За последние 24 часа два серьезных инцидента в сфере децентрализованных финансов (DeFi) привели к суммарному ущербу в размере около 850 000 долларов США. Атаки затронули пул ликвидности DTXT/USDT на BNB Chain и кроссчейн-мост Alephium, подчеркивая сохраняющиеся уязвимости как на уровне смарт-контрактов, так и в системах управления ключами.
Эксплойт DTXT/USDT на BNB Chain
По данным компании PeckShield, злоумышленник обнаружил логическую ошибку в коде токена DTXT. Контракт определял тип транзакции (обмен или добавление ликвидности), сравнивая собственный баланс USDT с суммой стейблкоина, внесенной в пул. Отправив небольшое количество USDT напрямую на адрес торговой пары, хакер добился того, что крупный ордер на продажу DTXT был ошибочно распознан системой как пополнение ликвидности. Это позволило обойти комиссии, которые обычно применяются при продаже.
Для реализации атаки злоумышленник использовал флэш-кредит объемом 1 077 400 USDT от протокола Moolah. Оперируя заемным капиталом в рамках одного блока, он манипулировал состоянием пула и получил прибыль порядка 35 000 USDT. Средства были выведены непосредственно из пула ликвидности, затронув поставщиков ликвидности пары DTXT/USDT.
Взлом моста Alephium
Второй инцидент произошел с кроссчейн-мостом Alephium. Блокчейн-фирма Blockaid сообщила, что атакующий скомпрометировал три из четырех ключей-хранителей (guardian keys), которые отвечают за подписание верификационных сообщений для передачи активов. Так как порог подписей был установлен как раз на отметке «три из четырех», контроля над одним ключом было бы недостаточно, но хакер сумел получить доступ к трем разным ключам, обойдя систему безопасности.
Используя поддельное сообщение VAA (Verification of Asset Authenticity), злоумышленник инициировал несанкционированный вывод средств из пулов ликвидности моста. Ущерб составил около 815 000 долларов. Важно отметить, что атака была направлена не на уязвимость в коде смарт-контракта, а на компрометацию инфраструктуры управления ключами. Вероятные векторы — фишинг, социальная инженерия или недостатки в практике хранения ключей.
Влияние на рынок и уроки для индустрии
Новость о взломе Alephium привела к умеренному снижению цены нативного токена ALPH. Мост был временно приостановлен для предотвращения дальнейших потерь. В случае с DTXT прямого влияния на курс токена не зафиксировано, однако инцидент вновь привлек внимание к рискам, связанным с кастомной логикой контрактов, которую не всегда можно выявить стандартным аудитом.
Оба эксплойта демонстрируют две ключевые проблемы текущего этапа развития DeFi: во-первых, сложность и часто непредсказуемость взаимодействий внутри кода токенов, во-вторых — сохраняющуюся централизацию в системах валидаторов кроссчейн-мостов. По отраслевым данным, с 2021 года потери от взломов мостов превысили 2 миллиарда долларов, что делает их одной из самых привлекательных целей для злоумышленников.
Пользователям рекомендуется с осторожностью взаимодействовать с малоизвестными токенами и мостами до официальных подтверждений безопасности, а также проверять историю аудитов и условия хранения ключей у протоколов.
