Мануэль Аράос, сооснователь и бывший технический директор OpenZeppelin, заявил 26 мая, что считает весь сектор DeFi небезопасным, порекомендовав родственникам и друзьям выйти из всех позиций, включая крупнейшие протоколы: Aave, MakerDAO и Compound. Публикация стала вирусной на X в течение нескольких часов. Реакция индустрии последовала немедленно.
Тезис: агенты ИИ нарушили баланс
Рассуждение Аράоса строится на асимметрии, знакомой каждому специалисту по кибербезопасности. Защитники обязаны закрыть каждую уязвимость, и атакующим достаточно найти одну. Пока поиск ошибок зависел от человеческих команд, это противостояние было управляемым. Теперь агенты ИИ для написания кода сканируют тысячи смарт-контрактов параллельно, без остановок, с такой скоростью, которую ни один ручной аудит не выдержит. Это не теория. Отчёт Anthropic Fellows, который SpazioCrypto уже анализировал, смоделировал эксплойты на сумму 4,6 миллиона долларов на контрактах, ранее никогда не виденных моделями. Когда ИИ обнаруживает уязвимость, которой не знал, эта уязвимость была реальной.
Предупреждение появилось в публикации на X, ставшей вирусной 26 мая 2026 года. Читать публикацию Мануэля Аράоса (@maraoz), 26 мая 2026 года.
Антитезис: «идиотское заявление»
Марк Зеллер, основатель Aave Chan Initiative, высказался прямо. Он назвал публикацию Аράоса бессмысленной и сослался на конкретные данные. По словам Зеллера, менее 10% потерь DeFi за прошедший год были вызваны ошибками в коде. Остальное объясняется неправильно настроенными параметрами риска, плохим управлением залогами и слабой операционной безопасностью. Проблема редко кроется в самом смарт-контракте, настаивает он. Она в том, кто держит ключи, кто устанавливает лимиты, кто управляет доступом.
Сам OpenZeppelin дистанцировался от выводов Аράоса, отметив, что потери 2025 года превысили 3,4 миллиарда долларов согласно внутреннему анализу компании, и что подавляющая их часть связана с компрометацией учётных данных, а не с уязвимостями смарт-контрактов. Компания запустила продукт Skills: систему, которая передаёт агентам ИИ авторитетные знания о предварительно проверенных библиотеках, перенося линию защиты дальше вверх по цепочке разработки.
DeFi, совокупный TVL 2026 (миллиарды долларов)
Источник: DefiLlama · май 2026
Источник: DefiLlama · май 2026
Стоит ли хранить средства в DeFi в 2026 году?
Фактически, честный ответ находится где-то между двумя позициями, и цифры помогают его сформулировать. За последние 365 дней хакерские атаки на DeFi уничтожили более 1,1 миллиарда долларов, по данным DefiLlama. Только в апреле 2026 года было похищено около 630 миллионов долларов в результате не менее 27 отдельных эксплойтов: худший месяц со времён инцидента с Bybit. Крупнейшей стала атака на мост Kelp DAO: 292 миллиона долларов, приписанная северокорейской группировке Lazarus. Затем последовали 285 миллионов у Drift и 27 миллионов, закрывших Step Finance.
Совокупный TVL протоколов DeFi снизился с примерно 172 миллиардов долларов в январе до 148 миллиардов в мае 2026 года, согласно данным DefiLlama. Для пользователей из стран СНГ, работающих с DeFi через европейские платформы в рамках MiCA, этот контекст особенно важен: регуляторное давление усиливается одновременно с ростом эксплойтов. Практическое правило не меняется: протоколы с проверенной историей, как Aave, оправдывают свою премию за риск, а новые высокодоходные инструменты несут соразмерно больший риск. Безопасность кошелька остаётся первой линией защиты для любого, кто работает в сети.
КЛЮЧЕВЫЕ ДАННЫЕ
Потери DeFi (последние 365 дней)... более 1,1 млрд $
Потери только в апреле 2026....... около 630 млн $
Эксплойтов в апреле 2026.......... не менее 27
Взлом Kelp DAO (18 апреля)........ 292 млн $
Изменение TVL янв-май 2026......... с 172 до 148 млрд $
Доля потерь от ошибок в коде...... менее 10% (по данным Зеллера)
Источник: DefiLlama, Aave Chan Initiative · май 2026
Одно наблюдение ставит весь спор в иную плоскость. Даже если Зеллер прав и ошибки кода составляют менее 10% потерь, агенты ИИ смещают именно этот технический сегмент атаки на сторону нападающих. Аράос, возможно, преувеличивает вывод, оставаясь правым в оценке направления. Аналитики, следящие за безопасностью DeFi, называют три конкретных условия выживания сектора: мониторинг on-chain в режиме реального времени с автоматическим отключением, формальная верификация в масштабе и системы управления, способные реагировать на эксплойт за минуты, а не за часы. До тех пор риск является не случайностью, а особенностью архитектуры.
