惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog RSS Feed
Spread Privacy
Spread Privacy
T
Threatpost
C
Cisco Blogs
P
Palo Alto Networks Blog
AI
AI
Cyberwarzone
Cyberwarzone
NISL@THU
NISL@THU
P
Privacy & Cybersecurity Law Blog
G
GRAHAM CLULEY
Simon Willison's Weblog
Simon Willison's Weblog
T
Tor Project blog
Latest news
Latest news
AWS News Blog
AWS News Blog
D
Docker
S
SegmentFault 最新的问题
博客园 - 聂微东
WordPress大学
WordPress大学
Vercel News
Vercel News
S
Securelist
爱范儿
爱范儿
J
Java Code Geeks
Know Your Adversary
Know Your Adversary
S
Schneier on Security
Hugging Face - Blog
Hugging Face - Blog
F
Fortinet All Blogs
Last Week in AI
Last Week in AI
D
DataBreaches.Net
宝玉的分享
宝玉的分享
D
Darknet – Hacking Tools, Hacker News & Cyber Security
MongoDB | Blog
MongoDB | Blog
Engineering at Meta
Engineering at Meta
K
Kaspersky official blog
美团技术团队
博客园 - 叶小钗
阮一峰的网络日志
阮一峰的网络日志
量子位
博客园_首页
Attack and Defense Labs
Attack and Defense Labs
S
Secure Thoughts
Google Online Security Blog
Google Online Security Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
腾讯CDC
T
Threat Research - Cisco Blogs
雷峰网
雷峰网
有赞技术团队
有赞技术团队
www.infosecurity-magazine.com
www.infosecurity-magazine.com
P
Privacy International News Feed
S
Security Affairs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Так ли защищён блокчейн. Аналитика атак на децентрализованные финансы
ИнфоВотч · 2026-06-26 · via Все публикации подряд на Хабре

Так ли защищён блокчейн. Аналитика атак на децентрализованные финансы

Простой

9 мин

0

Привет, Хабр! Бытует мнение, что блокчейн и криптовалюты — чуть ли не самый защищённый способ хранить активы, до которого хакеры если и доберутся, то только в формате физического завладения флешкой или социнженерии. А вот именно взломать такие протоколы очень и очень сложно.

Наш экспертно-аналитический центр InfoWatch (ЭАЦ) выпустил большой отчёт о киберпреступности в области децентрализованных финансов. В этой статье мы поделимся некоторыми данными из него. Для затравки — лишь за неполные пять месяцев 2026 финансовые потери DeFi-протоколов превысили 770 миллионов долларов. Худший месяц для индустрии в этом плане — апрель, на который пришлось 606 похищенных миллионов.

Впрочем, обо всём по порядку.

Понятия и термины

Decentralized Finance / децентрализованные финансы — построенная на блокчейне система финансов сервисов и приложений. Чаще всего большие DeFi-проекты строятся на базе высоколиквидных криптоактивов с заметной капитализацией и развитой экосистемой — Ethereum, Solana, BNB Chain и прочие. Создавали DeFi на замену классических финтех-посредникам (биржи, банки, брокеры). 

Главные преимущества DeFi — автоматизированные информационные системы и смарт-контракты. Три кита DeFi — доступность (вам нужен только интернет и криптокошелёк), прозрачность (транзакции в блокчейне может проверить любой человек) и персональный ответственность (ваш приватный ключ — только ваш, никто не может распоряжаться деньгами без вас).

По разновидности финансовых сегментов DeFi делятся на шесть основных блоков:

  1. Децентрализованные биржи (DEX)

  2. Протоколы кредитования (Lending & Borrowing)

  3. Децентрализованные стейблкоины (Stablecoins)

  4. Ликвидный стейкинг (Liquid Staking & Restaking)

  5. Деривативы и перпетуалы (Perpetuals / DeFi Derivatives)

  6. Децентрализованное страхование (DeFi Insurance)

Важно понимать, что DeFi-протоколы не существуют изолированно, а строятся в формате модульного стека из нескольких уровней. Каждый уровень — это определённая технологическая функция. Всего таких уровней пять:

1. Инфраструктурный уровень (Infrastructure Layer)

Обеспечивает связь блокчейна с внешним миром и доступ к данным.

