Инцидент с YieldBlox DAO в сети Stellar: ошибка конфигурации оракула привела к выводу более $10 млн

22 февраля 2026 года пул кредитования, управляемый YieldBlox DAO в протоколе Blend V2 на блокчейне Stellar, подвергся атаке, в результате которой были получены убытки на сумму более 10 миллионов долларов.

Злоумышленник манипулировал рынком USTRY/USDC на SDEX. Настроенный для пула путь оракула Reflector принял манипулированную цену, завысил стоимость залога USTRY и позволил злоумышленнику вывести активы из пула (USDC и XLM).

Данный инцидент не связан с уязвимостью в основных смарт-контрактах Blend V2. Это была ошибка конфигурации со стороны оператора пула (YieldBlox DAO).

2. Общие сведения

Blend V2 в сети Stellar — это протокол ликвидности, который позволяет пользователям создавать изолированные пулы кредитования. Каждый пул определяет свои собственные активы для займа, активы для обеспечения и настройки оракулов.

В данном инциденте затронутый пул позволял пользователям брать в долг XLM и USDC, используя USTRY в качестве обеспечения. В пуле использовался оракул Reflector [2], а цена USTRY определялась на основе рынка USTRY/USDC на SDEX [3] с периодическим обновлением.

3. Анализ уязвимости (анализ первопричины)

Эксплойт стал возможен из-за архитектуры ценообразования на стороне пула, которая опиралась на манипулируемый рыночный источник.

1. Рынок USTRY/USDC на SDEX был очень малоликвидным.
2. Злоумышленник мог исполнить существующие ордера и выставить аномальные ордера, чтобы резко завысить видимую рыночную цену.
3. Затем Reflector обновил цену USTRY до манипулированного значения.
4. Риск-логика пула приняла это значение для оценки залога, что искусственно завысило лимит заимствования.

В результате злоумышленник использовал переоцененный залог USTRY, чтобы вывести займоспособные активы из пула.

4. Анализ атаки

1. (Транзакции 1, 2) Злоумышленник манипулировал ценой USTRY на SDEX, подняв её примерно с $1.06 до $107 путем выкупа ликвидности и выставления аномальных ордеров.

2. (Транзакция 3) Reflector получил манипулированную цену с SDEX и обновил свои данные.

3. (Транзакции 4, 5) Злоумышленник взял в долг 1,000,196e7 USDC, предоставив 12,881e7 USTRY в качестве залога.

4. (Транзакции 6, 7) Злоумышленник взял в долг 6,124,927,810e7 XLM, предоставив 14,987,610e7 USTRY в качестве залога.

5. (Транзакции 8, 9, 10) Злоумышленник перевел украденные активы через мосты в сети Base, BSC и Ethereum.

5. Анализ потерь/прибыли

Оценочный общий убыток составил более $10 млн в сети Stellar.

6. Заключение

Основная проблема проста: оценка обеспечения в этом пуле зависела от манипулируемого источника цены. Это была ошибка конфигурации оператора пула (YieldBlox DAO), а не уязвимость ядра контрактов Blend V2. Данный инцидент служит напоминанием о том, что пулы кредитования должны выбирать и отслеживать ценовые зависимости, обладающие высокой устойчивостью к манипуляциям.

Ссылки

[1] YieldBlox DAO

[2] https://reflector.network/

[3] Рынок USTRY/USDC на SDEX

О компании BlockSec

BlockSec — поставщик комплексных услуг в области безопасности блокчейна и крипто-соответствия требованиям. Мы создаем продукты и услуги, которые помогают клиентам проводить аудит кода (включая смарт-контракты, блокчейн и кошельки), перехватывать атаки в режиме реального времени, анализировать инциденты, отслеживать незаконные средства и соблюдать требования AML/CFT на протяжении всего жизненного цикла протоколов и платформ.

BlockSec опубликовала множество работ по безопасности блокчейна на престижных конференциях, сообщила о нескольких атаках нулевого дня в DeFi-приложениях, заблокировала многочисленные взломы, предотвратив кражу более 20 миллионов долларов, и обеспечила безопасность криптовалют на миллиарды долларов.

• Официальный сайт: https://blocksec.com/

• Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam

• 🔗 Услуги аудита BlockSec : Отправить запрос

• 🔗 Приложение безопасности Phalcon: Записаться на демонстрацию

• 🔗 Phalcon Compliance