В данном материале анализируются ключевые уязвимости смарт-контрактов и риски повторных атак, влияющие на криптоплатформы, например MON. Статья подробно рассматривает критические вопросы кибербезопасности, в том числе перехват сессии, подделку подписи и риски хранения активов, не ограничивающиеся только уязвимостями блокчейна. Материал адресован руководителям, специалистам по кибербезопасности и экспертам по управлению рисками. Представлены практические рекомендации по защите финансовых активов на этих платформах.
Уязвимости повторного входа: как был взломан контракт airdrop сети MON Chain
В смарт-контракте airdrop сети MON Chain уязвимость повторного входа возникла из-за критической ошибки порядка операций в функции вывода средств. При вызове пользователем функции вывода контракт сначала отправлял эфир на адрес пользователя, а затем обновлял его баланс на блокчейне. Это создавало временное окно, в течение которого вредоносный контракт мог перехватить транзакцию и рекурсивно вызывать функцию вывода, опустошая средства до обновления баланса. Уязвимый код позволял выполнять внешние вызовы до изменения внутреннего состояния, что давало злоумышленникам возможность неоднократно выводить средства с не обновленным балансом. MON Chain не реализовала принцип checks-effects-interactions, согласно которому сначала обновляются балансы, а затем отправляются активы. Атакующие создали специальный контракт, который с помощью fallback-функции многократно входил в уязвимую функцию вывода MON Chain, поочередно выводя средства до полного опустошения баланса. В результате атаки было похищено 1,5 млрд долларов — это около 69 процентов всех украденных средств с сервисов в 2025 году. Эксплойт показал, что даже блокчейн-системы с неизменяемой историей транзакций подвержены сложным атакам на уровне кода. Злоумышленники оставили значительную часть украденных средств на блокчейне, что позволило обнаружить следы в распределенных реестрах. Этот случай подчеркнул важность комплексного аудита смарт-контрактов и внедрения проверенных защитных механизмов — защиты от повторного входа и протоколов управления состоянием — до запуска контрактов, работающих с крупными суммами.
Уязвимости проектирования смарт-контрактов — один из главных источников угроз для современных криптоплатформ, особенно через перехват сессий и подделку подписей. Такие атаки используют слабые стороны архитектуры контрактов: недостаточный контроль доступа и уязвимости повторного входа позволяют злоумышленникам менять последовательность транзакций и подделывать криптографические подписи. Если в контракте реализованы обновляемые функции под контролем админ-ключей, компрометация таких адресов дает злоумышленникам возможность внедрять вредоносные обновления и выводить заблокированные средства. В результате одного такого инцидента потери составили около 70 млн долларов. Уязвимости библиотеки xml-crypto (CVE-2025-29774 и CVE-2025-29775) показали, что атаки на подделку подписей могут полностью обходить аутентификацию, позволяя похищать средства без доступа к приватным ключам. По последним данным, 55% потерь на криптопротоколах связаны с багами и уязвимостями смарт-контрактов, остальные 45% — с операционными рисками, такими как компрометация учетных данных. В 2024–2025 годах эксплойты часто использовали уязвимости, известные уже несколько лет: логические ошибки, манипуляции с оракулами и арифметические просчеты. Для эффективного снижения этих рисков необходимы строгий ролевой контроль доступа, неизменяемые критические функции и регулярные аудиты безопасности.
Риски хранения на централизованных биржах: угрозы безопасности активов вне ончейн-уязвимостей
Централизованные биржи создают значительные риски хранения активов, которые выходят за пределы технических уязвимостей блокчейна. При внесении средств на такие платформы пользователи теряют контроль над приватными ключами, передавая его самой бирже, что формирует риск контрагента — отличающийся от угроз, связанных с блокчейном. Такой способ хранения концентрирует крупные суммы пользовательских средств в рамках одной инфраструктуры, делая их приоритетной целью для атак и воздействия со стороны регуляторов.
Эти риски ярко проявились за последние годы. В 2020–2025 годах криптоиндустрия потеряла около 10 млрд долларов из-за инцидентов с безопасностью, а события 2025 года выявили системные уязвимости. При банкротстве или взломе биржи пользователи теряют все активы — надежность блокчейна в таких случаях не спасает. Кроме того, вмешательство государственных органов становится заметной угрозой: регуляторы могут заблокировать все криптоактивы на централизованных платформах без предупреждения, как показал опыт ЕС. В таких случаях доступ к средствам теряется, даже если сама блокчейн-инфраструктура остается защищенной.
Риски реализуются по нескольким направлениям. Биржи могут использовать реипотекацию, создавая частичное резервирование, когда реальных активов недостаточно для всех заявок на вывод. Взломы инфраструктуры бирж происходят регулярно, а институциональные инвесторы диверсифицируют стратегии хранения: в 2025 году их доля достигла 64%. Самостоятельное хранение убирает риск контрагента, однако требует высокой квалификации по безопасности. Выбор между централизованным и самостоятельным хранением зависит от индивидуальной склонности к риску и технических возможностей, но концентрация активов на биржах представляет собой серьезную системную угрозу для всего рынка.
FAQ
Что такое монета mon?
MON coin — цифровой токен Web3 для экосистемы IP-экономики. Он используется для стейкинга, децентрализованного управления и участия в DeFi. Пользователи зарабатывают MON за счет стейкинг-программ, governance mining и выполнения задач в экосистеме. Токен выполняет утилитарную функцию и обладает ценностью в инфраструктуре Web3.
Сколько стоит 1 mon?
На 26 декабря 2025 года 1 MON стоит примерно 0,007310 доллара США. Цена изменяется в зависимости от рыночного спроса и объемов торгов в экосистеме MON.
Для чего используется монета monad?
Монета Monad применяется для транзакций в виртуальных мирах и метавселенной, позволяя покупать, продавать и обменивать виртуальную землю и цифровые активы. Токен обеспечивает работу децентрализованной экономики.
Является ли monad легитимной криптовалютой?
Monad — легитимный блокчейн-проект с реальной технической реализацией и поддержкой сообщества. Как и любой криптопроект, он несет рыночные риски. Перед инвестированием проведите собственный анализ.
Как купить монету MON?
Купить MON можно через Web3-кошельки, обменяв стейблкоины, например USDT. Пополните кошелек фиатной валютой, конвертируйте в стейблкоины и обменяйте их на MON на децентрализованных биржах. Используйте только проверенные кошельки и всегда сверяйте адреса контрактов перед сделкой.
Каковы ключевые особенности и технические преимущества Monad?
Monad обеспечивает высокую пропускную способность и масштабируемость благодаря параллельной архитектуре, полностью совместим с EVM для быстрой интеграции разработчиков и предлагает низкие комиссии, что позволяет запускать эффективные децентрализованные приложения.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
