Крипторинок пережив десятки зламів, але атака на Kelp DAO, що, за оцінками розслідувачів, призвела до втрати близько $290 млн, звучить як сигнал тривоги, який важко заглушити черговим циклом новин. За попередніми висновками аналітиків з відстеження блокчейну та профільних команд реагування, вектор атаки та подальша «логістика» відмивання коштів нагадують почерк північнокорейських груп, які роками перетворюють криптокрадіжки на валютне підживлення ізольованої економіки.
Сам факт, що йдеться про найбільший криптограбунок року станом на зараз, важливий не лише через цифру. Він підсвічує системну проблему: DeFi-проєкти стають дедалі складнішими, але їхня критична інфраструктура — від мультипідписів і мостів до оракулів і модулів управління — часто залишається крихкою в місцях, де ризик «не виглядає як ризик» до моменту втрати коштів.
Що сталося з Kelp DAO і чому сума вражає навіть криптоіндустрію
Kelp DAO — один із представників хвилі протоколів, які будують сервіси поверх стейкінгу та DeFi-інструментів, намагаючись дати користувачам дохідність і ліквідність у різних мережах. Саме така багатокомпонентність — токени, деривативи, контракти, інтеграції з іншими сервісами — створює широку поверхню атаки.
У випадку зі зламом ключовим є масштаб: $290 млн — це не «інцидент», який можна списати на помилку окремого користувача чи невдалий фішинг. Це сума, яка зазвичай передбачає або глибоке проникнення (компрометація ключів/підписантів), або точкову експлуатацію складної логіки смартконтрактів, або використання слабкої ланки в інтеграціях — наприклад, у мостах чи сервісах, що підтверджують дані ззовні блокчейну.
Окремий маркер — швидкість, з якою зловмисники зазвичай намагаються «розшарувати» активи: розбити на дрібніші транші, прогнати через децентралізовані обмінники, кросчейн-мости, а далі — через міксери або сервіси, які ускладнюють трасування. Саме цей ланцюжок дій часто стає підставою для атрибуції, навіть коли первинний вектор атаки ще розбирають по байтах.
Чому підозра знову падає на Пхеньян: індустріальні крадіжки як модель фінансування
Коли в медіа з’являється формулювання «північнокорейські хакери», це не абстракція і не романтизація кіберзлочинності. Йдеться про практично індустріалізований підхід: групи, які, за оцінками багатьох урядових і приватних аналітичних структур, працюють не лише заради прибутку, а як частина ширшої системи отримання валюти в умовах санкцій.
Типовий «профіль» таких операцій — висока дисципліна, орієнтація на великі цілі, терплячі підготовчі етапи (включно з соціальною інженерією та компрометацією ланцюга постачання), а також розгалужені схеми відмивання. На практиці це означає, що атака може початися не з коду протоколу, а з людини: розробника, DevOps-інженера, учасника мультисигу чи партнера-інтегратора.
Атрибуція в криптосвіті рідко буває судово ідеальною, але вона часто спирається на сукупність ознак: повторювані патерни переміщення коштів, адреси, що перетинаються з попередніми справами, час активності, методи «роздрібнення», специфічні маршрути через кросчейн-інфраструктуру. Це схоже на почерк у криміналістиці: один елемент не доводить нічого, але десяток збігів складаються у впізнаваний силует.
Де саме ламається DeFi: не лише код, а й ключі, процеси та “людський фактор”
DeFi звик говорити мовою аудиту смартконтрактів, але реальність 2026 року така: злам часто трапляється на перетині техніки та операційних процесів. Навіть якщо контракт пройшов перевірки, залишаються інші площини ризику:
- Мультисиг і доступи: достатньо компрометувати кількох підписантів або їхні робочі середовища, щоб отримати контроль над критичними діями.
- Оракули та інтеграції: протоколи залежать від зовнішніх даних і сторонніх сервісів; слабка ланка партнера стає слабкою ланкою всіх.
- Мости та кросчейн-логіка: перехід активів між мережами створює додаткові поверхні атаки — від валідації повідомлень до управління ліквідністю.
