Итак, я следил за новостями о взломах в DeFi довольно внимательно, и явно проявляется паттерн, который трудно игнорировать. Похоже, что старые DeFi-протоколы, о которых все забыли, систематически подвергаются атакам, и масштабы становятся тревожными.

Truebit только что пострадал в четверг — речь идет о выведенных $26 миллионах через довольно простую уязвимость переполнения целых чисел в их контракте проверки. Злоумышленник создал огромное количество токенов TRU, сжег их и ушел с 8 535 ETH. Цена мгновенно упала до нуля. Что удивительно, этот код находился там уязвимым почти пять лет с момента запуска. Контракт в какой-то момент хранил 44 000 ETH, так что ситуация могла быть гораздо хуже.

Затем сегодня снова пострадал Futureswap — второй взлом за месяц. Они потеряли еще $400K на фоне атаки на управление $550K в декабре. Общие потери по этим недавним инцидентам составляют примерно $27 миллионов, и, судя по всему, это не замедляется.

Интересная особенность этого цикла новостей о взломах в DeFi — теория, что инструменты ИИ помогают злоумышленникам систематически обходить старый, неаудированный код. Один специалист по безопасности отметил, что боты для фуззинга «жрут это как пирании». Логично — наследственные контракты 2020-2022 годов лежат там с минимальным текущим вниманием к безопасности.

Storming0x, который раньше работал в сфере безопасности в Yearn, довольно активно об этом говорит. Они утверждают, что командам нужно либо полностью закрыть эти старые контракты, либо провести повторную аудит. Пользователям сейчас лучше просто вывести свои средства из всего устаревшего.

Общая картина такова: мы наблюдаем скоординированную переоценку забытых инфраструктур DeFi, и это будет продолжаться, пока протоколы не начнут реально решать проблему. Вопрос безопасности в DeFi сам по себе не исчезнет.