Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Сервисы
Маркетинг
AI
Личный опыт
Деньги
Крипто
Инвестиции
Путешествия
Телеграм
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
КоинКит
Крипто

Четыре уязвимости за одну неделю: 2,68 миллиона долларов и анатомия современных крипторисков

В период с 25 февраля по 2 марта 2026 года в результате четырех различных уязвимостей в разных сетях было потеряно около 2,68 миллиона долларов. Аналитики КоинКит провели расследование.

Виталий Горбенко
CEO КоинКит

Механизмы были разными:

  • манипулирование оракулом,
  • злоупотребление одобрением на основе фишинга,
  • сбой в логике стейкинга
  • ошибка в конфигурации zk-верификатора.

Средства быстро выводились, конвертировались в ETH и направлялись через миксеры или кроссчейн-инфраструктуру. Скорость и организованность, с которыми были проведены эти атаки, свидетельствуют о том, что ландшафт угроз становится все более разнообразным.

Расследование, проведенное AML-аналитиками КоинКит, выявило целый ряд системных уязвимостей.

1. Наибольший экономический ущерб был нанесен в рамках лотереи FOOM, где из-за ошибки в конфигурации верификатора Groth16 zkSNARK злоумышленники смогли несколько раз получить вознаграждение.

Два параметра верификации были ошибочно приравнены друг к другу, что фактически ослабило проверку доказательств. Предполагаемое ограничение «одно доказательство — одна выплата» не сработало. Было выведено около 2,26 миллиона долларов в Base и Ethereum, прежде чем вмешательство «белых хакеров» позволило вернуть оставшиеся средства. Уязвимость была связана не с криптографией, а с неправильной конфигурацией.

2. Отдельный инцидент в LlamaLend продемонстрировал уязвимость механики доходных токенов в условиях дефицита ликвидности.

Используя флэш-кредит, полученный через Morpho, злоумышленник манипулировал внутренним обменным курсом sDOLA, искажая оценку залогового имущества в рамках одного блока. Непосредственным результатом стали экономические потери в размере около 239 000 долларов и непреднамеренные ликвидации. Логика протокола работала в соответствии с исходным кодом, но оказалась уязвимой к резким изменениям параметров.

3. В контракте на стейкинг HedgePay была обнаружена ошибка в обновлении состояния в функции forceExit().

Выведенные токены не списывались должным образом с внутреннего баланса пользователя, что позволяло многократно выводить средства с одного и того же депозита. Было выведено более 57 миллионов HPAY, которые были конвертированы примерно в 26 BNB и отправлены через Tornado Cash. Уязвимость не была сложной или новой — она заключалась в нарушении целостности состояния.

4. В четвертом случае фишинг осуществлялся с помощью подписей Permit и Approve в сетях Ethereum и BNB Smart Chain. Жертва авторизовала выдачу токенов, полагая, что это обычное подтверждение.

Злоумышленник консолидировал разрешения с помощью мультивызова и перевел активы из одной сети в другую, в итоге переведя часть средств в биткоин, а затем в инфраструктуру XRP. Этот метод полностью основывался на механике выдачи разрешений, встроенной в протокол.

Повторное использование адресов в нескольких случаях указывает на то, что речь идет не об оппортунистических действиях, а о последовательной работе с инфраструктурой.

Сумма в 2,68 миллиона долларов не свидетельствует о системном сбое. Это четыре разных примера того, что сложность, если ее не контролировать, становится постоянной мишенью для атак.

Прочитать подробнее про каждый инцидент можно здесь.

2
1 комментарий