Топ-3 инцидентов безопасности в мае
Самые значительные потери в мае были связаны не с уязвимостями смарт-контрактов, а с нарушениями на границах доверия, включая компрометацию приватных ключей, ошибки кроссчейн-валидации и упущения в операционной безопасности, связанные с полномочиями по выпуску (mint authority) и семантикой мостов.
Эта тенденция служит напоминанием о том, что безопасность в Web3 выходит далеко за рамки кода смарт-контрактов. Каждая система закладывает предположения о доверии на протяжении всего своего жизненного цикла. Когда любое из этих предположений нарушается, оно становится самым слабым звеном, и зачастую именно его оказывается достаточно злоумышленнику для совершения атаки.
Echo Protocol: ~$76,7 млн
19 мая 2026 года развертывание eBTC протокола Echo в сети Monad столкнулось с серьезным инцидентом безопасности. Исходя из привязанной стоимости выпущенных eBTC на момент эксплойта, потери оцениваются примерно в 76,7 миллиона долларов.
Первопричиной стала компрометация ключа администратора, а не обычная уязвимость логики смарт-контракта. Получив привилегированный доступ, злоумышленник выпустил около 1 000 ничем не обеспеченных eBTC без внесения соответствующего залога. Поскольку eBTC был предназначен для отслеживания стоимости BTC, несанкционированный выпуск немедленно создал огромный номинальный риск. Затем злоумышленник переместил часть фальсифицированных активов в сторонние протоколы, превратив инцидент в событие риска для всей экосистемы.
Этот случай показывает, что для систем синтетических или обернутых активов ключевой границей безопасности является не только корректность контракта, но и то, не сосредоточены ли полномочия на выпуск (mint authority) слишком сильно в одном привилегированном ключе. Как только этот «якорь доверия» скомпрометирован, злоумышленник может полностью обойти предполагаемую модель обеспечения залогом.
StablR: ~$12,8 млн
24 мая 2026 года система стейблкоинов StablR пострадала от нарушения безопасности, связанного с несанкционированным выпуском токенов на сумму около 12,8 миллиона долларов.
Судя по публичным отчетам, это был в первую очередь компрометации инфраструктуры или системы управления ключами, а не традиционный взлом смарт-контракта. Злоумышленник получил контроль над полномочиями по выпуску на базе мультиподписи, после чего смог заменить или захватить роли владельца, что позволило несанкционированно выпустить USDR и EURR. Хотя фактически полученная злоумышленником прибыль в сети оказалась меньше полной номинальной стоимости незаконно выпущенных токенов, инцидент все же вызвал отвязку курса (depegging) и выявил недостатки в изоляции полномочий выпуска, безопасности подписантов и дизайне управления мультиподписью.
Для протоколов стейблкоинов такого рода инциденты особенно опасны, поскольку злоумышленнику не нужно напрямую выводить средства из казны. Если возможен несанкционированный выпуск, рыночное доверие к возможности выкупа может мгновенно рухнуть, что приведет к потере привязки и быстрому ухудшению ликвидности.
Verus: ~$11,7 млн
18 мая 2026 года мост Verus-Ethereum подвергся атаке, в результате которой было похищено около 11,7 миллиона долларов в активах ETH, tBTC и USDC. По состоянию на 23 мая 2026 года было возвращено около 75% украденных средств.
Первопричиной стала ошибка проверки типов (type-validation) в пути импорта на стороне Ethereum. Мост Verus-Ethereum предназначен для разблокировки активов в сети Ethereum после подтверждения того, что соответствующий объект экспорта существует в сети Verus в нотариально заверенном состоянии. Однако уязвимая логика проверяла лишь наличие некоего объекта на стороне Verus, не обеспечивая того, чтобы доказанный объект действительно являлся валидным первичным экспортом, предназначенным для обработки выплаты. В результате злоумышленник смог создать пустой экспорт в Verus, содержащий специально сформированный дополнительный выходной результат, а затем доказать наличие этого объекта в Ethereum, заставив мост ошибочно классифицировать его как обычный экспорт, несущий ценность.
Затем злоумышленник предоставил serializedTransfers (сериализованные переводы), соответствующие хеш-обязательству встроенного перевода, что позволило мошенническому импорту пройти проверки на стороне Ethereum и инициировать вывод активов из моста. Этот инцидент показывает, что безопасность моста зависит не только от проверки криптографических доказательств, но и от строгой валидации типа объекта, состояния, флагов, границ кодирования и семантики выполнения. Если протокол доказывает лишь то, что объект существует, но не то, что это именно тот объект, который предназначен для целевого действия, даже валидное доказательство может быть использовано для авторизации неправомерных выплат.
Читать официальный post-mortem
Приведенная выше информация основана на данных по состоянию на 00:00 UTC, 1 июня 2026 года.
На этом мы завершаем краткий обзор инцидентов безопасности за апрель. Для более глубокого анализа инцидентов безопасности блокчейнов и тенденций в области Web3-безопасности вы можете изучить наши ресурсы.
Вы можете узнать больше в нашей Библиотеке инцидентов безопасности.
Будьте в курсе и в безопасности!
