtos lėšos bus įšaldytos, atsektos ar išplautos.
Ką tai reiškia rinkai?
Rinkai tai signalizuoja, kad didžiausia rizika kripto sektoriuje vis labiau persikelia į operacinę infrastruktūrą, o ne vien į kodą. Investuotojai ir projektai gali tikėtis didesnio dėmesio saugumo procedūroms, pasirašymo kontrolei ir prieigos valdymui, ypač DeFi segmente. Tokia aplinka paprastai didina atsargumą rinkoje ir gali trumpuoju laikotarpiu spausti sentimentą, ypač po didelių incidentų. Tuo pat metu stipresni saugumo standartai ilgainiui gali tapti konkurenciniu pranašumu projektams, kurie juos įgyvendins anksčiausiai.
