Децентрализованный лотерейный протокол Foom Cash, построенный на технологии доказательств с нулевым разглашением (zk-proofs), смог вернуть большую часть средств, похищенных в результате эксплуатации уязвимости. Общая сумма ущерба составила $2,26 млн, однако благодаря оперативному вмешательству белого хакера удалось обезопасить $1,84 млн, что составляет около 81% украденных активов.
Протокол объявил о возврате средств в понедельник, 2 марта 2026 года. Псевдонимный белый хакер Duha идентифицировал уязвимость и быстро переместил средства в безопасное место в сети Base, прежде чем злоумышленники смогли их извлечь. Работы по восстановлению в сети Ethereum были проведены компанией по кибербезопасности Decurity.
В качестве вознаграждения Foom Cash выплатил белому хакеру Duha $320 000 в рамках программы вознаграждения за обнаружение уязвимостей (bug bounty). Компания Decurity получила $100 000 за услуги по безопасности. В публичном заявлении Duha отметил: «Выполняя свою политику bug bounty, @foomclub_ доказал, что серьезно относится к безопасности протокола и ценит исследователей, которые им помогают».
Причина взлома: критическая ошибка при развертывании
Команда Foom Cash объяснила инцидент «фатальной» ошибкой развертывания, допущенной на втором этапе процесса доверенной настройки (trusted setup). Проблема возникла из-за пропущенного шага в интерфейсе командной строки (CLI) при настройке системы доказательств с нулевым разглашением. В частности, был пропущен этап настройки вклада, специфичного для схемы, в инструменте snarkjs для протокола Groth16. Это привело к тому, что параметры γ (гамма) и δ (дельта) остались установленными на одно и то же значение по умолчанию.
Данная ошибка позволила злоумышленнику обмануть протокол, заставив его «принимать поддельные доказательства, поскольку заполнитель так и не был рандомизирован». Это открыло возможность для несанкционированного вывода средств.
Растущая роль белых хакеров в экосистеме DeFi
Вмешательство белых хакеров становится стандартным элементом реагирования на инциденты в сфере децентрализованных финансов. Поскольку злоумышленники быстро перемещают средства между блокчейнами или в инструменты для обеспечения приватности, этичные хакеры часто соревнуются с ними в скорости, чтобы обезопасить уязвимые активы.
В августе 2023 года исследователь Paradigm Samczsun помог запустить альянс Security Alliance (SEAL) — коллектив этичных хакеров, специализирующихся на реагировании на взломы в криптоиндустрии. За первый год работы группа сообщила об участии в более чем 900 расследованиях, связанных со взломами. Инициатива набрала обороты после нескольких громких инцидентов, включая кражу $230 млн с индийской биржи WazirX в 2024 году.
10 февраля 2026 года Фонд Ethereum (Ethereum Foundation) объединил усилия с SEAL для запуска инициативы «Trillion Dollar Security», направленной на борьбу с воришками кошельков (wallet drainers) и другими векторами атак.
Инцидент с Foom Cash подчеркивает, что для протоколов, использующих продвинутую криптографию, тщательная проверка должна распространяться не только на аудит смарт-контрактов, но и на процессы развертывания и выполнения доверенных настройок.
