Топ-3 DeFi-инцидента в январе
Truebit Protocol: ~$26 млн
8 января 2026 года Truebit Protocol в сети Ethereum подвергся атаке, в результате которой было потеряно около 26 миллионов долларов США. Этот инцидент подчеркивает критическую важность надежной безопасности смарт-контрактов.
Первопричиной стала уязвимость переполнения целых чисел (integer overflow) в функции расчета стоимости покупки токенов TRU. Контракт был скомпилирован с помощью Solidity v0.6.10, которая не выполняет проверки на переполнение по умолчанию. Злоумышленник создал такие входные параметры, которые привели к тому, что большое промежуточное значение при расчете стоимости покупки переполнилось и превратилось в значительно меньшее число. Это позволило хакеру приобрести огромное количество токенов TRU за минимальную или даже нулевую стоимость в ETH.
Злоумышленник совершил несколько раундов арбитража в рамках одной транзакции атаки, неоднократно выполняя операции покупки и продажи токенов TRU. Примечательно, что протокол намеренно предусматривал асимметрию ценообразования между покупкой и продажей, чтобы предотвратить немедленный арбитраж. Однако уязвимый контракт был развернут с использованием устаревшей версии Solidity без защиты от переполнения, что открыло вектор атаки и в конечном итоге привело к выводу 8 535 ETH из резервов протокола.
Защитите свое dApp с помощью аудита смарт-контрактов от BlockSec
Не позволяйте уязвимостям, таким как переполнение целых чисел, угрожать вашему протоколу. Наша команда экспертов проводит тщательный аудит смарт-контрактов для выявления и снижения рисков до того, как они станут дорогостоящими эксплойтами.
Лучший аудитор безопасности для Web3
Проверьте дизайн, код и бизнес-логику перед запуском
SwapNet и Aperture: ~$17 млн
25 января 2026 года SwapNet и Aperture Finance подверглись атакам, вызванным общей уязвимостью, что привело к совокупным потерям в размере около 17 миллионов долларов США. Атака оказала значительное влияние на пользователей Matcha Meta: объем пострадавших средств превысил 13 миллионов долларов.
Хотя контракты обоих пострадавших протоколов были с закрытым исходным кодом, пути атаки удалось восстановить путем анализа декомпилированного байт-кода наряду с отслеживанием транзакций в сети. Первопричиной стала недостаточная проверка важных пользовательских входных данных в уязвимых функциях, что позволило злоумышленникам выполнять произвольные вызовы с вредоносными параметрами. В серии транзакций атаки хакеры формировали вызовы ERC20 transferFrom(), чтобы вывести токены у пользователей, которые ранее предоставили права доступа (allowance) к своим токенам уязвимым контрактам. Это подчеркивает распространенный риск безопасности в DeFi.
Оба протокола, участвовавшие в этой атаке, не открыли свой исходный код, что затруднило выявление уязвимостей сообществом посредством публичной проверки. В то же время метод атаки, основанный на правах доступа, служит тревожным сигналом для индустрии: пользователи должны тщательно управлять своими разрешениями на использование токенов, а протоколы должны внедрять защитные механизмы, такие как временные блокировки или лимиты на одобрения (allowances), чтобы фундаментально минимизировать риски подобных атак.
Phalcon Security: Мониторинг угроз в реальном времени и предотвращение атак
Будьте на шаг впереди сложных атак, подобных тем, что произошли с SwapNet и Aperture. Phalcon Security обеспечивает мониторинг и оповещение о подозрительной активности в сети в режиме реального времени, помогая вам обнаруживать и предотвращать эксплойты.
Saga: ~$7 млн
21 января 2026 года SagaEVM в экосистеме Saga подверглась эксплойту, что привело к несанкционированному выпуску токенов и потере около 7 миллионов долларов США. Этот инцидент подчеркивает важность надежной безопасности блокчейна на всех уровнях.
Хотя первопричина еще не была полностью раскрыта, официальные источники подтвердили, что общая уязвимость в коде Ethermint и CosmosEVM, которая была унаследована SagaEVM, привела к атаке. Злоумышленник развернул вредоносные смарт-контракты для осуществления эксплойта, отчеканив значительное количество Saga Dollars. После успешной атаки почти все украденные средства были быстро переведены в сеть Ethereum через кросс-чейн мосты.
Этот инцидент подчеркивает риски наследования кода в блокчейн-экосистемах. Когда уязвимости существуют в базовых кодовых базах, все проекты, наследующие этот код, могут столкнуться с теми же угрозами, создавая каскадные уязвимости безопасности. Для таких экосистем критически важны комплексные аудиты инфраструктуры.
Приведенная выше информация основана на данных по состоянию на 00:00 UTC, 31 января 2026 года.
На этом сводка инцидентов безопасности за январь завершена. Для более глубокого анализа инцидентов безопасности блокчейна и тенденций безопасности Web3 посетите наши ресурсы.
Вы можете узнать больше в нашей Библиотеке инцидентов безопасности.
Будьте в курсе и в безопасности!
