Общее количество киберугроз оказывает все большее давление на цифровую инфраструктуру компаний. За первые четыре месяца 2025 года количество атак на DNS-уровне в отношении российского бизнеса превысило 198 миллионов
На этом фоне особенно уязвимыми остаются децентрализованные финансы (DeFi), которые предоставляют пользователям прямой доступ к обмену активами, займам и пулам ликвидности без участия посредников. Рост децентрализации усиливает риски и открывает пространство для сложных атак, которые ставят под угрозу безопасность пользователей. О том, каких манипуляций в DeFi стоит опасаться, редакции BeInCrypto рассказал Григорий Осипов, директор по расследованиям «Шард».
Хотите всегда быть в курсе главных криптособытий? Подпишитесь на нашу еженедельную рассылку и получайте самые важные новости прямо на почту!
Почему выбирают DeFi
DeFi привлекает пользователей по всему миру простой схемой и доступом к финансам без бюрократии. В развивающихся странах децентрализованные услуги служат альтернативой недоступным банкам, а в экономиках с высокой инфляцией помогают сохранить средства через стейблкоины и смарт-контракты, исключая посредников. Однако DeFi связан с рисками, включая взломы, потерю средств и нестабильность курсов, а отсутствие единых правил делает рынок уязвимым и требует большей осмотрительности.
Какие виды манипуляций чаще всего встречаются в DeFi
Flash-loan атаки
Flash loan — это особый вид займа в DeFi, который предоставляется без залога и с одним важным условием: весь займ должен быть возвращен в рамках одной и той же транзакции.
Если этого не случится, блокчейн автоматически отменит всю операцию, как будто ее не было. Такая механика делает займы инструментом для опытных трейдеров и разработчиков, но также открывает возможности для манипуляций с ценами и логикой протоколов.
В качестве примера можно привести атаку на протокол bZx. Хакер взял мгновенный кредит на 10 000 ETH и использовал эти средства, чтобы повлиять на цену токена WBTC — обернутый биткоин на одной из децентрализованных бирж. Цена временно сильно изменилась. Смарт-контракт bZx воспринял новую цену как рыночную и выдал заем хакеру по неправильной стоимости. После этого атакующий вернул займ, но оставил себе прибыль около $320 000 благодаря кратковременной манипуляции ценой.
Rug pull
Создатели запускают инициативу и привлекают средства, после чего исчезают с деньгами участников. Чаще всего это происходит в новых проектах, особенно в децентрализованных обменниках (DEX). Один из примеров — проект Swaprum, где в 2023 году инвесторы потеряли около $3 млн всего за несколько часов. После ухода команда преступников полностью стерла свое присутствие в интернете.
Манипуляции с оракулами
Смарт-контракты не обладают знанием о рыночной цене токенов. Они получают эту информацию от внешних сервисов, называемых оракулами. Если злоумышленник сможет исказить данные даже на короткое время, он получит выгодную сделку по неправильной цене.
Примером атаки на оракул DeFi является взлом протокола Venus Protocol, произошедший 27 февраля 2025 года. Атакующий взял во флеш-займ около $4 млн на платформе Aave. Его целью был токен хранилища по стандарту ERC-4626 для обернутого стейблкоина wUSDM. Путем махинаций он завысил курс wUSDM с 1,06 до 1,7, после чего через два аккаунта устроил самоликвидацию на платформе Venus. Несмотря на оперативную реакцию команды и заморозку рынка, потери составили около $716 000.
Сэндвич-атаки
Сэндвич-атака — это форма вредоносной торговли на децентрализованных биржах, таких как Uniswap. Злоумышленник отслеживает крупный ордер и размещает две свои транзакции: одну до него — чтобы изменить цену, и вторую после — чтобы зафиксировать прибыль. Все происходит в одном блоке, что позволяет манипулировать ценой и извлекать выгоду.
Например, 12 марта 2025 года пользователь пытался обменять $220 763 в USDC на USDT, но попал под сэндвич-атаку. Злоумышленник сначала поднял курс, затем дал пройти ордеру пользователя, а после вернул активы. В результате пользователь получил всего $5 272, потеряв более $215 000.
Под угрозой атак находятся и крупные проекты, которые на первый взгляд кажутся максимально защищенными. Уязвимость таких протоколов объясняется рядом фундаментальных особенностей самой DeFi-среды.
Что делает проекты с миллиардным TVL уязвимым для атак
- Прозрачность смарт-контрактов. Код открыт для всех, что повышает доверие и помогает аудиторам, но также облегчает работу хакерам, ищущим слабые места.
- Сложность архитектуры и зависимости между протоколами. Современные DeFi-протоколы часто имеют сложную, взаимосвязанную структуру, где один элемент зависит от другого. Проблема заключается в том, что уязвимость одного элемента может повлиять на всю систему, даже если основной код в порядке. За этим стоят серьезные системные риски, особенно для проектов с большим TVL.
- Ограничения традиционных аудитов и недостаток квалифицированных специалистов. Аудиты не всегда учитывают все сценарии атак и часто отстают от обновлений проекта, что оставляет «дыры» в безопасности.