- Процедури оновлень: апгрейдність — благословення і прокляття. Неправильне налаштування прав на оновлення може стати «законним» шляхом для зловмисника.
- Соціальна інженерія: фішингові кампанії проти співробітників і контриб’юторів інколи ефективніші за пошук багів у коді.
Одна з найбільших ілюзій DeFi — віра, що «децентралізація» автоматично означає «стійкість». Насправді децентралізований інтерфейс може бути прикриттям для цілком централізованих вузьких місць: кількох ключів, одного пайплайна деплою або одного мосту, через який проходить левова частка ліквідності.
Гонитва після зламу: що можуть (і чого не можуть) ончейн-розслідування
Коли гроші викрадено, починається друга фаза — спроба наздогнати транзакції, поки вони не розчинилися в сотнях адрес і десятках сервісів. Тут криптосвіт має парадоксальну перевагу: блокчейн прозорий, і кожен рух активів залишає слід. Але є й межі: прозорість не тотожна ідентичності.
Аналітики зазвичай працюють у кількох напрямках: кластеризація адрес, виявлення мостів і DEX-обмінів, маркування «виходів» на централізовані біржі та робота з комплаєнс-командами, які можуть заморозити активи, якщо ті потрапляють на кастодіальні платформи. Втім, зловмисники давно навчилися мінімізувати контакт із точками, де діють правила KYC/AML, — або використовувати ланцюжки обміну, де юридична відповідальність розмита.
Важливий нюанс: навіть найкраще ончейн-розслідування рідко повертає кошти саме по собі. Повернення зазвичай залежить від координації між протоколами, біржами, провайдерами інфраструктури та, інколи, правоохоронними органами. І чим більше коштів «перепаковано» у різні активи та мережі, тим дорожчою стає кожна наступна година затримки.
Регулятори, санкції і біржі: як ринок вчиться жити з державними хакерами
Криптокрадіжки, які пов’язують із Північною Кореєю, опиняються на перетині фінансів і геополітики. Тут ставки інші: йдеться не лише про захист інвесторів, а й про потенційне фінансування програм, які перебувають під міжнародними обмеженнями. Це пояснює, чому після таких інцидентів зростає тиск на біржі та провайдерів гаманців — від пришвидшення реакції на «чорні списки» до вимог жорсткішого моніторингу транзакцій.
Для індустрії це означає неприємну дилему. З одного боку — ідеологія бездозвільних фінансів. З іншого — реальність, де великі гравці вимушені будувати комплаєнс-інфраструктуру майже на рівні традиційного банкінгу, бо інакше ризикують втратити доступ до ринків, партнерів і фіатних шлюзів.
Особливо гостро питання стоїть для DeFi-протоколів, які хочуть залишатися «чисто децентралізованими», але при цьому залежать від централізованих компонентів — від фронтендів і доменів до ключових розробників і фондів, що керують розвитком. Будь-яка така точка може стати як об’єктом атаки, так і об’єктом регуляторного впливу.
Що зміниться для DeFi-проєктів після інциденту: безпека як продукт, а не постскриптум
Історія з Kelp DAO майже напевно підштовхне ринок до прагматичніших стандартів. Розмови про «аудит» поступово перетворюються на розмови про безперервну безпеку: моніторинг аномалій у реальному часі, баг-баунті, обмеження прав доступу, сегментацію ключів, відмову від надмірної концентрації влади у мультисигу, сценарії аварійного зупинення там, де це не руйнує довіру користувачів.
Окрема лінія — страхування і резерви. Великі протоколи дедалі частіше змушені поводитися як фінансові установи: мати фонди компенсацій, узгоджені процедури реагування та комунікації, прозорі звіти про ризики. У світі, де державні актори можуть виступати кіберзлочинцями, «швидко рости» без «будувати захист» стає надто дорогим стилем.
Як сказав один із фахівців із блокчейн-форензики в приватній розмові з Tech Horizon, «коли вас атакує не одинак, а структура з бюджетом і часом, питання не в тому, чи знайдеться вразливість, а в тому, чи витримає ваша операційна дисципліна день, тиждень і місяць непомітного тиску».
