Топ-3 DeFi-инцидента в декабре
Yearn Finance: ~9 млн долларов
1 декабря пул yETH в Yearn Finance на Ethereum был взломан, что привело к общим убыткам, превышающим 9 миллионов долларов. При содействии сторонних команд безопасности около 2,39 млн долларов (857,49 pxETH) удалось успешно спасти в тот же день.
Уязвимость находилась в функции _calc_supply(), которая использовала итеративный метод для расчета приближенных значений нового предложения. Небезопасные математические операции привели к ошибкам округления и проблемам с переполнением (underflow). Хотя сама уязвимость выглядела относительно простой, злоумышленник выполнил сложные действия для ее эксплуатации, манипулируя предложением пула до нуля перед выводом прибыли.
Шестнадцать дней спустя протокол пострадал от второго взлома: был скомпрометирован устаревший контракт из его старой версии (iEarn). В ходе этого инцидента была использована известная уязвимость из-за неверной конфигурации, ранее выявленная в 2023 году. Второй инцидент привел к убыткам в размере 300 тысяч долларов, в результате чего общий ущерб протокола за месяц составил почти 10 миллионов долларов.
Ознакомьтесь с официальным отчетом (post-mortem) для подробного анализа атаки
Trust Wallet: ~7 млн долларов
В день Рождества Trust Wallet подвергся критическому нарушению безопасности в расширении для Chrome (версия 2.68), что привело к краже пользовательских средств на сумму около 7 миллионов долларов.
Первопричиной стал вредоносный бэкдор, внедренный в кодовую базу; предполагается, что он появился в результате атаки методом социальной инженерии на команду разработчиков. Этот бэкдор передавал мнемонические фразы пользователей на сервер, контролируемый злоумышленником, компрометируя все фразы, созданные или импортированные с помощью этой конкретной версии расширения. Впоследствии злоумышленник вывел средства пользователей из различных сетей и направил их на биржи без KYC.
После инцидента команда Trust Wallet выпустила экстренное обновление для удаления бэкдора и взяла на себя обязательства по плану компенсации для пострадавших пользователей. Этот взлом служит суровым напоминанием о том, что безопасность должна охватывать весь жизненный цикл протокола. Помимо аудита ончейн-кода, важнейшими аспектами защиты активов пользователей являются обеспечение безопасности офчейн-инфраструктуры и поддержание постоянного мониторинга.
Ribbon Finance: ~2,7 млн долларов
12 декабря Ribbon Finance в сети Ethereum подвергся атаке, в результате которой было потеряно 2,7 миллиона долларов.
Первопричиной стал ненадлежащий контроль доступа в функции setAssetPricer() в контракте Oracle, что позволяло любому пользователю произвольно устанавливать цены на активы. Злоумышленник воспользовался этим, сначала установив оракул цен, который выглядел как легитимный, чтобы избежать обнаружения, поскольку протокол проводит расчеты по опционам только с недельным интервалом. Создав и купив позицию колл-опциона, злоумышленник дождался даты исполнения, чтобы обновить контракт и заменить доброкачественный оракул на вредоносный (который установил искусственно завышенную цену актива), а затем исполнил опцион для извлечения прибыли.
Этот инцидент подчеркивает, что контроль доступа остается критическим аспектом безопасности смарт-контрактов. Одиночная ошибка в управлении правами доступа может подвергнуть протоколы значительным рискам. Комплексные аудиты безопасности, проверяющие все административные функции, имеют решающее значение перед развертыванием для выявления и устранения подобных уязвимостей.
Приведенная выше информация основана на данных по состоянию на 00:00 UTC 30 декабря 2025 года.
На этом краткий обзор инцидентов безопасности за декабрь завершен.
Вы можете узнать больше в нашей Библиотеке инцидентов безопасности.
Будьте в курсе и в безопасности!