2. Расчетный уровень (Settlement / Base Layer)

Фундамент, на котором фиксируются права собственности и проходят базовые транзакции.

3. Протокольный уровень (Protocol Layer)

Свод правил, логика и математические алгоритмы, зафиксированные в виде открытого кода.

4. Прикладной уровень (Application Layer)

Пользовательские интерфейсы (UI/UX) и фронтенд-приложения (веб-сайты, мобильные апплеты), которые переводят команды пользователя в вызовы смарт-контрактов протокольного уровня.

5. Агрегационный уровень (Aggregation Layer)

Надстройки, для объединения нескольких прикладных протоколов и оптимизации операций пользователей (сведение ликвидности в одну точку, поиск наилучшего курса обмена или максимальной доходности).

О подробном устройстве платформ децентрализованного страхования, работе протоколов, архитектуре и прочем можете почитать в самом исследовании, мы же в рамках статьи сосредоточимся на киберинцидентах.

Самые крупные ИБ-инциденты в сфере DeFi за 2026 год

Kelp DAO, $293 млн (апрель)

На сегодня это крупнейший взлом в сети Ethereum. Хакеры атаковали уязвимую модель моста LayerZero, опиравшуюся всего на один узел валидатора (контролера). Выпустив 116 500 необеспеченных токенов rsETH, злоумышленники внесли их в качестве залога через протокол AAVE и, получив кредит, вывели реальные активы (в основном чистый ETH), оставив платформу с огромным непокрытым долгом перед ее участниками.

Drift Protocol, $285 млн (апрель)

Уникальная по своей подготовке атака через децентрализованную биржу (DEX). Северокорейские хакеры (предположительно Lazarus Group) в течение полугода внедрялись в команду проекта DRIFT под видом легальной торговой фирмы. Пополнив баланс на $1 млн для завоевания доверия, они в итоге получили от Совета Безопасности протокола административные права доступа, изменили смарт-контракт и вывели средства. Токен DRIFT был обесценен и потерял 98% своей стоимости. 

Resolv Labs, $23 млн (март)

Блокчейн-код и смарт-контракты проекта работали корректно и прошли 14 независимых аудитов. Протокол пострадал из-за компрометации приватного закрытого ключа привилегированного аккаунта, который использовался для выпуска токенов. Ключ хранился в облачной среде AWS Key Management Service (KMS). Отсутствие ограничений на выпуск токенов (Mint Cap) на уровне смарт-контракта, позволило атакующему сгенерировать и вывести 80 млн стейблкоинов USR взамен депозита всего в $200 000.

Solv Protocol, $2.7 млн (март)

Классический случай использования уязвимости повторного входа (reentrancy exploit), вызванной особенностями архитектуры стандарта ERC-3525. В процессе обмена токена на фиксированный депозит повторный вызов функции обмена (до завершения первой операции) приводит к удвоению суммы полученных токенов. Киберпреступник смог повысить свой баланс с начальных 135 токенов BRO до 567 миллионов токенов, нанеся ущерб в размере $2,7 млн (38 SolvBTC).

Venus Protocol, $2 млн (март)

Атака на токен Thena (THE) через кредитный протокол Venus (в сети BNB Chain) привела к ущербу в виде задолженности в размере около $2,15 млн. В основе этого инцидента лежит редкое сочетание манипуляции ценой низколиквидного токена и логической уязвимостью смарт-контракта, которая позволила учесть завышенные в цене токены, как залог для получения кредита. Общая сумма выведенных активов (включая CAKE, USDC, BNB и Bitcoin), оценивается в $3,7 млн.

Общие тенденции в атаках и эра ИИ

Исследовав атаки на DeFi за последние пять месяцев, можем выделить три основных тренда.

1. След КНДР и использование ИИ

То, что без ИИ сейчас никуда и что его точно будут использовать в атаках — это очевидно. Нейронки ощутимо снижают порог входа и помогают писать зловреды даже тому, кто не обладает нужными практическими навыками. Что касается КНДР, то на группировки из этой страны приходится 76% украденных в этом году средств (хоть и всего лишь в рамках двух атак, зато их масштаб впечатляет).

