Доходность в DeFi не бесплатна: чему взломы 2026 года учат о риске кредитования
Взлом на $292M, вызвавший $9 млрд оттока из Aave, кредитор, закрывшийся через год после взлома, контагия стейблкоина. Уроки DeFi 2026 — и как оценивать доходность, прежде чем гнаться за ней.
DeFi-кредитование рекламирует одни из самых привлекательных ставок в крипте — часто заметно выше, чем платят централизованные площадки. Эта премия реальна, но реальна и причина для неё. 2026 год стал жёстким учителем ровно по тому, за что именно тебе платят. Три события рассказывают эту историю.
Тревожные звонки 2026 года
Взлом KelpDAO — и $9 млрд, сбежавшие из Aave. 18 апреля 2026 атакующие вывели около 116 500 rsETH (примерно $292 млн) из моста LayerZero, связанного с KelpDAO. Затем через заёмные позиции по DeFi они извлекли легитимный ETH. Настоящим уроком стала последовавшая паника: примерно $9 млрд утекло из Aave — крупнейшего DeFi-кредитора — за одни выходные. Сам Aave не был взломан. Он просто попал под раздачу страха.
Radiant Capital закрылся. 1 июня 2026 кредитный протокол Radiant Capital объявил о сворачивании. Он так и не оправился от взлома на $50 млн в октябре 2024 — не смог вернуть средства, не смог привлечь достаточно, чтобы восстановить доверие. Взлом восемнадцатимесячной давности в итоге убил площадку.
Контагия msUSD. В июне депег стейблкоина msUSD перекинулся на отдельный протокол Altura, у которого был общий провайдер проверки резервов, — заставив его свернуть vault на $39M, хотя прямой экспозиции у него не было. Та же тема: взаимосвязанность превращает один провал в несколько.
Урок 1: риск смарт-контракта — это базовый слой
Любая доходность в DeFi стоит поверх кода. В коде могут быть баги, а мосты — трубопровод, перемещающий активы между сетями, — годами остаются самой эксплуатируемой частью крипты. Дренаж KelpDAO произошёл на мосту, а не в кредитном приложении, которым ты, возможно, пользовался. Когда ты вносишь средства в DeFi-протокол, ты доверяешь не только его коду, но и всему, к чему он подключён.
Аудиты помогают, но это не гарантия. Radiant был проаудирован. Честная формулировка: аудит снижает шансы известного класса багов, но не делает протокол невзламываемым.
Урок 2: контагия — ты подвержен тому, чего касается твоя площадка
Это урок, который удивляет людей. Твой кредитор может быть абсолютно платёжеспособен и всё равно устроить тебе плохую неделю, потому что сломалось что-то, от чего он зависит.
Aave не взломали, но $9 млрд ушло за выходные. У Altura не было экспозиции на msUSD, но ему пришлось закрыть vault. DeFi-протоколы компонуются — они кредитуют друг друга, делят оракулы, мосты, провайдеров верификации. Эта компонуемость — магия, создающая доходность, и она же проводка, несущая панику от одного провала к следующему. Выбирая площадку, ты выбираешь и всё, к чему она подключена, видишь ты это или нет.
Урок 3: взлом может убить площадку через год
Крах Radiant — тихий, но важный. Взлом был в 2024, закрытие — в 2026. Ущерб от взлома редко равен только украденной сумме — это медленное кровотечение доверия, ликвидности и капитала, нужного, чтобы продолжать работать. Площадка, которая «пережила» взлом, не автоматически в порядке. Правильный вопрос не только «взламывали ли её когда-нибудь?», но «полностью ли она восстановилась — резервы, пользователи, доверие?».
Именно поэтому история работы — один из пяти критериев за каждым грейдом A–F на YieldScope. Чистая многолетняя история — это информация. Грязная — тоже.
