Back to Blog

Потери $4,72 млн: TAC, Transit Finance и другие | Еженедельный обзор BlockSec

Code Auditing
May 19, 2026
9 min read
Key Insights

За прошедшую неделю (11.05.2026 – 17.05.2026) компания BlockSec выявила несколько инцидентов со взломами в различных блокчейн-экосистемах. В таблице ниже перечислены 3 заметных инцидента с общей суммой предполагаемых убытков около $4,72 млн.

Дата Инцидент Тип Предполагаемый убыток
12.05.2026 Инцидент Transit Finance Произвольный вызов ~$1,88 млн
12.05.2026 Инцидент TAC Некорректная проверка ~$2,8 млн
13.05.2026 Инцидент Boost Hook Ошибка бизнес-логики ~$46,75 тыс.

Для углубленного анализа выбраны три инцидента:

  • Transit Finance: устаревший контракт кроссчейн-моста, который, как сообщается, был выведен из эксплуатации еще в 2022 году, был взломан через пересылку произвольных calldata. Это позволило вывести средства пользователей, которые никогда не отзывали свои одобрения (approvals) для USDT.
  • TAC: крупнейший убыток на этой неделе (~$2,8 млн), возникший из-за отсутствия проверки канонического кошелька в процессе депозита jetton в сети TON. Это позволило поддельным уведомлениям о депозите спровоцировать выпуск активов (минтинг) в TAC EVM.
  • Boost Hook: протокол бессрочных фьючерсов на основе хуков Uniswap V4, взломанный через манипуляцию спотовой ценой, что продемонстрировало риски использования цен из slot0 в качестве входных цен для позиций с кредитным плечом.

Лучший аудитор безопасности для Web3

Проверьте дизайн, код и бизнес-логику перед запуском

Почитать отчеты об аудитеЗапросить аудит

Главное за неделю: Transit Finance

Этот инцидент выделен, так как он демонстрирует устойчивый паттерн риска: устаревшие смарт-контракты с «висящими» одобрениями токенов. Даже если протокол считает контракт устаревшим, пользователи, которые не отозвали свои разрешения, остаются уязвимыми до тех пор, пока старая инфраструктура остается потенциальным вектором атаки.

12 мая 2026 года протокол кроссчейн-свопов и мостов Transit Finance был взломан в сети TRON, убытки составили около $1,88 млн [1]. Злоумышленник воспользовался путем выполнения произвольных данных (arbitrary calldata) в устаревшем контракте TransitMixSwapBridge, чтобы вызвать USDT.transferFrom() для пользователей, которые ранее предоставили неограниченные разрешения на трату USDT контракту Transit. Хотя затронутый контракт, как сообщается, был выведен из эксплуатации еще в 2022 году, связи одобрений оставались активными и доступными для эксплуатации.

Предыстория

Transit Finance — это кроссчейн-протокол для свопов и агрегации мостов, который позволяет пользователям обменивать и переводить активы между несколькими блокчейнами, включая TRON. Развертывание протокола в TRON исторически включало контракт TransitMixSwapBridge, который направлял выполнение свопов и мостов через внутренний прокси и конвейер одобрений.

Анализ уязвимости

Уязвимый контракт TransitMixSwapBridge (TUfPjK...Ukbc4) предоставлял функцию пересылки произвольных calldata: данные, контролируемые злоумышленником, могли проходить через цепочку внутреннего выполнения Transit без достаточной проверки. Это позволило атакующему создать полезные нагрузки (payloads), которые в итоге вызывали функцию USDT.transferFrom() через контракт одобрений Transit (TransitApproveGovernanceTron), который всё ещё обладал неограниченными разрешениями, выданными пользователями.

Основной дефект заключается в том, что путь выполнения не накладывал никаких ограничений на целевой адрес или calldata пересылаемого вызова, что делало возможным выполнение произвольных внешних вызовов от имени контракта с правами доступа.

Анализ атаки

Приведенный ниже анализ основан на транзакции 3a981b83...ce918ac2.

  • Шаг 1: Злоумышленник вызвал контракт TransitMixSwapBridge со специально сформированными calldata. Данные были перенаправлены через прокси-сервер Transit и конвейер исполнения моста к контракту одобрений.

  • Шаг 2: Контракт одобрений Transit (TransitApproveGovernanceTron) выполнил контролируемые злоумышленником вызовы USDT.transferFrom(). Поскольку пользователи ранее предоставили неограниченные лимиты USDT этому контракту, вызовы были успешно обработаны.

  • Шаг 3: USDT были переведены напрямую с кошельков жертв на адрес, контролируемый злоумышленником, на общую сумму около $1,88 млн.

Заключение

Инцидент был вызван уязвимостью исполнения произвольных calldata в устаревшем контракте TransitMixSwapBridge в сочетании с сохраняющимися неограниченными одобрениями токенов. Хотя контракт, как сообщалось, был выведен из эксплуатации с 2022 года, связи одобрений оставались активными и уязвимыми. Главные уроки: (1) устаревшие контракты должны быть полностью выведены из эксплуатации, включая отзыв всех прав доступа к токенам, (2) пути пересылки произвольных calldata должны проверять как целевой адрес, так и селектор функции, и (3) пользователям следует регулярно проверять и отзывать ненужные одобрения токенов, особенно для протоколов, которые больше не поддерживаются.

