1,4 мільйона доларів США зникли за одну ніч: як неперевірені контракти стають автоматичним банком для хакерів

2026-01-06 02:17:55

Децентралізована біржа TMX була зламана неперевіреним контрактом у мережі Arbitrum, що призвело до втрати приблизно на $1,4 мільйона. Згідно з даними моніторингу CertiK, хакери систематично виснажували USDT, обгорнуті активи SOL і WETH у контракті через ретельно продумані повторювані операції. Цей інцидент знову виявив серйозно недооцінений ризик у екосистемі DeFi: неперевірені контракти — це як розблоковані сейфи, які чекають, щоб їх відкрили.

Як це роблять хакери

Метод атаки хакера не є складним, але він дивовижно ефективний:

Mint TMX LP-токени для поєднання з USDT
Обмін USDT на USDG
Виставка TMX LP
Продати USDG для більшої кількості активів
Повторіть вищезазначене у циклі

Ключ до успіху цього «арбітражного циклу» полягає в лазівці в логіці контракту — хакери знаходять різницю в цінах або недоліки в механізмі обміну, які можна повторно використовувати. Через кілька повторень ліквідність у контракті остаточно висмоктується.

Чому «Неперевірені контракти»

«Непідтверджений» тут — ключове слово. Це означає:

Підтвердити контракт	Неперевірений контракт
Перевірено компаніями з безпеки, такими як CertiK, OpenZeppelin та іншими	Немає стороннього огляду безпеки
Логіка коду професійно перевірена	Вразливості коду не виявлені
Відносно прозорі ризики	Ризик — це прихована «шахта»
Висока вартість зламу	Низька вартість зламу

За останніми новинами, багато нових проєктів пропускають аудиторську сесію, щоб швидко запустити в ефір. Цей підхід може здаватися економією, але насправді це ризик на ймовірність — ставка на те, що ніхто не знайде лазівку. І саме хакер буде ретельно перевіряти.

Що ілюструє ця справа?

На перший погляд, це втрата для TMX. Але глибше питання таке:

Користувачі DeFi не знають про профілактику

Багато людей займаються ліквідним майнінгом або торгівлею, і рідко активно перевіряють, що контракт пройшов аудит. Натомість важливою причиною, чому проєкт Mutuum Finance, згаданий у відповідній інформації, залучив понад 18 600 власників, є те, що він провів подвійний аудит безпеки компанією Halborn і CertiK. Це різкий контраст.

Недоліки управління ризиками сторони проєкту

Вказування непідтвердженого контракту саме по собі є тривожним сигналом. Якщо це формальний проєкт, його слід перевіряти одразу після завершення функції, а не чекати на усунення проблеми.

Вартість зламу знижується

Кожного разу, коли така атака вдається, хакери накопичують нові «рутини». Наступний неперевірений контракт може зіткнутися з подібними ризиками.

На що звертати увагу далі

Чи опублікує команда TMX офіційну заяву та план компенсації
Чи посилить мережа Arbitrum попередження про ризики для нових контрактів
Чи будуть викрадені активи на $1,4 мільйона відстежуватися та заморожені
Скільки подібних неперевірених контрактів перебуває під загрозою

Резюме

Основний висновок цього інциденту простий: у DeFi перевірка контракту не є опцією, а обов’язковою. Якщо проєкт запускається без формального аудиту безпеки, то кожен залучений фонд ставить на рівень коду учасника проєкту. І хакер — саме найсерйозніший «аудитор коду».

Для користувачів, перед участю в будь-якому DeFi-проєкті, використовуйте Etherscan, щоб перевірити, чи є в контракті аудитський звіт від інституції, такої як CertiK або OpenZeppelin, що не вимагає технічної підготовки, але може суттєво знизити ризики. Щодо проєкту, вартість аудиту значно нижча, ніж вартість атаки — 1,4 мільйона доларів це найкращий урок.

SOL0,64%

USDG-0,01%

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.