За прошедшую неделю (с 30.03.2026 по 05.04.2026) компания BlockSec обнаружила и проанализировала девять инцидентов, связанных с атаками, общие предполагаемые убытки от которых составили около $287 млн. В таблице ниже представлены эти инциденты, а подробный анализ каждого случая приводится в следующих подразделах.
| Дата | Инцидент | Тип | Оценочный убыток |
|---|---|---|---|
| 30.03.2026 | Инцидент с неизвестным протоколом | Ошибка бизнес-логики | ~$10 тыс. |
| 30.03.2026 | Инцидент с токеном WDGG | Контроль доступа | ~$40 тыс. |
| 31.03.2026 | Инцидент с токеном i6Token | Ошибка бизнес-логики | ~$273,8 тыс. |
| 01.04.2026 | Инцидент с Drift Protocol | Фишинговая атака | ~$285,3 млн |
| 01.04.2026 | Инцидент со стейкинг-протоколом LML | Ошибка бизнес-логики | ~$950 тыс. |
| 01.04.2026 | Инцидент с Tactile | Манипуляция ценой | ~$12 тыс. |
| 02.04.2026 | Инцидент с токеном SAS | Ошибка бизнес-логики | ~$12 тыс. |
| 03.04.2026 | Инцидент с Unknown-EIP-7702 | Контроль доступа | ~$17,2 тыс. |
| 03.04.2026 | Инцидент с Silo Finance | Ошибка конфигурации | ~$359 тыс. |
Лучший аудитор безопасности для Web3
Проверьте дизайн, код и бизнес-логику до запуска
1. Инцидент с неизвестным протоколом
Краткое изложение
30 марта 2026 года неизвестный протокол в сети BNB Chain потерял около $10 тыс. из-за ошибки в бизнес-логике. Протокол распределял часть депозитов пользователей на покупку внутреннего токена PSTART и добавление ликвидности. Это означало, что пользователи фактически владели позициями LP, подверженными рыночным колебаниям. Однако при выводе средств протокол не осуществлял расчеты на основе реальной стоимости активов LP на тот момент. Вместо этого он продолжал гарантировать фиксированную сумму стейблкоинов в соответствии с историей депозита и заданными правилами. В результате злоумышленник смог вывести средства по заранее оговоренной фиксированной цене, фактически переложив убытки, которые должны были нести владельцы LP-позиций, на сам протокол, что позволило получить прибыль с нулевыми затратами.
Предыстория
Протокол работал следующим образом: после внесения пользователем BUSD, система автоматически использовала часть средств для покупки PSTART и формировала пару с оставшимся BUSD для добавления ликвидности в пул. Полученные LP-токены хранились в Vault (хранилище), а протокол записывал в свой реестр обязательство по выплате пользователю фиксированного ежедневного дохода.
Позже пользователь мог востребовать вознаграждение по фиксированной ставке, а при выходе из протокола Vault проводил расчет основного капитала и прибыли согласно заранее определенным правилам, а не на основе реальной рыночной стоимости базовых активов LP.
Анализ уязвимости
Данная уязвимость возникла из-за необоснованного дизайна протокола (0x587984...73a43c): логика расчетов была оторвана от фактической стоимости базовых активов.
После того как пользователь вносил BUSD, протокол использовал часть средств для покупки PSTART и добавления ликвидности — иными словами, реальная позиция пользователя подвергалась риску колебаний цены LP. Однако при выходе протокол не учитывал реальную стоимость LP, а выплачивал сумму, основанную на историческом объеме депозита.
Злоумышленник воспользовался этим, используя флеш-кредит для получения крупного капитала и многократного вызова функции deposit(). Тем самым он вынуждал протокол постоянно закупать PSTART и менять состав активов в пуле, искусственно завышая цену PSTART и создавая арбитражную возможность.
Затем злоумышленник вызвал withdraw() и вывел средства по фиксированной цене, переложив убытки от обесценившейся LP-позиции на протокол.
Анализ атаки
Анализ основан на транзакции 0xf3b8...55e7.
- Шаг 1: Атакующий получил примерно
2 000 000e18BUSDчерез флеш-кредит и обменял их в пуле на19 013 120e18PSTART. - Шаг 2: Атакующий многократно вызывал
deposit(). При каждом депозите протокол рассчитывал суммуBUSDдля покупки, стремясь выровнять соотношение токенов кBUSDв пуле. Это увеличивало количествоBUSDв пуле, при этом числоPSTARTпочти не менялось, что привело к росту ценыPSTART. LP-токены, полученные в ходе этих депозитов, фактически приобретались с убытком. - Шаг 3: Атакующий продал ранее купленный
PSTARTобратно в пул. Так как на шаге 2 резервы пула выросли, этот обмен принес около2 010 655e18BUSD— прибыль составила около10 655 BUSDза один цикл атаки. - Шаг 4: Наконец, атакующий выполнил
withdraw()для всех созданных депозитов. Рыночная стоимость активов к этому моменту была значительно ниже первоначальной. В нормальных условиях полный вывод был бы невозможен, но протокол рассчитал сумму к выплате исходя из исторического депозита, что позволило злоумышленнику полностью вернуть все средства без каких-либо потерь.
