Контракт Fusion зазнав хакерської атаки, 267 000 доларів США були переведені до Tornado Cash, безпека DeFi знову на межі тривоги

2026-01-07 02:38:04

За останніми новинами, CertiK Alert 7 січня виявив серйозну вразливість у контракті Fusion PlasmaVault. Хакер під час операції з виведення коштів через налаштований контракт “fuse” перевів усі кошти (близько 267 000 доларів США) на адресу EOA 0x9b1b, а потім через міжланцюговий міст переніс їх до Ethereum і зберіг у Tornado Cash. Ця подія знову підкреслює ризики безпеки на етапі налаштування DeFi-протоколів.

Деталі події: повний ланцюг від налаштування до приховування

Аналіз процесу атаки

Ключовий момент цієї атаки — використання тимчасового вікна:

Хакер ініціював виклик виведення через кілька секунд після завершення налаштування контракту “fuse”
Використав логічну вразливість на етапі налаштування для обходу стандартних механізмів управління коштами
Одним махом перевів усі кошти на один EOA 0x9b1b
Переніс їх через міжланцюговий міст до Ethereum і зберіг у Tornado Cash

Ключовий момент — уразливість у вікні налаштування. Зазвичай DeFi-контракти під час ініціалізації або налаштування мають недостатній контроль доступу, і саме цим користуються хакери.

Чому обирають Tornado Cash

Перехід коштів у Tornado Cash — не випадковість, це свідчить про чіткий намір хакера:

Приховати джерело і напрямок коштів: Tornado Cash за допомогою механізму змішування ускладнює відстеження
Обійти блокування коштів: після потрапляння у змішувач, кошти важко відстежити і заблокувати
Планувати довгострокове приховування: це не швидкий зняток, а стратегія довгострокової анонімності

Цей вибір свідчить про глибоке розуміння хакером екосистеми DeFi і інструментів приватності.

Більші сигнали безпеки

Це не ізольована подія. За останніми даними, інциденти безпеки у DeFi трапляються часто:

Подія	Дата	Втрата	Спосіб атаки
Fusion PlasmaVault	2026-01-07	267 000 доларів США	Вразливість у налаштуванні контракту
TMX децентралізована біржа	2026-01-06	1,4 мільйона доларів США	Повторне створення + арбітраж

Обидва випадки демонструють одну й ту ж проблему: недостатній контроль доступу на етапах ініціалізації та налаштування контрактів.

Чому ці вразливості досі існують

Поспіх при запуску, що призводить до недостатньої перевірки налаштувань
Недостатня увага розробників до крайніх випадків
Навіть після аудиту важко врахувати всі сценарії
Хакери все точніше використовують тимчасові вікна для атак

Висновки для користувачів і проектів

Поради для команд проектів

Впроваджувати мульти-підпис або механізми тайм-локів у налаштуваннях
Після ініціалізації вводити період охолодження, а не робити контракт миттєво доступним
Розподіляти права доступу, щоб один контракт не контролював усі кошти

Поради для користувачів

Обережно брати участь у нових проектах на початкових етапах, спостерігати за їхньою діяльністю
Слідкувати за реальними моніторингами і попередженнями від CertiK та інших служб безпеки
Не вносити великі суми одразу у один контракт
Регулярно перевіряти дозволи у гаманцях і відкликати непотрібні

Підсумки

Серйозність інциденту з Fusion полягає не лише у втраті 267 000 доларів, а й у виявленні системних вразливостей. Хакер використав вікно налаштування, міжланцюговий перехід і потрапляння у змішувач — повний ланцюг, що свідчить про сформовану та зрілу тактику атак на DeFi.

Це також нагадування всій екосистемі: аудит і моніторинг важливі, але не є панацеєю. Реальна безпека вимагає ретельного проектування з самого початку, а користувачі мають залишатися пильними. Водночас, у той час як DeFi пропонує високі доходи, управління ризиками завжди має бути на першому місці.

ETH-2,5%

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.