Суд за бэкдор, заблокированные голоса и ИИ-сканер кода: риски DeFi 2026 за одну неделю апреля
Крупный кроссчейн-мост разоблачён с админ-функцией вывода средств пользователей. Крупнейший «DAO-проект» блокирует голоса неугодных держателей. ИИ-модель находит уязвимость, 27 лет висевшую в базовой системе, за которой никто не следил. Всё это произошло в течение одной недели апреля 2026. Риски DeFi 2026 года перестали быть абстрактными: теперь это конкретные приговоры, конкретные потери и конкретные уязвимости, обнаруженные машиной быстрее, чем человек успевает открыть репозиторий.
ИИ-модель Mythos: open-source под машинным прицелом
Anthropic выпустила модель Claude Mythos Preview в рамках инициативы Project Glasswing (7 апреля 2026). Формально для поиска уязвимостей в коде. Среди находок: 27-летняя SACK-уязвимость в OpenBSD, серия OOB-write багов в ядре Linux с возможностью локального повышения привилегий, 17-летняя RCE в NFS FreeBSD. Впечатляет. И пугает одновременно.
Вот где собака зарыта. Mythos не единственная система такого класса. Доступ к подобным инструментам получают не только исследователи безопасности. Разрыв между обнаружением уязвимости и её эксплуатацией сокращается до минут. Команды DeFi-протоколов, которые привыкли к циклу «аудит за три недели, патч за пять дней», оказались в другой реальности. Машина сканирует открытый код кроссчейн-мостов и lending-протоколов быстрее, чем разработчики успевают собраться на созвон.
По-моему, это переворачивает всю идеологию open-source в DeFi. Код открыт, каждый может проверить. Но «каждый» теперь включает ИИ-агентов, работающих на атакующую сторону. И проверка со стороны хакера происходит за секунды, а не за недели.
Три уровня угроз DeFi 2026: 1) ИИ-атаки на open-source код (Mythos-класс), 2) бэкдоры в смарт-контра
Evodefi: кроссчейн-мост со встроенным сейфом для создателей
История Evodefi выглядит технически невинно. Кроссчейн-мост. Перевод активов между сетями. Стандартная инфраструктура.
Тут ловушка. По данным открытых источников и предупреждения Oasis Protocol, в смарт-контракте EvoDeFi была admin taker-функция: возможность в любой момент «разморозить» средства пользователей и вывести их на подконтрольные адреса. Параллельно проект выпускал обёрнутые USDT, USDC и ETH с сомнительным обеспечением. По данным FinTelegram, ~$45 млн пользовательских средств оказались выведены, бридж закрыт, команда скрылась. Пострадавшие подали заявления в правоохранительные органы нескольких юрисдикций, уголовное расследование продолжается.
Меня удивляет другое. Пострадавшие теряли деньги не на стейкинге с обещанной доходностью 300%. Не на каких-то экзотических деривативах. При обычном переводе через мост. Это важный момент: бэкдор в смарт-контракте не нужно активировать сразу. Он может ждать месяцы. Пока суммы не станут достаточно крупными. Пока пользователи не привыкнут доверять мосту.
Защита на суде пыталась апеллировать к «неурегулированному статусу криптоактивов» на момент событий. Аргумент не сработал. Но вот что не изменилось: бэкдоры в open-source смарт-контрактах никуда не делись, а самостоятельно проверить код способны единицы. Даже среди тех, кто считает себя продвинутым пользователем DeFi.
World Liberty Financial: когда DAO существует только в маркетинге
World Liberty Financial (WLFI) позиционировался как governance-проект с реальным голосованием. На практике Джастин Сан, один из крупных держателей токенов, попытался проголосовать против одного из решений. По его публичным заявлениям, крупных держателей попросту отстранили от участия в голосовании.
Ещё одна деталь. По данным Crypto Headlines от 16 апреля 2026, реальный контроль над проектом сосредоточен у анонимного multisig-кошелька, который технически может игнорировать любые результаты голосований. Голосуешь против? Токены блокируют навсегда. Участники проходят строгий KYC. Управляющие остаются анонимными. На кону: права на распределение, график разблокировки токенов, сжигание. Это не маленький DeFi-стартап с тысячей пользователей.
Сан назвал это «одной из самых абсурдных схем управления». Можно спорить с его мотивами, но механика описана точно: DAO без верифицируемого исполнения решений, это не DAO. Это корпоративная структура с децентрализованной обёрткой. На моей памяти даже самые сомнительные проекты 2021-22 годов хотя бы не блокировали голоса открыто.
Риски DeFi 2026: почему open-source перестал быть гарантией
DeFi строился на принципе: код открыт, каждый может проверить, код и есть закон. Открытость действительно снижает вероятность скрытых бэкдоров. Но только при одном условии: кто-то этот код проверяет. И проверка происходит быстрее, чем атакующий находит уязвимость.
Кстати. Аудиты безопасности, которые раньше занимали недели и стоили десятки тысяч долларов, теперь можно автоматизировать. Для защиты. И для атак. Вопрос только в том, чьи инструменты окажутся быстрее в конкретном случае. Пока статистика не на стороне защитников: по данным аналитиков, за 2021-2025 годы большинство крупных потерь произошло в протоколах с высокими обещанными доходностями и закрытой логикой управления. Подробнее об этой закономерности в разборе рисков DeFi-пулов на примере FARTCOIN.
Сталкивался с ситуацией, когда проект проходил два независимых аудита, и уязвимость всё равно находили уже после запуска. Аудит не панацея. Это один слой защиты из многих.
