Web3. Безопасность. Взломы 2025

Взломом всегда так много и они всегда кажутся столь разными, что за ними (якобы) невозможно уследить. Но это, конечно же, не так. Попробуем разобраться на примерах…

Взлом Биткоина

Отчёт: teletype.in/@menaskop/btc-hack-2025.

“Ончейн-данные указывают на то, что США могли взломать кошельки, связанные с конфискацией биткоинов, (а) … ZachXBT, обнаружил несоответствия в отчете Казначейства”.

Balancer

Отчёт: teletype.in/@menaskop/balancer-hack-2025.

Суть: “Также первичный анализ показал, что проблема связана с функцией batchSwap, использующей отложенное исполнение и ошибку округления в функции upscale. Из-за этого злоумышленники могли проводить сложные цепочки обменов, обходя минимальный уровень ликвидности. Ошибка позволяла манипулировать балансами пулов и переводить активы, при этом часть средств оставалась внутри хранилища Balancer до последующих транзакций. По другим данным: “Злоумышленники обошли уровни контроля доступа, чтобы напрямую манипулировать балансами активов. Это критический сбой в операционном управлении, а не в основной логике протокола”.

Депег xUSD & deUSD

Полный отчёт: teletype.in/@menaskop/defi-xUSD-deUSD-2025.

Суть коротко: “Поддерживать стейблкоин другим стейблкоином, который, в свою очередь, обеспечен первым стейблкоином - не революционные финансы: это просто дорогое перформанс-искусство”.

CETUS

Отчёт: dedaub.com/blog/the-cetus-amm-200m-hack-how-a-flawed-overflow-check-led-to-catastrophic-loss.

Здесь всё довольно просто и даже банально: “Причиной взлома … Cetus стала уязвимость в проверке параметров ликвидности AMM. Об этом говорится в отчете компании Dedaub. Проблему не обнаружили из-за недостатка проверки «переполнения кода… Хакеры использовали ошибку в проверке старших битов, чтобы искусственно завысить значения ликвидности. Это позволило создать крупные позиции с минимальными вложениями и вывести средства из пулов. (Проще говоря) злоумышленники добавили огромные объёмы ликвидности, вложив всего одну единицу токена, а затем опустошили пулы на сотни миллионов долларов”, — пояснили аналитики”.

ZKLend

Если коротко, то “Согласно статистике CertiK Alert, хакеры воспользовались уязвимостью безопасности на zklend и атаковали рынок кредитования производных токенов wstETH, после чего перевели около 5 миллионов долларов США в сеть Ethereum”.

Иные взломы

Списком:

• DEX Bunni
• CrediX
• BtcTurk
• CoinDCX
• Arcadia Finance
• Crypto.com - ретровзлом
• И прочие

Но взломы - важно изучать, но это далеко не всё.

Выводы

Вот что (на мой взгляд нужно делать):

1. Не смешивать тир1 сети, протоколы, коины и токены, а также их обёртки с тир2 и тир3: t.me/web3news/7382.
2. Изучать азы безопасности ДО, а не ПОСЛЕ взломов.
3. Диверсифицировать доходы (и даже прибыль), а не просто говорить об этом.
4. Изучать rekt.news, cryptonews ДО использования протоколов, а не ПОСЛЕ.
5. И, конечно же, понять, что унификация и кастомизация - лучшая защита со своей стороны от самых частых, но банальных атак.

Удачи и

До!