DeFi. BTCfi. Инциденты с Bitcoin-обёртками: 2020–2025 гг.

TL;DR

wBTC, tBTC, etc. - это не BTC. В статье приведено лишь несколько показательных примеров, но далеко не все.

Суть

Например, В период 2020–2025 гг. зафиксированы несколько значимых инцидентов, связанных с токенами, обеспеченными BTC (обёртками).

Я не буду вдаваться в подробности, но попробую рассмотреть события различных типов – от атак (взломов, краж) до проблем с "депегом" и заморозкой функций протоколов, чтобы охватить как можно бОльший спектр.

По каждому инциденту указал дату (или период), затронутый токен и сеть, а равно - суть происшествия и потери в BTC/USD (где известно).

wBTC (Wrapped Bitcoin)

Май 2024: жертвой "отравления адреса" (wallet poisoning) стал держатель WBTC. Инвестор переправил 1155 WBTC (~$71 млн) злоумышленнику, ошибочно приняв фальшивый адрес за свой.

Атакующий конвертировал 1155 WBTC в ETH, пытаясь замести следы, но затем – предположительно под давлением – вернул все похищенные токены потерпевшему. Формально средства были возвращены, но первоначальная кража оценивается в 1155 WBTC (~$71M).

Тут ничего нового.

23 ноября цена Wrapped Bitcoin (WBTC) на Binance упала до исторического минимума около $5200 в результате очевидного внезапного обвала, который не повлиял на цену актива на других биржах. Но вспомним же 12 марта 2020 года и запомним, что депег на 1 бирже - может привести к резкому обвалу на других.

При этом из-за связи с Дж. Саном wBTC делистили с Coinbase, а затем - и с бирж поменьше.

И да, wBTC - это абсолютно кастодиальное решение:

Проще говоря: wBTC - совсем не вам принадлежит.

tBTC (Threshold Bitcoin, на Ethereum и L2)

В 2020 году "глава проекта tBTC Мэтт Луонго (Matt Luongo) в Twitter сообщил, что депозиты tBTC приостановлены на 10 дней. Для этого разработчики предусмотрели в коде специальную процедуру emergencyPauseNewDeposits(). При этом разработчики помогают пользователям, уже перечислившим BTC, получить их обратно".

Октябрь 2023: в сообществе Threshold Network (наследнике Keep/TBTC) была выявлена критическая ошибка в контракте L2WormholeGateway, используемом при переносе tBTC между Эфиром и L2-сетями (Arbitrum, Base, Optimism, Polygon).

По замыслу, небольшая сумма tBTC на Ethereum могла бы быть использована для неограниченного чеканки tBTC на L2.

Уязвимость была быстро выявлена 09 октября 2023 и оперативно исправлена до взлома. В результате средств потеряно не было.

Но везение, как известно, рано или поздно заканчивается...

renBTC (Ren Protocol на Ethereum)

Декабрь 2022: команда Ren объявила о полном закрытии первой версии моста (Ren 1.0) в связи с крахом Alameda/FTX. Пользователей призвали незамедлительно выкупить и сжечь токены renBTC в обмен на оригинальный BTC, иначе они рисковали полностью их потерять.

После 30-дневного срока (около 18 декабря) в Ren 1.0 были отключены mint/burn-функции, то есть обмен renBTC на BTC стал технически невозможен. Это фактически приостановило работу renBTC на Ethereum, хотя о потери средств самими разработчиками не заявлялось.

Декабрь 2022: MakerDAO принял решение исключить renBTC из списка обеспечений DAI, ссылаясь на высокую вероятность депега будущей стоимости renBTC. Это предостережение (отказ в принятии токена как обеспечения) отражало слабость ликвидности renBTC после кризиса и указывало на риски потери паритета.

Дальнейший курс: фактическое падение цены renBTC в начале 2025 года стало следствием крайне низких объёмов и мотивации арбитража (соотношение упало примерно до 0.25 BTC за токен). К маю 2025 ликвидность renBTC почти иссякла.

HBTC (Huobi/HTX Wrapped BTC на HECO/ETH)

Ноябрь 2023: взломан кроссчейн-мост между HTX (бывшим Huobi) и Ethereum. Злоумышленники завладели приватным ключом моста, после чего в течение 22 ноября сняли ~87 млн USD в крипто-активах – ETH, USDT и токенах HBTC – и вывели их на внешние адреса. Инцидент подтвердил, что ключи оказались скомпрометированы. Потери HTX в этом случае составили порядка $87M (включая неподтверждённую долю именно в HBTC).

Примечание: Huobi/HTX заявило о компенсации потерь клиентам (за счёт резервов).

pBTC (pNetwork Wrapped BTC на BSC)

19 сентября 2021: протокол pNetwork подвергся атаке на мост pBTC-on-BSC. Взломщик использовал баг в обработке peg-out запросов (ошибка в логике Rust-кода ноды) и вынес весь BTC, обеспечивающий мост на Binance Smart Chain. Всего было похищено 277 BTC (в моменте более $12 млн). Инцидент локализовали за несколько минут: мост приостановили, баг устранили, а другие мосты (pBTC на Ethereum, EOS, Telos и др.) не пострадали. Ущерб понесли лишь держатели pBTC на BSC ("профит-гарантии были полностью разрушены").

RBTC (Rootstock Bitcoin на RSK)

4 октября 2022: хакерам удалось провести ценовую манипуляцию в протоколе Sovryn на Rootstock (RSK). Злоумышленник через флеш-займ искусственно увеличил цену iRBTC-токенов и вывел из пула займов 44.93 RBTC (эквивалент ~1 млн USD по курсу 2022 года).

После обнаружения атаки часть средств удалось вернуть (около половины суммы), но в моменте украдено к. 44.9 RBTC. Этот случай – пример уязвимости кредитных протоколов, событие касается в целом "биткоин-обёрток" (WRBTC/iRBTC) в экосистеме RSK.

Выводы

Базовые атаки на обёртки:

1. Депег;
2. Взлом мостов;
3. Взлом DeFi-протоколов;
4. Искусственное влияние на цену без постоянного депега;
5. Иные.

И в этом смысле BTC - это не rBTC, wBTC, tBTC, SolvBTc, etc. Помните об этом и

До!