Компанія з блокчейн-аналітики Chainalysis 9 червня опублікувала звіт, у якому фіксує, що з січня по травень щонайменше 36,7 мільйона доларів було викрадено з протоколів, чиї первинні коди ніколи не проходили публічну перевірку в блокчейн-експлорері; інциденти включали 4 атаки та 5 протоколів; у всіх випадках атакувальники знаходили вразливості шляхом декомпіляції оригінального байткоду (а не читання відкритого первинного коду).
Чотири кейси атак: суми втрат, дати та підтверджені типи вразливостей
Згідно зі звітом Chainalysis, підтверджені дані для п’яти атакованих протоколів такі:
Truebit: 26,2 мільйона доларів, 8 січня 2026 року, Ethereum; цілочисельне переповнення у функції getPurchasePrice() (Solidity v0.5.3, у цій версії немає автоматичного захисту від переповнення)
Trusted Volumes: 5,9 мільйона доларів, 7 травня 2026 року, Ethereum; вразливість контролю доступу в проксі-схемі обміну RFQ
Aperture Finance: 3,2 мільйона доларів, 25 січня 2026 року, Ethereum; обходження перевірки вхідних даних через transferFrom
(Джерело: Chainalysis)
Ekubo: 1,4 мільйона доларів, 5 травня 2026 року, Ethereum; логіка відкату без перевірки ідентичності платника
Chainalysis підтвердила, що всі відповідні контракти вказаних вище протоколів на момент атак не були верифіковані в Etherscan або інших блокчейн-експлорерах, а також не мали публічно пов’язаного з ними відкритого первинного коду.
Деталі кейсу Truebit: контракт, розгорнутий у 2021 році, демонструє системні моделі атак
Аналіз діаграм Reactor від Chainalysis показує, що адреса атакувальника під час нападу на Truebit (8 січня 2026 року, втрати 26,2 мільйона доларів) за дванадцять днів до цього вже вкрала 5 ETH із протоколу Sparkle.
Звіт підтверджує, що ця адреса системно шукала вразливості як у верифікованих, так і у невірійфікованих контрактах: від початкових невеликих цілей поступово підвищувала масштаб до фінальної великомасштабної атаки; кошти, здобуті під час двох атак, також були відмиті через Tornado Cash. Контракт, який атакували в Truebit, було розгорнуто в Ethereum ще з 2021 року, і жодного разу його первинний код не був верифікований в Etherscan.
Три прогалини безпеки невірійфікованих контрактів: механізми, захист від яких не спрацював, за підтвердженням Chainalysis
Звіт Chainalysis підтверджує, що коли протокол обирає закритий (безвідкритий) деплой, тоді втрачають чинність такі три традиційні рівні безпеки:
Зрив роботи огляду білих хакерів: немає відкритого для читання первинного коду, через що безпекові дослідники не можуть ідентифікувати та повідомити про вразливості
Виключення з програм bug bounty: невірійфіковані контракти зазвичай явно виключені з більшості популярних програм винагород за помилки
Відмова механізму зворотного зв’язку від спільноти: безсайтовне середовище відкритих аудитів без первинного коду унеможливлює для спільноти активно визначати проблеми безпеки
Chainalysis у звіті підтвердила, що для протоколів із розгорнутими невірійфікованими контрактами єдиним актуальним наразі засобом, який може замінити зазначені вище механізми, є негайний on-chain моніторинг.
Поширені запитання
У чому полягає ключова різниця між безпекою верифікованих і невірійфікованих смартконтрактів?
У разі верифікованих контрактів первинний код можна публічно читати в блокчейн-експлорерах на кшталт Etherscan, і дослідники безпосередньо виявляють вразливості та подають звіти. Для невірійфікованих контрактів публікується лише скомпільований байткод; дослідникам і атакувальникам потрібно виконувати реверс-інжиніринг через інструменти декомпіляції, а невірійфіковані контракти зазвичай виключаються з основних програм bug bounty.
Як 36,7 мільйона доларів, зафіксованих Chainalysis, співвідносяться із загальною картиною крадіжок у DeFi?
Згідно зі звітом Chainalysis, 36,7 мільйона доларів — це один окремий підклас із 88 атакованих протоколів DeFi на суму понад 1 мільярд доларів сукупних втрат, які у цей період фіксувалися DeFiLlama. Більшість атакованих протоколів, які відстежує DeFiLlama, мають верифіковані смартконтракти; атаки на невірійфіковані контракти формують унікальний патерн атак, тож їх не слід напряму порівнювати з ширшими статистиками безпеки DeFi.
Які конкретні рекомендації щодо безпеки дає Chainalysis для протоколів з невірійфікованими контрактами?
Єдина конкретна рекомендація, яку підтвердив звіт Chainalysis, — розгортати негайний on-chain моніторинг, щоб замінити функціонал традиційної екосистеми безпеки, яка втрачає ефективність для невірійфікованих контрактів. Звіт не містить рекомендацій щодо конкретних інструментів моніторингу, стандартів упровадження чи пропозицій щодо строків.