ИИ помогает быстро искать уязвимости в блокчейн-инфре, раньше на это уходили месяцы, теперь — часы. При использовании ИИ-моделей стоимость организации и проведения эффективной атаки составляет около $5 000 долларов. Услуги по аудиту и устранению уязвимостей (например, Trail of Bits и OpenZeppelin) стоят более $50 000, длительны по времени (недели) и должны проводиться регулярно. Это делает затраты на ИБ несовместимыми с бизнес-моделью большинства DeFi-проектов.

А что касается скорости подготовки и проведения атак — еще в 2024 году киберпреступникам требовалось от нескольких дней до нескольких недель для поиска уязвимости, изучения кода, создания рабочей программы (эксплойта), проникновения в сеть и запуска атаки. В 2026 году они используют ИИ-модели на всех этапах подготовки и проведения атаки, весь цикл занимает от 5 до 30 минут.

2. Прецедент возврата в обход протоколов обмена

Случай с Kelp DAO — часть украденных средств (30 766 ETH) была переведена в сеть Arbitrum. Совет Безопасности Arbitrum совместно с правоохранителями пошел на радикальный шаг и заблокировал эти средства прямо на уровне сети без использования приватного ключа, что вызвало новые споры о безопасности, как отдельных протоколов, так и использования децентрализованных систем криптовалютного обмена в целом. Станет ли подобное более частой практикой — вопрос открытый.

3. Общий удар по экосистеме DeFi

Из-за масштабов взломов и объёмов украденных средств пошла цепная реакция и общий уровень доверия к DeFi заметно пошатнулся. Ещё бы, за неполные полгода потерять три четверти миллиарда долларов. Уже видно, что объём доступных средств (TLV) в DeFi резко снизился, а крупнейшая платформа на основе AAVE зафиксировала краткосрочный отток средств на сумму около 9 миллиардов долларов.

Ключевые методы киберпреступников

Враждебное поглощение через мгновенные займы (Flash Loan Governance Takeover)

Сегодня метод используется как основной элемент сложных комбинированных схем нападения и проведения кибератак.

Механика. Если смарт-контракт управления учитывает баланс токенов непосредственно в момент создания или закрытия голосования (без требования долгосрочного размещения), киберпреступник берет мгновенный заем (Flash Loan) на децентрализованной бирже (DEX).

Результат. Получив миллионы токенов на долю секунды, атакующий выдвигает вредоносное предложение на голосование (например, «перевести все средства казначейства на кошелек X») и сам единогласно его утверждает. В 2026 году от этого пострадали несколько форков (ветвей) кредитного протокола Compound, где не был установлен временной лаг (Voting Delay) между покупкой токенов и возможностью голосовать.

Скупка голосов на вторичном рынке (Bribe & Accumulate)

Более изощренный и легальный с точки зрения блокчейна метод. Киберпреступники используют платформы ликвидного управления (Liquid Governance, активно развивающиеся в экосистемах Curve и Convex), чтобы скрытно получить право голосования от имени других участников проекта.

Схема. Вместо того чтобы покупать дорогой токен с правом голоса, киберпреступники через подставные кошельки арендуют права на голосование у розничных инвесторов.

Применение. Набрав критическую массу голосов (обычно более 51%), они меняют критические параметры протокола - отключают комиссии, снижают требования к залогам для своих адресов или меняют доверенных оракулов, что приводит к опустошению пулов ликвидности.

Компрометация Советов Безопасности (Security Councils & Multisig)

Многие DeFi-проекты для защиты от манипуляций и взлома создают Советы Безопасности – кошельки с мультиподписями (Multi-signature) с остановкой действий по контрактам если нет кворума (например, всего 7 подписей из них необходимый минимум 4). В 2026 году киберпреступники сконцентрировались на человеческом факторе этой защиты:

Социальная инженерия с ИИ

Как показал случай с Drift Protocol, киберпреступники создают глубокие цифровые личности (ИИ-клоны, фальшивые профили в LinkedIn и GitHub), чтобы годами внедряться в основные команды разработчиков и избираться в Советы Безопасности получая привилегии и права доступа.

Целевой фишинг (Spear Phishing)

Зная реальные личности держателей ключей, хакеры атакуют их персональные устройства (через уязвимости нулевого дня в Telegram или браузерах), получая доступ к приватным ключам основных участников проекта. После компрометации необходимого минимума подписей киберпреступники могут легально одобрить вредоносное обновление кода.