Урок 4: самый высокий APY часто наименее проверен боем
Во всём этом есть закономерность. Ошеломляющие ставки DeFi обычно собираются на новых протоколах, экзотических стратегиях и сложном обеспечении — ровно тех конфигурациях, где больше всего поверхности для того, чтобы что-то пошло не так. Скучная, более низкая доходность давно работающего, глубоко проаудированного и глубоко ликвидного протокола ниже потому, что несёт меньше этого риска.
Это не значит, что высокая доходность всегда ловушка или что «голубые фишки» DeFi безрисковы. Это значит, что ставка — подсказка о риске, а не бесплатный обед, и цифра без контекста — самый опасный вид.
CeFi-кредитование тоже не застраховано
Соблазнительно прочитать всё это как «DeFi опасен, централизованные площадки безопасны». Это неверный урок. Централизованные кредиторы принесли одни из крупнейших потерь инвесторов в истории крипты: Celsius, Voyager и BlockFi заморозили выводы и обанкротились в 2022, утянув миллиарды пользовательских средств. Просто способ провала другой. Вместо эксплойта смарт-контракта — непрозрачное принятие риска, которое ты не видишь: рехипотекация, плохие займы, нераскрытое плечо — ровно до момента, когда выводы прекращаются.
DeFi хотя бы позволяет инспектировать код и обеспечение в он-чейне. CeFi просит довериться внутренним решениям компании, которые ты никогда не увидишь. Обе могут рекламировать привлекательные ставки; обе могут полностью потерять твой капитал. Поэтому полезная рамка — не «DeFi против CeFi», а «какой конкретно риск я беру и могу ли я его увидеть?». В он-чейне ты сталкиваешься с риском контракта и контагии, который хотя бы частично проверяем. Вне чейна — с контрагентским риском, который в основном нет.
Именно поэтому распределение по обоим мирам — и по нескольким площадкам внутри каждого — лучше погони за единственной самой высокой цифрой. Те, кто потерял всё в 2022, обычно держали всё в одном месте, которое случайно платило лучшую ставку. Диверсификация скучна — и это самое дешёвое снижение риска из доступных тебе. Ничто из этого не аргумент против заработка доходности; это аргумент за то, чтобы зарабатывать её осознанно — зная, он-чейн твоя площадка или нет, от чего она зависит, как вела себя под прошлым стрессом и сколько твоего капитала лежит в одном месте.
Как реально оценивать доходность в DeFi
Прежде чем вносить средства ради DeFi-ставки, пройди по пунктам:
- TVL и ликвидность. Глубокий, стабильный объём заблокированных средств означает, что ты реально сможешь выйти, когда захочешь. Тонкая ликвидность — там, где случаются набеги и flash-ликвидации.
- Аудиты — во множественном числе и свежие. Один аудит многолетней давности — слабо. Несколько, постоянных проверок — лучше. Проверь, что они существуют; не верь на слово рекламе.
- История под стрессом. Пережил ли протокол обвал рынка или попытку эксплойта и продолжил работать?
- Зависимости. На какие мосты, оракулы и другие протоколы он опирается? Каждый — дополнительная точка отказа.
- Откуда берётся доходность. Реальный спрос на заём устойчив; доходность, подпёртая эмиссией токена или плечом, — нет. Если не можешь объяснить источник — считай ставку предупреждением.
- Размер позиции. Контагия реальна — не концентрируй всё в одном протоколе или одной сети.
Итог
Доходность в DeFi — не бесплатные деньги; это плата за принятие риска смарт-контракта, риска контагии и тихого длинного хвоста взлома, который может всплыть через год. 2026 не доказал, что DeFi сломан — множество протоколов прошли через хаос нетронутыми. Он доказал, что одна ставка не говорит почти ни о чём, и что вся работа — в понимании того, что лежит под ней.
Сравнить доходность DeFi и CeFi бок о бок с грейдом безопасности — включая историю работы — можно на YieldScope, а про централизованную сторону того же вопроса читай насколько безопасен крипто-стейкинг?
Не инвестиционный совет. DeFi несёт риск смарт-контракта и контагии, способный привести к полной потере. Проводи собственное исследование.
Образовательный материал, а не финансовая или юридическая консультация. Источники — по ссылкам в тексте.