- Отсутствие централизованной реакции на инциденты. В отличие от традиционных финансовых институтов, DeFi-протоколы работают без операторов, которые могли бы вмешаться при хакерской атаке. Это значит, что они не могут отменять транзакции или замораживать активы. Даже «мультисиг» (криптовалютный кошелек) или экстренные механизмы срабатывают слишком медленно для предотвращения мгновенных атак.
- Человеческий фактор и социальные уязвимости. Ошибки разработчиков при обновлениях и неправильные настройки могут ослабить защиту протокола. Кроме того, в некоторых проектах сохраняется централизованное управление, что делает их уязвимыми к социальному давлению на участников с ключевыми полномочиями.
Рассмотрим одну из масштабных манипуляций, которая ставит под угрозу безопасность проектов.
Подробнее о манипуляции оракулами: как с ее помощью выводятся миллионы
Оракулы связывают блокчейн с внешними данными о ценах активов. Злоумышленники могут временно искажать эти данные, например, через крупные сделки на биржах с низкой ликвидностью, чтобы получить прибыль за счет неверной оценки стоимости токенов.
Речь не о взломе кода, а об использовании слабых мест в логике получения данных. Чтобы снизить риски, проекты применяют децентрализованные оракулы вроде Chainlink, Tellor и Witnet, которые агрегируют данные из разных источников.
Существует дополнительная мера безопасности — использование нескольких оракулов и вычисление медианной цены из их данных, что снижает влияние ошибок или атак на отдельные источники.
Однако даже при достоверных данных протокол может быть уязвим. Все чаще атаки происходят не через взлом, а через просчеты в логике работы смарт-контрактов и экономической модели.
Где граница между умным хаком и злоупотреблением логикой смарт-контракта
Грань определяется тем, где заканчивается честное использование системы и начинается намеренное искажение ее работы.
Умный взлом означает использование уязвимости в коде, а злоупотребление логикой — это поиск лазеек в правилах протокола без взлома. Такие действия могут быть формально законными, но при этом нарушать принципы децентрализации и подрывают доверие. Например, если кто-то берет мгновенный займ без залога и использует его для манипуляции ценой токена, это не является техническим взломом, но и честной игрой такое поведение назвать трудно. Хакер действует через баги, а хитрый пользователь — через слабости в механике.
Отдельный этический вопрос возникает, когда злоумышленники после атаки возвращают средства и называют себя белыми хакерами. Они рассчитывают избежать последствий и получить награду, действуя скорее из соображений безопасности и выгоды, чем из желания помочь сообществу.
Однако при понимании границ допустимого поведения возникает вопрос о том, как все-таки можно преодолеть подобные злоупотребления. Аудит смарт-контрактов помогает выявлять уязвимости, но, несмотря на все проведенные проверки, некоторые виды атак все же остаются за пределами внимания аудиторов.
Почему аудит смарт-контрактов не всегда спасает
Аудит — обязательный этап для многих DeFi-проектов, где эксперты проверяют код на уязвимости. Но даже с несколькими аудитами проекты могут подвергаться атакам и терять средства. Основные причины в том, что аудит проверяет только код, а не поведение в реальной среде. Взаимодействие с другими протоколами, резкие рыночные колебания или манипуляции часто остаются вне внимания аудиторов.
Ограниченное время и ресурсы для глубокого анализа сказываются на развитие сложных сценариев. Аудит обычно не охватывает экономические и рыночные риски, которые злоумышленники используют для атак. После обновлений проект меняется, но повторные проверки проводятся редко. Качество аудита варьируется в зависимости от опыта специалистов, а уязвимости могут скрываться не в коде, а в логике протокола и экономической модели. Поэтому аудит важен, но не гарантирует полной безопасности.
Как сделать DeFi устойчивее
Для повышения надежности децентрализованных финансов необходимо сосредоточиться на технической безопасности и на продуманной архитектуре протоколов.
- Регулярный аудит и тестирование смарт-контрактов
Проверки должны проводиться после каждого обновления, с учетом реального поведения системы и взаимодействия с другими протоколами, включая нестандартные сценарии. Аудиты позволяют своевременно выявлять критические уязвимости и предотвращать атаки до выхода протокола в основную сеть
- Устойчивые источники данных
Доверенные и децентрализованные оракулы минимизируют риск ценовых манипуляций и атак на логическую уязвимость.
- Проработка экономической модели
Механизмы протокола должны исключать возможность эксплуатации даже при корректной работе кода. Моделирование пользовательского поведения помогает устранить финансовые лазейки до выхода на рынок.
- Учет человеческого фактора
Протоколы должны учитывать действия не только благонамеренных, но и потенциально вредоносных пользователей. Это особенно важно для автономности протоколов и снижения риска внутренних манипуляций.
- Правовая определенность
Недостаток регуляторной ясности снижает доверие и тормозит развитие. Устойчивость DeFi невозможна без сбалансированного подхода со стороны законодательства.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
Согласно правилам Trust Project, данная статья отражает точку зрения автора и может не совпадать с мнением редакции BeInCrypto. Политика BeInCrypto — освещать любые события беспристрастно и соблюдать высочайшие стандарты журналистики. BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены
