Привет, это команда «Шард». Недавно в DeFi-секторе произошло сразу несколько атак на протоколы разного масштаба — от небольших эксплойтов до многомиллионных взломов. Злоумышленники использовали ошибки в логике смарт-контрактов, оракулах и мостах между сетями. Разберем, как именно проходили эти инциденты и почему системы оказались уязвимыми.
Взлом LootBot.xyz: повторное начисление наград за NFT
15 апреля был зафиксирован взлом проекта LootBot.xyz — мультичейн AI-агента для торговли в сетях Ethereum, Base и Solana с управлением через Telegram-кошелек. Ущерб составил около $9 600.
Уязвимость находилась в логике смарт-контракта: система не проверяла, повторяется ли один и тот же NFT в списке при расчете наград. В нормальной ситуации каждый NFT учитывается один раз, но здесь дубликаты воспринимались как отдельные активы.
Атакующий использовал флеш-заем через Balancer, чтобы запустить механизм начислений. Затем он отправил запрос на вывод средств, многократно продублировав одни и те же NFT. Контракт начислил награды за каждый повтор, после чего злоумышленник вернул заем и зафиксировал прибыль.
Атака на Rhea Finance: манипуляция оракулом и залогом
Следующий крупный инцидент произошел 17 апреля в DeFi-протоколе Rhea Finance в экосистеме NEAR. Ущерб составил около $18,6 млн.
Уязвимость была связана с тем, как протокол определял стоимость залога. Rhea использовал данные из пулов ликвидности Ref Finance, не имея строгой фильтрации активов.
Атакующий создал фальшивые токены без реальной ценности и развернул под них пулы ликвидности. Оракул начал воспринимать эти данные как рыночную цену, что позволило искусственно завысить стоимость залога. Далее злоумышленник взял кредиты в реальных активах — USDC, USDT, NEAR и ZEC. Средства были частично выведены через разные сети и маршруты, включая конвертацию в ETH и перевод в приватные адреса Zcash.
Интересный момент, что за 42 часа до атаки были созданы сотни тестовых токенов и пулов, чтобы проверить реакцию системы.
Известные адреса злоумышленников:
- NEAR: 31ac7a2705a0686ff427b1a52d3ffd1fcfaa4b1f3cb3e83a0f767494e724a540
- ETH: 0xbb5fa936469cadb8907f3aef80f5b53f55bc11f6
Инцидент в KelpDAO: выпуск необеспеченных rsETH
18 апреля произошел один из крупнейших инцидентов недели в экосистеме KelpDAO. Через уязвимость в мосте LayerZero злоумышленник выпустил около 116 500 rsETH, примерно 18% от общего предложения (~$292 млн).
Проблема была в конфигурации адаптера OFT: система использовала единственный верификатор без дополнительных проверок сообщений. Атакующий отправил поддельное межсетевое сообщение через LayerZero EndpointV2, которое было принято как легитимное. После этого токены были использованы как залог в кредитных протоколах (включая Aave) для получения WETH и wstETH.
После обнаружения атаки KelpDAO отключила контракты через мультиподпись. Однако уже открытые позиции остались активными. Arbitrum Security Council дополнительно заморозил около 30 766 ETH (~$71,2 млн), связанных с инцидентом.
С умеренной уверенностью часть аналитиков связывает атаку с группировкой Lazarus Group. После взлома начались попытки отмывания средств.
Известные адреса злоумышленников ETH:
- 0x5d3919f12bcc35c26eee5f8226a9bee90c257ccc
- 0xbb6a6006eb71205e977eceb19fcad1c8d631c787
- 0x1f4c1c2e610f089d6914c4448e6f21cb0db3adef
- 0xeba786c9517a4823a5cfd9c72e4e80bf8168129b
- 0xcbb24a6b4dafaaa1a759a2f413ea0eb6ae1455cc
- 0x8d11aeac74267dd5c56d371bf4ae1afa174c2d49
Взлом Thetanuts.finance: ошибка округления в vault
Завершает цепочку атак взлом DeFi-протокола Thetanuts.finance, где 20 апреля было похищено около $46 000 из vault с биткоин-опционами.
Причина лежит в ошибке округления при расчете долей участников фонда. Система неправильно распределяла доли при последовательных депозитах и выводах.
Атакующий сначала внес небольшую сумму для получения долей, затем добавил основной депозит (~4,68 WBTC). Из-за особенности расчета его доля оказалась слегка завышенной. После этого он инициировал полный вывод средств и забрал почти весь баланс vault — около 4,83 WBTC. Вернув флеш-заем, он зафиксировал прибыль, а ущерб составил примерно 0,15 WBTC.
Известный адрес злоумышленника в сети ETH:
- 0xe26f5a496db55de2a69bdc4eef023927b3c2a209
Заключение
Апрельская серия атак снова показала системную проблему DeFi: уязвимости редко связаны с одной ошибкой. Чаще всего это комбинация факторов, например, слабая проверка оракулов, доверие к мостам, ошибки в логике расчётов и недостаточная защита от манипуляций ликвидностью. При этом злоумышленники все чаще действуют через тщательную подготовку: тестируют систему заранее, создают фейковые активы и выстраивают цепочку транзакций.
Устойчивость DeFi зависит от совместных усилий всех участников экосистемы. Но gользователям следует все равно проявлять бдительность: проверять наличие независимых аудитов смарт‑контрактов, оценивать репутацию проектов, диверсифицировать вложения и с осторожностью относиться к предложениям чрезмерно высокой доходности — это поможет существенно снизить риски при работе с DeFi‑протоколами.
Узнавайте больше о мире криптовалют в нашем блоге.
Присоединяйтесь к Телеграм-каналу, чтобы не пропустить важные новости индустрии