За прошедшую неделю (16–22 февраля 2026 г.) компания BlockSec обнаружила и проанализировала три инцидента безопасности с общим предполагаемым ущербом в ~$6,22 млн. В таблице ниже приведены итоги этих инцидентов, а подробный анализ каждого случая представлен в следующих подразделах.
| Дата | Инцидент | Тип | Предполагаемый ущерб |
|---|---|---|---|
| 2026/02/16 | Инцидент с Moonwell | Неверная конфигурация | ~$1,78 млн |
| 2026/02/19 | Инцидент с PearlDriver | Арифметическое переполнение | ~$40,3 тыс. |
| 2026/02/21 | Инцидент с IoTex | Компрометация ключа | ~$4,4 млн |
1. Инцидент с Moonwell
Краткое изложение
16 февраля 2026 года протокол Moonwell в сети Base подвергся эксплойту из-за неверной конфигурации оракула, что привело к образованию безнадежной задолженности на сумму около 1,78 млн долларов США. Проблема возникла во время выполнения предложения MIP-X43, в ходе которого для оракула Base cbETH был ошибочно задан канал обменного курса cbETH/ETH вместо составного оракула, учитывающего цену ETH/USD. В результате этого оракул стал указывать стоимость cbETH в размере ~$1,12 вместо его реальной рыночной стоимости в ~$2 200. Бот-ликвидаторы немедленно вывели 1096,317 cbETH, погасив при этом минимальный долг, прежде чем были снижены лимиты, чтобы остановить эксплойт.
Предыстория
Moonwell — это кредитный протокол, работающий в нескольких сетях, который 16 февраля 2026 года реализовал предложение под названием MIP-X43. Целью данного предложения было включение контрактов-оберток Chainlink OEV (Oracle Extractable Value — извлекаемая из оракулов ценность) на всех оставшихся основных и изолированных рынках в сетях Base и Optimism, что расширило охват по сравнению с тремя каналами, активированными в MIP-X38. Контракты-обертки OEV предназначены для того, чтобы позволить протоколу захватывать ценность во время ликвидаций, зависящих от цен оракулов, и при этом гарантировать, что ликвидаторы остаются должным образом мотивированными.
Анализ уязвимости
Уязвимость была вызвана ошибкой конфигурации в конструкторе ChainlinkOracleConfigs.sol. Для актива cbETH в сети Base предложение сконфигурировало оракул как "cbETHETH_ORACLE" (канал обменного курса cbETH/ETH) вместо надлежащего составного оракула, который объединяет этот курс с ценой ETH/USD. Когда обертка OEV была развернута и подключена в качестве источника данных через функцию setFeed() в ChainlinkOracle, протокол начал использовать необработанный обменный курс (cbETH/ETH ≈ 1,12) в качестве цены cbETH в долларах США. Это создало огромное расхождение между сообщаемой ценой (~$1,12) и реальной рыночной стоимостью (~$2 200–$2 400), что привело к недооценке обеспечения cbETH примерно в 2 200 раз.
Анализ атаки
-
16 февраля 2026 года в 02:01 (UTC+8) выполнение MIP-X43 завершилось, активировав неверно сконфигурированный оракул cbETH в сети Base.
-
Бот-ликвидаторы, отслеживающие протокол, немедленно обнаружили расхождение цен и выполнили ликвидацию позиций [обеспечения] cbETH.
- В течение нескольких минут ликвидаторы вывели 1096,31 cbETH, создав безнадежную задолженность в размере ~$1,78 млн на затронутых рынках.
Заключение
Этот инцидент был окончательно вызван ошибкой конфигурации при развертывании MIP-X43 в Moonwell, где для cbETH в сети Base по ошибке был назначен канал обменного курса cbETH/ETH вместо правильного составного оракула. Эта неверная конфигурация позволила быстро опустошить значительный объем обеспечения cbETH.
Для протоколов, работающих с несколькими каналами оракулов, критически важно внедрять процедуры тщательной проверки перед развертыванием, чтобы гарантировать, что каждый актив связан с предназначенным для него источником цены. Тщательная верификация может значительно снизить риск подобных критических ошибок конфигурации.
2. Инцидент с PearlDriver
Краткое изложение
19 февраля 2026 года контракт кривой бондинга NLAMM протокола PearlDriver в сети BSC подвергся эксплойту, в результате чего было потеряно примерно 40,3 тыс. долларов США. Первопричиной стало неконтролируемое арифметическое переполнение в функции buy(), которое позволило атакующему отчеканить огромное количество игровых токенов почти бесплатно, а затем продать их в пулах ликвидности PearlDEX.
Предыстория
PearlDriver использует кривую бондинга NLAMM (нелинейный автоматизированный маркет-мейкер) для выпуска токенов. Пользователи могут приобретать токены игровых ресурсов с помощью функции buy(), где стоимость покупки в стейблкоинах рассчитывается по формуле: стоимость = количество * текущая_цена.
В нормальных условиях эта формула гарантирует, что требуемая оплата прямо пропорциональна приобретаемому объему. Кривая бондинга опирается на допущение, что крупные покупки требуют соответствующей оплаты, что поддерживает целостность ценообразования и предотвращает непропорциональное создание токенов.
Анализ уязвимости
Первопричиной стало арифметическое переполнение при расчете оплаты в стейблкоинах. Вся функция buy() была обернута в блок unchecked, что отключает встроенную в Solidity защиту от переполнения. В результате умножение, используемое для вычисления стоимости покупки, не приводило к откату (revert) при превышении максимального предела целых чисел. Вместо этого значение переполнялось и превращалось в гораздо меньшее число, что радикально сокращало требуемую оплату.
