29 апреля 2026 года стало известно, что протокол Singularity_Fi потерял $413 000 из-за тихой ошибки в настройках оракула, допущенной еще в январе. Почти три месяца уязвимость оставалась незамеченной, так как неверно выбранный уровень комиссии пула ликвидности Uniswap V3 не вызывал ошибок, а просто возвращал нулевой адрес. Это привело к тому, что ядро протокола dynBaseUSDCv3 на базе Base считало, что его резервы составляют всего $100, тогда как на самом деле они были в тысячи раз больше. В итоге злоумышленник, используя флеш-кредит в $100 000 от Morpho, смог получить выпуск токенов vault по заниженной цене, а затем вывести реальные активы.
Атака на JUDAO произошла всего через два дня — $464 000 было потеряно из пула PancakeSwap на BNB Chain. Это связано с дефляционной токеномикой самого проекта. Атакующий, используя инструмент flash loan от Moolah, спровоцировал срабатывание механизмов сжигания JuiceDAO практически на каждом селл-ордере. Эти срабатывания изменяли баланс пула и через серию манипуляций позволили извлечь $205 000 плюс 36 BNB (около $22 600). Инцидент еще раз подтверждает, что большинство потерь апреля 2026 г. ($600 млн+) вызвано не сложными хаками нового типа, а непроверенными конфигурациям или пробелами в проектировании DeFi.
Оба инцидента последовали на фоне ухудшения ситуации: жертвой на BNB Chain становится и протокол с ликвидностью $22 млн, даже не являющийся крупной целью для хакеров. В Singularity_Fi ожидается formal post-mortem, расследование также прокомментировал сервис аналитики DefimonAlerts, указавший, что уязвимость в коде устранена.
