На прошедшей неделе криптосообщество стало свидетелем двух знаковых событий, демонстрирующих как уязвимости DeFi, так и растущую культуру ответственного раскрытия и реформ. Независимый исследователь безопасности под псевдонимом Florent помог вернуть инвесторам около 1003 ETH (~$2 млн), заблокированных на девять лет в смарт-контракте ICO HongCoin 2016 года.
Контракт, написанный на устаревшей версии Solidity без защиты от переполнения (overflow), позволял вернуть средства лишь держателям с балансом меньше определённого счётчика, который после частичных возвратов снизился до 3,56 ETH. Большинство инвесторов владели значительно бо́льшими суммами и не могли получить возврат. Florent обнаружил, что административная функция контракта, предназначенная для выпуска бонусных токенов, из-за той же уязвимости могла сбрасывать баланс любого держателя до 1, открывая путь к возврату. Действуя исключительно через мультиподпись команды HongCoin, он связался с участниками проекта, провёл тестирование на форке основной сети и организовал подписание 41 транзакции для разблокировки примерно 1000 ETH. Уже два инвестора вернули 96,5 ETH и добровольно выплатили вознаграждение whitehat-хакеру, который подчеркнул, что не брал комиссий и руководствовался интересом. Всего средства смогут востребовать 48 первоначальных участников ICO.
Параллельно Aave, второй по величине DeFi-протокол кредитования, объявил о комплексном пересмотре стандартов листинга активов после апрельского взлома на $230 млн, связанного с токеном rsETH (restaked ETH) от KelpDAO. Атака, названная крупнейшей в DeFi в 2026 году, не затронула код Aave напрямую. Злоумышленник воспользовался сбоем в верификации сообщений на мосту LayerZero, где один-единственный валидатор одобрил поддельную кроссчейн-транзакцию, позволив выпустить 116 500 ничем не обеспеченных rsETH. Эти токены были внесены в Aave в качестве залога, после чего хакер вывел кредиты, которые оказались безнадёжными после раскрытия фиктивности rsETH.
В постмортеме Aave признал, что традиционные оценки рисков — волатильность, ликвидность и аудит смарт-контрактов — упустили инфраструктурные угрозы, исходящие от мостов, оракулов и операционной безопасности. Теперь протокол будет анализировать всю экосистему зависимостей актива, включая архитектуру мостов, сторонние контракты и кастодиальные схемы. Кроме того, Aave внедряет автоматизированную систему снижения отношения кредита к залогу (LTV) до нуля при достижении критических порогов риска. После инцидента риск-менеджеры провели около 295 корректировок параметров в версии V3, сократив лимиты предложения и заимствования для многих активов.
Эти истории, по мнению участников рынка, подчёркивают двойственную природу DeFi: на фоне ускоряющихся атак появляются и защитные механизмы. Сам Florent отметил, что в индустрии желает видеть «встречное движение людей, стремящихся защищать, а не эксплуатировать протоколы», добавив, что «это более морально и может неплохо оплачиваться».