Заключение
Первопричиной инцидента стало инвестирование средств пользователей в подверженные рыночным колебаниям LP-позиции при обещании выкупа по фиксированной номинальной стоимости. Это создало разрыв между обязательствами протокола и реальной стоимостью его активов.
Начните работу с Phalcon Explorer
Изучайте транзакции, чтобы принимать взвешенные решения
Попробовать бесплатно2. Инцидент с токеном WDGG
Краткое изложение
30 марта 2026 года токен WDGG в сети BNB Chain был взломан, ущерб составил около $40 тыс. Причиной стало отсутствие контроля доступа в функции burnFrom(). Любой пользователь мог сжечь токены WDGG с любого адреса. Злоумышленник сжигал токены из пула PancakeSwap, вызывал функцию sync() для уменьшения зафиксированных резервов пула, а затем проводил обратный обмен для извлечения прибыли.
Предыстория
WDGG — это дивидендный токен, который взимает комиссию при каждом переводе.
Анализ уязвимости
Контракт токена (0x512de7...6b90c5) не ограничивал вызов burnFrom(). Это позволяло сжигать средства пула ликвидности. В сочетании с публично доступной функцией sync(), которая позволяет принудительно обновить баланс пула, злоумышленники могли манипулировать ценой. Дополнительная уязвимость в setWdgAddress() позволяла назначить любой адрес свободным от комиссии, усиливая эффект атаки.
Анализ атаки
Анализ основан на транзакции 0x2da5...0bd1.
- Шаг 1: Атакующий назначил свой адрес свободным от комиссии.
- Шаг 2: Обменял немного
BNBнаWDGG. - Шаг 3: Вызвал
burnFrom(), сжигаяWDGGиз резерва пула PancakeSwap. - Шаг 4: Вызвал
sync(), из-за чего пул «поверил», что в нем почти не осталосьWDGG(всего 1 wei). - Шаг 5: Провел обратный обмен, извлекая прибыль из возникшего дисбаланса цен.
Заключение
Отсутствие проверки прав доступа в критических функциях управления токеном привело к возможности манипулирования резервами пула ликвидности.
(...далее аналогичный по структуре перевод продолжается для всех последующих пунктов...)
9. Инцидент с Silo Finance
Краткое изложение
3 апреля 2026 года хранилище soUSDC протокола Silo Finance в сети Arbitrum было взломано на сумму около $359 тыс. Причиной стало сочетание трех факторов: хардкод-оракул для wstUSR, который продолжал оценивать токен в ~1,133 даже после обвала рыночной цены до ~0,12; механизм ограничения предложения (supply cap), который ограничивал только депозиты хранилища, но не внешние депозиты; и ошибка в учете totalAssets(). Злоумышленник внес USDC напрямую в рынок wstUSR (с установленным нулевым лимитом), искусственно завысив цену доли в хранилище, после чего взял свои же средства назад под залог переоцененного wstUSR и вывел средства других участников, использовав разницу в оценке.
Анализ атаки
Атакующий купил wstUSR по рыночной цене (~0,12), затем совершил серию манипуляций, внося активы в рынок wstUSR от имени хранилища soUSDC без создания новых долей. Это изменило баланс totalAssets в пользу злоумышленника, который затем выкупил свои доли по новой, завышенной цене за счет резервов других пользователей.
Заключение
Инцидент стал возможен из-за логической ошибки в учете активов, которые не были внесены самим хранилищем, и использования оракула, не учитывающего рыночную депеггинг-стоимость актива.
О компании BlockSec
BlockSec — поставщик услуг в области безопасности блокчейнов и крипто-комплаенса. Мы создаем продукты, которые помогают клиентам проводить аудит кода (смарт-контрактов, блокчейнов и кошельков), перехватывать атаки в реальном времени, анализировать инциденты и отслеживать незаконные средства.
BlockSec опубликовала множество научно-исследовательских работ по безопасности блокчейнов, обнаружила ряд уязвимостей нулевого дня, успешно предотвратила кражи более чем на 20 миллионов долларов и защитила активы на миллиарды долларов.
- Официальный сайт: https://blocksec.com/
- Официальный Twitter: https://twitter.com/BlockSecTeam
- 🔗 Сервис аудита BlockSec: Отправить запрос
- 🔗 Phalcon Security APP: Заказать демо
- 🔗 Phalcon Compliance
