Взломы в DeFi достигли $7,7 млрд: страхование не поспевает за рисками

Пользователи DeFi все чаще выбирают впечатляющую доходность вместо безопасности, чем активно пользуются злоумышленники. То, что в 2020 году начиналось как идеалистичное "DeFi-лето" с обещанием финансов без посредников, превратилось в многомиллиардный рынок с минимальной страховой защитой. По данным DeFiLlama, с момента появления термина в криптосообществе около шести лет назад незастрахованные кредитные протоколы потеряли из-за эксплойтов примерно $7,7 млрд. Один только апрель 2026 года принес свыше $600 млн ущерба в результате инцидентов безопасности, в том числе из-за резонансных атак на Drift и Kelp DAO. Эти случаи подчеркнули системную проблему: рынок страхования в DeFi остается небольшим и плохо приспособлен к текущим угрозам. Основатель Nexus Mutual Хью Карп сообщил CoinDesk, что страховым покрытием обеспечено менее 2% совокупного TVL DeFi. DeFiLlama насчитывает 28 страховых протоколов, но почти весь TVL сектора в $123,5 млн приходится на Nexus Mutual — это лишь 0,14% от общего объема экосистемы DeFi, оцениваемой в $83 млрд. Смещение вектора атак На раннем этапе страховые продукты в основном ориентировались на ошибки смарт-контрактов — риски, которые сравнительно просто аудировать и количественно оценивать. Теперь структура угроз изменилась. Крупнейшие потери все чаще связаны с внецепочечными сбоями: компрометацией приватных ключей, фишингом, социальной инженерией и уязвимостями логики мостов. По статистике DeFiLlama, крупнейшая категория — кражи приватных ключей, затем идут фишинговые атаки на multisig-кошельки. "Многие из самых крупных взломов начались вне блокчейна из-за провалов операционной безопасности", — отметил Карп. Для страховщиков такие сценарии сложнее: у команд нет единых стандартов операционной безопасности, из-за чего риск трудно корректно оценить, а премии растут до уровней, которые пользователи не готовы платить. Характерный пример — эксплойт Kelp DAO. Злоумышленники через манипуляции с мостом получили доступ к реальным активам и затем использовали их как обеспечение на Aave. По словам Карпа, "ключевой сбой — риск мостов" обычно не покрывается типичными продуктами DeFi-страхования: нередко они компенсируют лишь последствия, например проблемную задолженность из-за замороженных оракулов, а не первопричину операционного нарушения. Почему пользователи не покупают полис Существенная часть проблемы — поведенческая экономика: участники DeFi ориентированы на доходность. Страховые премии в 2%–3% способны "съесть" прибыль в стратегиях с узкой маржой, поэтому многие сознательно отказываются от защиты. "Большинство пользователей DeFi ориентированы на доходность и не хотят жертвовать несколькими процентными пунктами ради покрытия", — сказал Дэн Шэ, старший партнер по аудиту в CertiK. Ситуацию усугубляет структурная хрупкость отрасли. Первое поколение децентрализованных страховщиков часто несло те же инфраструктурные риски, которые обещало покрыть, создавая замкнутую экспозицию. В ранние годы DeFi сектор быстро рос: с около $3 млн в начале 2020 года до примерно $1,89 млрд в ноябре 2021-го. Среди лидеров назывались Nexus Mutual, Cover Protocol, InsurAce, Tidal Finance и Bridge Mutual. Многие из этих протоколов в 2021–2024 годах либо потерпели крах, либо были взломаны, либо фактически свернули деятельность на фоне нежизнеспособной токеномики и конфликтов интересов. Cover Protocol сам стал жертвой взлома и распался; Armor.fi, Bridge Mutual и Tidal в значительной степени исчезли с рынка. Nexus Mutual, работающий с 2019 года, остается одним из немногих выживших. Карп утверждает, что Nexus Mutual обеспечил покрытие более чем на $6,5 млрд и выплатил чуть более $18,5 млн — показатель значимый, но небольшой по сравнению с масштабом рисков рынка. Критики считают, что прежняя модель была обречена: "Вы просто наслаивали риск контрагента на риск контрагента", — сказал Гаспар Педуцци, основатель Spectra Finance, описывая зависимость DeFi-страхования от тех же децентрализованных конструкций, которые оно страховало. COO Altura Мэттью Пиннок добавил, что капитал страховых пулов часто был подвержен тем самым уязвимостям, от которых должен был защищать, и защита исчезала именно тогда, когда была нужна. Когда покрытия нет, чаще всего страдают розничные пользователи. Карп описал типичную цепочку после эксплойта: сначала удар принимает на себя safety module протокола, затем расходуются средства казначейства, и если этого недостаточно, убытки несут обычные вкладчики. "На практике при отсутствии покрытия издержки непропорционально ложатся на наименее подготовленных участников", — отметил он. Что дальше Рынок пытается адаптироваться. Одни команды встраивают страхование непосредственно в DeFi-продукты, чтобы покрытие было автоматическим, а не опциональным. Другие предлагают более узкие и четко определенные полисы или привлечение традиционных страховщиков для работы с внецепочечными рисками операционной деятельности и хранения активов. Ключевой вызов остается прежним: профиль рисков DeFi сложен и быстро меняется, а у страховой индустрии по-прежнему нет устойчивых инструментов и стандартов для корректного ценообразования. Пока андеррайтинг не догонит реальность, сектор будет оставаться уязвимым, а стимулы продолжат подталкивать пользователей к стратегии "доходность прежде всего", оставляя на кону миллиарды. По мере роста числа взломов и потерь усиливается давление с требованием закрыть этот разрыв в защите. Если страховщики, протоколы и пользователи не найдут рабочий баланс между покрытием и стоимостью, рост DeFi может замедлиться — и будущие "лета" обойдутся дороже тем, кто недооценит риски.