Атаки через «Ленивое голосование» (Lazy Governance Exploits)

Большинство держателей токенов управления не участвуют в ежедневных голосованиях, создавая проблему низкого кворума. Хакеры используют эту пассивность сообщества.

Тактика. Киберпреступник создает предложение со сложным, запутанным кодом смарт-контракта, маскируя его под «плановое обновление безопасности» или «оптимизацию расходов газа».

Эффект. При отсутствии глубокого аудита со стороны рядовых пользователей и участников (инвесторов) имеющих право голоса, предложение проходит кворум автоматически. После внедрения в основную сеть, активируется заложенный в код бэкдор (backdoor) и из проекта выводятся средства.

Что со всем этим делать и как защищаться

Битва меча и щита в ИБ, пожалуй, будет вечной. На новые механики атак кибербезопасность отвечает новыми способами защиты. Вот как начала перестраиваться DeFi-отрасль.

Периодический аудит и проверка кода

Крупные DeFi-проекты периодически обращаются к внешним аудиторским компаниям и проводят глубокий ручной и автоматизированный анализ смарт-контрактов. Разработчики проводят формальную верификацию кода перед внедрением (инструменты типа Certora, Halmos). Верификация предполагает использование алгоритмов проверки с математическим доказательством отсутствия логических противоречий в поведении кода. 

Bug Bounty и страховка

Программы по поиску уязвимостей для крупных DeFi-проектов на данный момент имеют семизначные бюджеты. Протоколы, интегрированные с Nexus Mutual или аналогичными сервисами, часто имеют возможность возмещения средств за счет фонда страхования.

Смена парадигмы аудита

От традиционных дорогостоящих проверок раз в полгода, DeFi-проекты переходят к модели непрерывного аудита (Continuous Audit). Код сканируется ИИ при каждом изменении в ПО.

Внешние системы мониторинга

Любой код может быть уязвимым за счет внешних факторов (например, манипуляции с оракулами цен). Автономные системы наблюдения в реальном времени (например, Forta и Hypernative) предполагают создание контура безопасности поверх блокчейна и блокировку транзакций до их подтверждения.

Внедрение временных блокировок (Timelocks)

Любое решение, принятое голосованием, теперь принудительно замораживается на срок от 5 до 10 дней до его исполнения. Это дает сообществу время заметить атаку и защитить активы проекта и свои средства (принцип rage-quit).

Увеличение количества подтверждений

Системы с множественным подтверждением (Multi-signature) требует подписи нескольких доверенных лиц для выполнения любого важного действия. Отказ от единственного подтверждения усложняет работу и снижает скорость операций, но позволяет повысить устойчивость DeFi-проектов к взлому и манипуляциям.

Динамический кворум

Чем радикальнее предложение (например, изменение адреса казначейства), тем выше (автоматически) становится порог необходимых для одобрения голосов (вплоть до 85%).

Переход на криптографию ZK (Zero-Knowledge) для приватного голосования

Чтобы киберпреступники не могли в реальном времени отслеживать распределение голосов и докупать нужный объем на биржах, DeFi-проекты используют слепое голосование, результаты которого раскрываются только в момент подсчета голосов.

Немного выводов и прогнозов

Вот что, на наш взгляд, ждёт DeFi в ближайшие пару лет.

  • Смещение в сторону безопасности с приходом крупного капитала.

  • Технологическая изоляция и смерть «мостов» в их текущем виде.

  • Разделение DeFi на два параллельных рынка.

А ещё индустрия, скорее всего, разделится по регуляторному и инфраструктурному признаку на два сектора:

Первый — сектор для крупного капитала и банков (TradFi). Он будет работать на базе KYC/AML-верификации, внутри изолированных L2-сетей, со строгими стандартами аудита и без использования высокорисковых механизмов вроде ликвидного рестейкинга. Капитализация будет расти за счет токенизации реальных активов (RWA -облигаций, недвижимости).

Второй — классический DeFi с высоким риском и высокой доходностью. Он останется полностью анонимным, но уйдет на второй план. В этом секторе будут доминировать неизменяемые (immutable) смарт-контракты, создатели которых будут искать и совершенствовать алгоритмические системы защиты и новые функции по повышению доходности. Станет своеобразным полигоном для испытаний и поиска новых решений.