Топ-3 инцидента в сфере DeFi за февраль
YieldBlox DAO: ~$10 млн
22 февраля 2026 года пул ликвидности, управляемый YieldBlox DAO на блокчейне Stellar (Blend V2), подвергся взлому, что привело к убыткам на сумму более 10 миллионов долларов.
Первопричиной стала зависимость от манипулируемого источника цен. В частности, рынок USTRY/USDC на SDEX обладал крайне низкой ликвидностью. Злоумышленник исполнил легитимные ордера и вставил аномальные, искусственно завысив цену USTRY примерно с $1,06 до $107. Впоследствии Reflector обновил свою ленту цен с учетом этого манипулятивного значения, что привело к сильной переоценке залога USTRY в кредитном пуле. Используя завышенную стоимость залога, злоумышленник внес минимальный объем USTRY и занял около 1 млн USDC и 61,2 млн XLM за две транзакции. Похищенные активы затем были переведены через мосты в сети Base, BSC и Ethereum.
Важно отметить, что этот инцидент был вызван не уязвимостью смарт-контракта, а ошибкой конфигурации на уровне оператора пула. Этот случай подчеркивает критическую важность надежных, устойчивых к манипуляциям оракулов для протоколов кредитования, полагающихся на внешние источники данных. Операторы протоколов должны проявлять предельную осторожность при выборе оракулов и постоянно контролировать их работу.
Посмотреть подробный технический анализ
IoTex: ~$4,4 млн
21 февраля 2026 года мост ioTube протокола IoTeX подвергся взлому, что привело к убыткам на сумму более 4,4 миллиона долларов.
Первопричиной стала компрометация приватного ключа владельца контракта валидатора в сети Ethereum. Поскольку архитектура моста предоставляла полные административные полномочия одному владельцу без механизмов мультиподписи или временных задержек (timelock), злоумышленник смог вызвать функцию upgrade() контракта валидатора, чтобы передать право владения контрактами TokenSafe и MintPool на подконтрольный ему адрес. Затем злоумышленник выпустил более 410 млн CIOTX через MintPool и вывел около 4,4 млн долларов в резервных активах моста (USDC, USDT, WBTC, WETH, BUSD и др.) из TokenSafe. По данным команды проекта, по состоянию на 26 февраля около 355 млн выпущенных токенов CIOTX были навсегда заблокированы или заморожены.
Этот инцидент является хрестоматийным примером единой точки отказа из-за компрометации ключа, подтверждающим критические риски централизованного административного контроля в архитектурах кроссчейн-мостов. Командам проектов следует избегать концентрации критических привилегий в руках одного аккаунта, особенно при проведении операций с высоким риском, таких как обновление контрактов, хранение активов и выпуск токенов.
CrossCurve: ~$2,8 млн
2 февраля 2026 года протокол моста CrossCurve был взломан одновременно в нескольких сетях, включая Ethereum, Arbitrum и Optimism. Инцидент привел к убыткам в размере около 2,8 миллиона долларов.
Первопричиной стало то, что контракт ReceiverAxelar содержал незащищенную функцию expressExecute(), которая обходит стандартный процесс проверки Axelar Gateway. Согласно модели безопасности Axelar, кроссчейн-сообщения сначала должны быть одобрены шлюзом, а затем проверены в целевой сети через validateContractCall(). Однако путь expressExecute() полностью пропускал этот процесс, полагаясь только на проверки из «белого списка» по параметрам sourceChain и sourceAddress. При этом оба параметра задавались пользователем и могли быть подделаны злоумышленником. Создав фальшивое сообщение с адресом узла из белого списка, атакующий обошел все проверки безопасности и активировал функцию unlock() на портале Eywa CLP, что привело к выпуску 999 787 453 токенов EYWA.
Этот инцидент демонстрирует, что механизмы ускоренного выполнения транзакций должны обеспечивать те же предположения безопасности, логику проверки и гарантии контроля доступа, что и стандартные потоки выполнения. Любая оптимизация, ослабляющая каноническую модель доверия, фактически создает лазейку для атаки.
Вышеуказанная информация основана на данных по состоянию на 00:00 UTC 28 февраля 2026 года.
На этом краткий обзор инцидентов безопасности за февраль завершен.
Подробнее вы можете узнать в нашей Библиотеке инцидентов безопасности.
Будьте в курсе и в безопасности!