Ссылки

Начните работу с Phalcon Explorer

Изучайте транзакции, чтобы действовать осознанно

Попробовать бесплатно

Другие инциденты на этой неделе

TAC

12 мая 2026 года протокол моста TAC, который расширяет TON возможностями EVM-совместимого исполнения, был взломан примерно на $2,8 млн [1]. Первопричиной стало отсутствие проверки канонического кошелька в процессе депозита jetton в сети TON: контракт TAC JettonProxy принимал JettonNotify от неканонического кошелька jetton без проверки того, совпадает ли отправитель с каноническим кошельком, полученным из официального мастер-контракта jetton. Это позволило злоумышленнику отправлять поддельные уведомления о депозитах, которые инициировали легитимные кроссчейн-сообщения и выпуск (минтинг) отображаемых активов в TAC EVM.

Предыстория

TON не является нативно EVM-совместимым, что ограничивает прямой доступ к DeFi-приложениям в стиле Ethereum. TAC расширяет TON, предоставляя мост, который позволяет активам и сообщениям, исходящим из TON, обрабатываться в EVM-совместимой среде. В такой архитектуре депозиты токенов в TON преобразуются в кроссчейн-сообщения и выпускаются в виде активов-аналогов в TAC EVM.

Анализ уязвимости

Уязвимый контракт TAC JettonProxy развернут по адресу EQAChA...xMdw.

Уязвимость заключается в отсутствии проверки канонического кошелька на пути поступления токенов в TON. TAC JettonProxy принимал сообщения JettonNotify без проверки того, является ли msg.sender каноническим кошельком jetton, полученным из официального мастер-контракта для заявленного владельца. Из-за этого неканонический кошелек мог отправить поддельный JettonNotify, который обрабатывался как легитимный депозит, запуская валидное кроссчейн-сообщение из TVM в EVM.

Анализ атаки

Следующий анализ основан на транзакциях 549807fd...3757e1 и 0x0942a5...0dad224d.

  • Шаг 1: Злоумышленник развернул контракт, похожий на кошелек, и использовал его для отправки JettonNotify в TAC JettonProxy. Полезная нагрузка содержала информацию о переводе токенов и forward_payload с данными для кроссчейн-исполнения.
  • Шаг 2: TAC JettonProxy принял уведомление и отправил вниз по цепочке кроссчейн-сообщение в TAC CCL. Кошелек-отправитель не был каноническим кошельком, полученным из официального мастер-контракта USD₮ (USDT на TON) для соответствующего владельца, однако уведомление было обработано как валидный процесс депозита.
  • Шаг 3: TAC EVM обработал сообщение моста и выпустил отображенные активы, включая около 2,17 млн USD₮, завершив путь атаки.

Заключение

Инцидент был вызван отсутствием проверки канонического кошелька в процессе депозита jetton в сети TON. Кошелек, не связанный с официальным мастер-контрактом jetton, успешно отправил поддельный JettonNotify, который мост счел легитимным депозитом и преобразовал в валидный кроссчейн-минтинг в TAC EVM. Надежное исправление должно гарантировать, что мост в TON проверяет адрес отправителя на соответствие каноническому кошельку, полученному из официального мастер-контракта для заявленного владельца и актива.

Ссылки

Boost Hook

13 мая 2026 года протокол Boost, представляющий собой протокол бессрочных контрактов на основе пула Uniswap V4 и хука, был взломан в сети Ethereum примерно на $46,75 тыс. Первопричиной стала манипуляция спотовой ценой: BoostHook использовал sqrtPriceX96 из slot0 пула V4 напрямую в качестве цены входа при открытии позиций с кредитным плечом. Это позволило злоумышленнику завысить цену в рамках одной транзакции и принудить протокол покупать токены PERP по манипулируемой цене, используя его собственные резервы ETH.

Предыстория

Boost — это протокол бессрочных контрактов, построенный на единственном пуле Uniswap V4 ETH/PERP с кастомным хуком (BoostHook). PERP — это токен ERC-20 с фиксированным предложением (всего 1 млн), а Boost выступает единственным поставщиком ликвидности в пуле, обеспечивая наличие всех PERP в качестве диапазонов концентрированной ликвидности выше начальной цены.

Кредитное плечо реализовано как рыночный своп против того же самого пула. Когда пользователь вызывает openLong(), BoostHook дополняет залог пользователя, выводя дополнительные ETH из своих собственных верхних диапазонов в качестве заемных средств, а затем обменивает полный объем позиции на PERP. PERP остается на балансе BoostHook, а пользователь получает внутреннюю запись о позиции. Закрытие или ликвидация отменяет своп, погашает долг и возвращает любой излишек.

Анализ уязвимости

Уязвимый контракт BoostHook развернут по адресу 0x3db1...d7eacc.