В итоге атакующий смог заплатить практически нулевую сумму, отчеканив огромное количество токенов, которые затем были немедленно выброшены в пары ликвидности DEX для вывода USDT.
Анализ атаки
В ходе одной транзакции атакующий использовал уязвимую функцию buy() для пяти активов (IRON ORE, COAL, WOOD, SAND и CLAY), применяя один и тот же шаблон атаки. Рассмотрим первый актив в качестве примера:
-
Атакующий указал чрезвычайно большое количество покупки при вызове
buy(). Из-за неконтролируемой арифметики результат вычисления количество * текущая_цена переполнился и принял почти нулевое значение, потребовав оплаты всего 0,0053 USDT (менее ~$0,01). Несмотря на ничтожную стоимость, контракт отчеканил атакующему огромное количество IRON ORE, а именно 7,03 × 10⁵⁸ токенов. -
Атакующий немедленно обменял часть отчеканенных IRON ORE в соответствующей паре ликвидности PearlDEX, получив 7 805,55 USDT (~$7 805,56).
Та же самая последовательность «переполнение и сброс» была выполнена по отношению к остальным четырем активам, выведя ликвидность из каждой пары актив-USDT и принеся более 40 тыс. долларов США общей прибыли.
Заключение
Этот инцидент был вызван неконтролируемыми арифметическими операциями в логике ценообразования функции buy() в NLAMM. Отключение проверок на переполнение позволило экстремальным входным значениям исказить расчет оплаты, нарушив экономические допущения модели кривой бондинга.
Хотя неконтролируемая арифметика может быть уместна в строго контролируемых ситуациях, ее использование в финансовой логике, которая напрямую определяет сумму оплаты, может создать значительный риск. Для снижения подобных угроз разработчикам следует тщательно проверять все арифметические операции и проявлять осторожность при отключении встроенных проверок переполнения Solidity 0.8+, особенно в участках кода, которые влияют на ценообразование или переводы.
3. Инцидент с IoTex
Краткое изложение
21 февраля 2026 года мост ioTube проекта IoTeX пострадал от нарушения безопасности из-за компрометации ключа владельца валидатора в сети Ethereum. Атакующий получил право собственности на контракт валидатора, после чего захватил контроль над контрактами TokenSafe и MintPool, чтобы вывести резервы моста на сумму ~$4,4 млн и отчеканить более 400 млн токенов CIOTX. Украденные резервы были обменяны и частично переведены в сеть Bitcoin. Согласно сообщению проекта, около 355 млн отчеканенных токенов CIOTX были окончательно заблокированы или заморожены.
Предыстория
Компрометированный ioTube — это инфраструктура кросс-чейн моста компании IoTeX, соединяющая первый уровень (L1) IoTeX с другими сетями, такими как Ethereum. В сети Ethereum архитектура моста сосредоточена вокруг контракта валидатора (т.е. TransferValidatorWithPayload), который проверяет сообщения о кросс-чейн расчетах и управляет нижестоящими контрактами минтинга. К ним относятся TokenSafe, который хранит резервные активы моста, и MintPool, обладающий полномочиями на минтинг определенных токенов, таких как CIOTX.
Анализ уязвимости
Первопричиной стала компрометация закрытого ключа владельца контракта валидатора. Поскольку безопасность моста опиралась на один EOA (внешний аккаунт) без механизмов мультиподписи (multi-signature) или временной задержки (timelock), владение этим ключом давало полный административный контроль. Используя функцию upgrade() контракта, атакующий передал право собственности на контракты TokenSafe и MintPool на подконтрольный ему адрес. Это позволило напрямую выводить резервные активы моста и несанкционированно чеканить большие объемы CIOTX.
Анализ атаки
-
Компрометация ключа владельца контракта валидатора в сети Ethereum, получение административного контроля.
-
Использование контракта валидатора для передачи прав собственности на контракты
TokenSafeиMintPool.
-
Вывод резервных активов на сумму ~$4,4 млн (USDC, USDT, WBTC, WETH, BUSD и др.) из
TokenSafeи минтинг более 400 млн CIOTX черезMintPool. -
Обмен украденных резервных токенов и перевод их в другие сети.
Заключение
Этот инцидент представляет собой хрестоматийный пример компрометации ключа из-за отсутствия защиты от «единой точки отказа». Вся безопасность моста со стороны Ethereum опиралась на один EOA с полными административными полномочиями и без защиты мультиподписью или временной задержкой. Как только закрытый ключ этого EOA был скомпрометирован, контроль над критическими компонентами моста был фактически потерян.
Данный случай подчеркивает риски централизованного административного контроля и необходимость распределения прав на обновление и хранение активов через более надежные механизмы управления.
О компании BlockSec
BlockSec — поставщик услуг полного цикла в области безопасности блокчейнов и комплаенса для криптоиндустрии. Мы создаем продукты и услуги, которые помогают клиентам проводить аудит кода (включая смарт-контракты, блокчейны и кошельки), перехватывать атаки в реальном времени, анализировать инциденты, отслеживать незаконные средства и соблюдать требования AML/CFT на протяжении всего жизненного цикла протоколов и платформ.
Компания BlockSec опубликовала множество статей по безопасности блокчейнов на престижных конференциях, сообщила о нескольких уязвимостях нулевого дня в DeFi-приложениях, заблокировала многочисленные хакерские атаки, сохранив более 20 миллионов долларов, и обеспечила защиту миллиардов долларов в криптовалютах.
-
Официальный сайт: https://blocksec.com/
-
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