Откуда берётся доходность и когда это Понци
Доходность в DeFi формируется из нескольких источников: торговые комиссии протокола, токен-эмиссия (по сути инфляция в вашу пользу за счёт разводнения остальных холдеров) и, в худшем случае, деньги новых участников. Третий источник отличает жизнеспособный протокол от схемы Понци.
А теперь к сути. Снаружи все три модели выглядят одинаково первые 6-12 месяцев. Высокая доходность, растущий TVL, хорошие отзывы. Evodefi тоже выглядел нормально. WLFI тоже. Пока не перестал.
Всё, что обещает аномально высокую доходность при анонимной команде и непрозрачных резервах, несёт риск, который невозможно оценить извне. Это не субъективная оценка, это закономерность, подтверждённая крупнейшими взломами последних лет.
Гибридная модель TradeFi: что предлагает UniMex
В модели UniMex доходность по Cornerstone Plan формируется через транзакционную экономику экосистемы: часть торговых комиссий сжигается механизмом ECO, что поддерживает ценность токена вместо её размывания. По данным платформы, средства стейкинга Cornerstone хранятся на отдельном изолированном счёте в GAT Investment Bank, не смешиваясь с операционными средствами компании.
Структурно это исключает сценарий, при котором разработчики через подконтрольный multisig-кошелёк могут получить доступ к пользовательским депозитам. Тот самый сценарий WLFI.
| Угроза | Как работает | Как закрыто в TradeFi UniMex |
|---|---|---|
| ИИ-атаки на open-source | Mythos-класс сканирует код, находит эксплойт быстрее команды | Proof of Reserves (PoR) + Proof of Liabilities (PoL): верифицируемые резервы без зависимости от кода |
| Бэкдор в смарт-контракте | Скрытая функция заморозки/вывода средств (Evodefi) | Средства на изолированном счёте в GAT Bank, отделены от платформы |
| Фейковое DAO | Анонимный multisig игнорирует голосования (WLFI) | BFT Finality UNX Chain: необратимая финализация при согласии более 2/3 валидаторов |
BFT Finality против анонимного multisig
UNX Chain использует консенсус PoS + BFT Finality. Необратимая финализация транзакций наступает при согласии более двух третей валидаторов. Это не абстрактная техническая деталь.
Без этого не поймёшь. При BFT Finality нельзя тихо переписать историю транзакций. Нельзя «переголосовать» уже принятое решение через закрытый кошелёк. Сравните с WLFI, где один анонимный multisig фактически имел право вето над всей системой голосования. Архитектуру UNX Chain подробнее разбирали в материале про технические основы Layer-1 от UniMex.
Честные минусы гибридной модели
Гибридная модель TradeFi не идеальна. У неё свои ограничения: зависимость от регуляторного статуса GAT Bank, централизованная точка хранения средств, риск изменения условий платформой. Это реальные минусы, которые стоит учитывать при принятии решения.
При этом конкретные механизмы защиты верифицируемы. Платформа использует Currencycloud для трансграничных операций. GAT Investment Bank выступает кастодианом изолированных средств. Это другой класс риска по сравнению с анонимным multisig. Насколько он приемлем лично для вас, зависит от вашей ситуации и портфеля, а не от чьих-то обещаний.
Если уже смотрите на стейкинг в экосистеме, подробный разбор Cornerstone Plan и реальных условий доходности есть на странице стейкинга UNX. Сравнение этой модели с обычными централизованными биржами в разборе UniMex vs Bybit.
Материал подготовлен в аналитических целях. Не является инвестиционной рекомендацией и не побуждает к покупке или продаже каких-либо активов. Все финансовые решения читатель принимает самостоятельно, оценивая собственный уровень риска и финансовое положение. Криптовалютные рынки несут высокий риск потери капитала.
Может ли аудит смарт-контракта гарантировать отсутствие бэкдора?
Нет. Даже два независимых аудита не дают абсолютной гарантии. Evodefi, скорее всего, прошёл бы поверхностную проверку: скрытая функция вывода средств была замаскирована под стандартную логику контракта. Минимизировать риск можно, выбирая протоколы, где средства хранятся вне смарт-контракта (на изолированных банковских счетах) и где есть верифицируемые Proof of Reserves. Полной защиты не существует, но уровень риска можно снизить на порядок.
Что делать обычному пользователю, если ИИ-инструменты сканируют код быстрее разработчиков?
Диверсифицировать между протоколами с разной архитектурой: чисто on-chain, гибридные с банковским хранением, централизованные с регулируемым кастодианом. Не держать все средства в одном мосте или одном lending-протоколе. И проверять, есть ли у проекта bug bounty программа с адекватными выплатами: это единственный стимул для белых хакеров находить уязвимости раньше атакующих.
Чем BFT Finality практически отличается от обычного подтверждения транзакций?
После BFT-финализации транзакцию невозможно откатить или переписать, даже если у кого-то есть контроль над привилегированным кошельком.
От себя скажу: три кейса за одну неделю апреля, ИИ-сканер open-source кода, реальный срок за бэкдор и заблокированные голоса в «децентрализованном» проекте, это не тренд, за которым интересно наблюдать. Это текущее состояние индустрии, и кто выбирает протокол только по обещанной доходности, рискует оказаться в следующей сводке.
Зарегистрироваться в экосистеме можно через реферальный код iTGZf4 на странице регистрации UniLive.
Раскрытие: Статья содержит реферальную ссылку. При регистрации по ней автор может получить вознаграждение. Это не влияет на объективность материала.