Первопричина заключается в том, что BoostHook считывает slot0 sqrtPriceX96 пула (спотовую цену) напрямую в качестве входной цены при открытии позиции. Поскольку slot0 отражает мгновенное состояние пула, им можно манипулировать в рамках одной транзакции с помощью крупных свопов. Никакая проверка не гарантирует, что входная цена находится в пределах устойчивых к манипуляциям границ, таких как TWAP.

Анализ атаки

Анализ основан на транзакции 0xb45cc4...cebd3811.

  • Шаг 1: Злоумышленник взял флэш-кредит WETH у Morpho Blue и развернул его в ETH, обеспечив стартовый капитал для манипуляционного цикла.

  • Шаг 2: Злоумышленник обменял большое количество ETH на PERP через Sat1SwapRouter, взвинтив спотовую цену пула. Теперь злоумышленник владел крупной позицией PERP, купленной по цене до пампа.

  • Шаг 3: Злоумышленник несколько раз вызвал openLong() с 5-кратным кредитным плечом. Для каждого вызова атакующий вносил небольшой залог (например, 2 ETH), а BoostHook занимал 4-кратную сумму из своих собственных диапазонов, а затем рыночно покупал PERP на полный объем позиции по манипулируемой спотовой цене. Каждое последующее открытие толкало спотовую цену еще выше, и большая часть давления на покупку исходила от ETH самого протокола.
  • Шаг 4: Злоумышленник обменял PERP, полученные на шаге 2, обратно на ETH. Поскольку спотовая цена была поднята как оригинальным пампом, так и финансируемыми протоколом открытиями позиций на шаге 3, цена выхода была значительно выше цены входа. Разница между дешевой покупкой и дорогой продажей составила прибыль.

  • Шаг 5: Внутри коллбэка afterSwap при дамп-свопе сработал _scanAndLiquidate, начав ликвидацию позиций с шага 3 в качестве безнадежного долга протокола. Это никак не повлияло на прибыль злоумышленника, так как выплата с шага 4 уже была зафиксирована.

  • Шаг 6: Злоумышленник обернул накопленные ETH обратно в WETH, погасил флэш-кредит и оставил оставшиеся ETH в качестве прибыли.

Заключение

Инцидент был вызван манипуляцией спотовой ценой: BoostHook использовал спотовую цену пула V4 напрямую в качестве цены входа для позиций с кредитным плечом, что позволило атакующему завысить цену за одну транзакцию и вынудить протокол покупать PERP на пике за счет собственных резервов ETH. Исправление должно ограничивать _swapEthForToken с использованием устойчивой к манипуляциям справочной цены (например, TWAP), а не доверять мгновенному значению slot0.

Начните работу с Phalcon Security

Обнаруживайте все угрозы, оповещайте о важном и блокируйте атаки.

Попробовать бесплатно

О компании BlockSec

BlockSec — поставщик услуг в области безопасности блокчейна и крипто-комплаенса полного цикла. Мы создаем продукты и сервисы, которые помогают клиентам проводить аудит кода (включая смарт-контракты, блокчейн и кошельки), перехватывать атаки в режиме реального времени, анализировать инциденты, отслеживать незаконные средства и соблюдать требования AML/CFT на протяжении всего жизненного цикла протоколов и платформ.

BlockSec опубликовала множество статей по безопасности блокчейна на престижных конференциях, сообщила о нескольких уязвимостях нулевого дня в DeFi-приложениях, заблокировала многочисленные взломы, предотвратив кражи на сумму более $20 млн, и обеспечила безопасность криптовалют на миллиарды долларов.

Sign up for the latest updates
Потери на $104.6 млн: Verus, RetoSwap и другие | Еженедельный отчет BlockSec
Security Insights

Потери на $104.6 млн: Verus, RetoSwap и другие | Еженедельный отчет BlockSec

Еженедельный отчет BlockSec: 5 атак за 18-24 мая на $104,6 млн. Подробно: взлом Verus-Ethereum ($11,7 млн) из-за ошибки валидации и RetoSwap ($2,7 млн) из-за уязвимости P2P. Суммарный ущерб от EchoProtocol, Polymarket и StablR составил $90,2 млн.

Потеряно ~$15,9 млн: Trusted Volumes, Wasabi и другие | Еженедельный обзор BlockSec
Security Insights

Потеряно ~$15,9 млн: Trusted Volumes, Wasabi и другие | Еженедельный обзор BlockSec

Двухнедельный отчет BlockSec (27.04–10.05.2026): 11 атак с убытком $15,9 млн в сетях Sui, ETH, BNB, Base, Blast и Berachain. Анализ взломов Aftermath Finance ($1,14 млн), Trusted Volumes ($5,87 млн) и Wasabi Protocol ($5,7 млн).

Информационный бюллетень — апрель 2026 г.
Security Insights

Информационный бюллетень — апрель 2026 г.

В апреле 2026 года в DeFi произошло 3 инцидента: взлом KelpDAO ($290 млн), Drift Protocol ($285 млн) и Rhea Finance ($18,4 млн) из-за уязвимостей моста, захвата управления и ошибок логики модуля маржинальной торговли соответственно.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit