About Teletype
Join
D
@defisurfer
Статьи и обзоры
August 8

Исследование вероятности взлома DeFi-протокола со временем

(2019–2024)

Основные выводы

  • Большинство взломов случается на ранних этапах жизни протокола. Анализ инцидентов за последние 5 лет показывает, что даже у прошедших аудит DeFi-протоколов вероятность взлома наиболее высока в первые месяцы после запуска. Многие проекты были скомпрометированы в течение первых 3–6 месяцев, а нередки случаи взломов в первые недели работы протокола.
  • Статистическая корреляция: младше протокол – выше риск. Данные указывают на сильную обратную корреляцию между возрастом протокола и шансом взлома. Иными словами, чем моложе DeFi-протокол, тем выше вероятность его взлома, даже если он прошёл публичный аудит. В выборке взломанных протоколов с аудитами около 70% инцидентов произошли в первый год работы, причём значительная доля – в первые полгода (см. таблицу ниже). Для сравнения: случаи, когда аудитированный протокол успешно работал более года перед взломом (например, Euler Finance или Audius), встречаются значительно реже.
  • Аудит – необходимое, но не достаточное условие безопасности. Наличие публичного аудита заметно снижает вероятность взлома, однако не гарантирует защиту от уязвимостей. По данным исследования Halborn, лишь около 20% взломанных протоколов имели проведённые аудиты (то есть 80% взломов пришлись на неаудированные протоколы). Эти 20% случаев с аудитами составили ~14% суммарных украденных средств – в целом аудируемые проекты реже и реже становятся жертвами крупных хаков. Тем не менее, анализ подтверждает, что даже прошедшие аудит проекты наиболее уязвимы в начале своего жизненного цикла. К примеру, Harvest Finance (аудирован Haechi и PeckShield) был эксплуатирован спустя ~2 месяца после запуска, Popsicle Finance (PeckShield) – через ~2 месяца, Alpha Finance (Homora) (Quantstamp, PeckShield) – через ~4 месяца, а Saddle Finance (Quantstamp и др.) потерпел атаку буквально в день выхода платформы. Во всех этих случаях наличие аудита не предотвратило взлом на ранней стадии работы протокола.
  • Более «зрелые» DeFi-протоколы взламывают реже. Протоколы, успешно проработавшие 1–2 года после запуска (особенно с аудитами и багбаунти-программами), как правило, реже подвергаются успешным эксплойтам. Некоторые известные взломы затрагивали и относительно старые проекты, но зачастую они происходили из-за внедрения нового уязвимого кода или внешних зависимостей.

Распределение взломов по возрасту протокола

Ниже представлена сводная статистика частоты взломов в зависимости от возраста DeFi-протокола на момент инцидента (рассматриваются только случаи, когда перед взломом был проведён хотя бы один публичный аудит протокола, период 2019–2024 гг.):

*Оценочная доля случаев взлома из ~35 проанализированных инцидентов с аудитированными протоколами. Для простоты несколько событий с одним протоколом учитываются как отдельные случаи (например, повторные взломы).

Как видно из таблицы, около 60%–65% всех взломов audited-протоколов произошли, когда протоколу было менее полугода. Особенно критичен первый квартал работы – примерно каждый четвёртый взлом пришёлся на период 1–3 месяцев с запуска, и ещё до 20% – буквально на первый месяц существования проекта. Напротив, лишь ~30–35% инцидентов случились с протоколами старше года. Эти цифры подтверждают: большинство успешно проаудированных DeFi-протоколов, которые были взломаны, подверглись атакам сравнительно рано по времени после их выхода в сеть.

Причины такого распределения понятны. В начальный период после деплоя смарт-контрактов даже прошедший аудит код может содержать скрытые уязвимости или логические ошибки, которые не были выявлены аудиторами или тестами. Злоумышленники активно мониторят новые запущенные протоколы, зная, что именно там выше шанс найти свежие бреши в безопасности.

В то же время, если протокол успешно функционирует длительный период (год и более) без инцидентов, это косвенно говорит о более надёжной кодовой базе и эффективности мер защиты. Многие уязвимости либо уже выявлены и исправлены сообществом аудиторов и white-hat хакеров, либо эксплуатировать зрелый протокол сложнее из-за накопленного опыта команд в области безопасности.

Такие крупные платформы, как Uniswap, Aave, Compound (все запускались в 2018–2020 гг. и прошли многочисленные аудиты), не испытывали критичных взломов в первые годы работы – их взломать становилось «дороже» по мере роста TVL и внимания к их коду со стороны исследователей. Обратный пример – Audius в 2022 году: несмотря на то что к моменту взлома проект работал почти 2 года и имел аудиты, атака стала возможной через уязвимость в новом смарт-контракте управления, который был развернут незадолго до инцидента. Это подчёркивает, что внесение новых контрактов или функций даже в зрелый протокол по сути перезапускает “часы риска” и требует столь же тщательного аудита, как и при первоначальном деплое.

Важно оговорить, что корреляция возраста и риска взлома не означает прямой причинности, но отражает совокупность факторов. Новые протоколы зачастую имеют менее зрелый код, ограниченный объём боевых тестов и аудитов, более агрессивные сроки разработки под давлением выхода на рынок. Кроме того, вокруг молодых проектов может не быть широкого сообщества пользователей и исследователей, которые способны вовремя обнаружить баги. Всё это приводит к тому, что первые месяцы эксплуатации – самые опасные. Со временем же протоколы:

  • Накапливают опыт: разработчики устраняют известные уязвимости, улучшают процессы CI/CD, вводят дополнительные проверки безопасности.
  • Получают дополнительные аудиты: успешные проекты часто проходят повторные аудиты, привлекают внешних экспертов (Trail of Bits, OpenZeppelin и т.д.) для обновлений.
  • Внедряют bug bounty и мониторинг: многие DeFi-платформы запускают программы вознаграждения за найденные уязвимости (Immunefi и др.), что стимулирует white-hat хакеров находить проблемы без ущерба для протокола. Также развёртываются системы мониторинга аномалий (например, CertiK Skynet).
  • Улучшают операционные процессы: зрелые проекты обычно имеют настроенные мультиподписи, ограничения на доступ к админ-функциям, процедуры экстренного отключения контрактов при угрозе (которые часто отсутствуют или не отработаны у новых команд).

В результате перечисленных мер вероятность успешного взлома со временем уменьшается. И хотя остаются потенциальные угрозы (например, эксплойт новых модулей или бриджей, компрометация приватных ключей, атаки на устаревший код), статистика последних лет показывает позитивную динамику.

Согласно отчету Hacken, общие потери от DeFi-хаков в 2024 году снизились на ~40% по сравнению с пиком 2021–2022 гг.. Это может быть отчасти связано с тем, что индустрия в целом стала более зрелой: многие небезопасные протоколы уже «отсеялись», а выжившие проекты повысили уровень безопасности.

Нужно подчеркнуть, что проведение аудита перед запуском существенно повышает шансы протокола избежать взлома – отсутствие аудита коррелирует с куда более высокой вероятностью инцидента.

Исследование Exponential (2025) выявило, что у DeFi-протоколов без публично опубликованного аудита риск негативных событий (хаков, скамов) выше на 68%, причём большинство протоколов, принёсших пользователям убытки, не имели аудита вовсе.

Совокупность данных указывает на то, что аудит следует воспринимать как необходимый базовый уровень безопасности, но не как гарант. Инвесторам и пользователям DeFi стоит проявлять особую осторожность при взаимодействии с новыми протоколами, даже прошедшими проверку – например, ограничивать суммы на первых порах, следить за отчётами аудиторов и реагировать на объявления об обнаруженных эксплойтах.

Самое важное для инвестора

  1. “Лимит доверия” — 6 месяцев. Если проект моложе, вкладывать стоит осторожно и небольшими суммами, даже при наличии аудита.
  2. 1 год без взломов значительно снижает риск, но не отменяет его при выпуске новых контрактов.
  3. Смотрите на динамику аудитов. Повторные проверки, bug-bounty и on-chain-мониторинг снижают вероятность инцидента сильнее, чем единичный аудит перед запуском.

Источники и данные

Для подготовки отчёта использованы открытые агрегаторы инцидентов и базы данных:

  • Платформа Rekt News – раздел Rekt Leaderboard, в котором собраны документированные случаи взломов DeFi-протоколов и мостов с 2019 по 2025 год.
  • DeFiLlama Hacks – раздел статистики по взломам на сайте DefiLlama.com. Он предоставил общие сводки по суммарным потерям ($6,72 млрд в DeFi-сегменте на момент составления отчёта) и подтверждает тенденцию снижения числа атак после пика 2021 года. DeFiLlama также использовался как перекрёстная проверка для дат и сумм некоторых инцидентов.
  • Данные и отчёты аудиторов и исследовательских команд: отчёты Halborn (Top 100 DeFi Hacks), Hacken (Web3 Security Report 2024), а также публикации Exponential и Cozy Finance.

Статья размещена в криптоWike.

@defisurfer
August 8, 16:37
0 views
4 reactions
0 replies
0 reposts