Какие 5 самых разрушительных уязвимостей Смарт-контрактов в истории Крипто?

Хак DAO: $60 миллионов украдено из крупнейшей уязвимости смарт-контракта Ethereum

В 2016 году мир криптовалют стал свидетелем одного из самых значительных нарушений безопасности, когда The DAO, децентрализованная автономная организация, созданная на Ethereum, стала жертвой разрушительного взлома. Злоумышленник использовал критическую уязвимость в коде смарт-контракта, сумев вывести примерно $60 миллион эфира на отдельный wallet. Это нарушение безопасности произошло, несмотря на то что The DAO привлекла более $150 миллиона в инвестиционных фондах через продажу токенов.

Эксплойт использовал уязвимость рекурсивного вызова, которая позволила хакеру многократно выводить средства до того, как система смогла бы правильно обновить балансы счетов. Особенностью этой атаки было то, что она не нарушала никаких явных правил в смарт-контракте — она всего лишь использовала незамеченную особенность в логике кода.

Инцидент создал философский раскол в сообществе Ethereum между теми, кто верил, что "код — это закон", и теми, кто выступал за вмешательство. Этот кризис в конечном итоге привел к спорному хард-форку блокчейна Ethereum для восстановления украденных средств, создав оригинальную цепь Ethereum Classic ( и форкнутую цепь Ethereum ). Взлом DAO кардинально изменил подход разработчиков к безопасности смарт-контрактов, подчеркивая необходимость тщательного аудита и тестирования перед развертыванием кода, управляющего значительными финансовыми активами.

Заморозка кошелька Parity: ( миллионов заблокированы из-за ошибки в коде

В 2017 году мир криптовалют стал свидетелем одной из самых значительных неудач смарт-контрактов, когда разработчик, известный как "devops199", случайно активировал критическую уязвимость в библиотеке многофакторного кошелька Parity. Этот инцидент привел к тому, что Ethereum на сумму примерно ) миллионов был навсегда заблокирован и недоступен для их владельцев. Катастрофическое событие произошло 8 ноября, когда devops199 вызвал функцию initWallet, невольно взяв на себя владение контрактом библиотеки, который поддерживал множество многофакторных кошельков.

| Подробности инцидента с Parity Wallet | Информация | |-------------------------------|-------------| | Дата инцидента | 8 ноября 2017 года | | Замороженная сумма | $300 миллион в Эфире | | Затронутые кошельки | Более 500 мультиподписных кошельков | | Причина | Уязвимость кода в библиотечном контракте | | Триггер действия | Пользователь "devops199" вызывает функцию initWallet |

Что делает этот инцидент особенно тревожным, так это то, что Parity Technologies были предупреждены о этой уязвимости за несколько месяцев до этого. Пользователь GitHub выявил и сообщил об этой ошибке в августе, но компания не смогла внедрить необходимые исправления. Исходный код был создан и проверен командой DEV Фонда Ethereum и Parity Technologies, однако эта критическая уязвимость осталась без внимания, что демонстрирует, как даже тщательно проверенные смарт-контракты могут содержать разрушительные ошибки с необратимыми последствиями в технологии блокчейн.

Эксплуатация Poly Network: $300 миллионов украдено в хаке кросс-цепи DeFi

В одном из самых значительных нарушений безопасности в истории децентрализованных финансов хакеры провели сложную атаку на Poly Network, успешно похитив примерно $300 миллионов в цифровых активах. Этот инцидент 2021 года занимает одно из первых мест среди крупнейших краж криптовалюты, сравнимых с крупными нарушениями на других биржах в предыдущие годы.

Хакеры использовали уязвимость в кросс-чейн протоколе Poly Network, что позволило им перевести тысячи цифровых токенов, включая Эфир, на отдельные криптовалютные кошельки под их контролем. Масштаб этой атаки продемонстрировал критические проблемы безопасности в инфраструктуре DeFi.

| Аспект | Подробности | |--------|---------| | Сумма украдена | $610 million | | Статус восстановления | 100% $610 завершено$610 | | Время восстановления | 13 дней | | Исторический контекст | Среди крупнейших взломов DeFi в истории |

Что сделало этот случай особенно необычным, так это его конечный результат. После взлома Poly Network назвала хакеров "белыми шляпами", что вызвало споры в сообществе безопасности. Эта терминология обеспокоила экспертов, которые опасались, что это может легитимизировать преступные действия под предлогом исследований безопасности. Несмотря на первоначальные опасения, хакеры в конечном итоге вернули все украденные активы, и последние средства были освобождены, когда хакер поделился приватным ключом, необходимым для доступа к оставшимся ( миллионам, которые были заблокированы на совместном счете.

Атака Pump.fun: кража на сумму $1.9 миллиона подчеркивает внутренние риски безопасности

Платформа Pump.fun столкнулась с значительным нарушением безопасности в 2023 году, когда бывший сотрудник воспользовался привилегиями системы, что привело к кражи примерно 1,9 миллиона долларов в токенах SOL. Эта внутренняя атака произошла между 15:21 и 17:00 UTC 16 мая, при этом злоумышленник использовал флеш-займы для манипуляции ликвидностью токенов через то, что было описано как атака "кривой связи". Инцидент затронул только часть активов платформы, поскольку украденная сумма составила лишь небольшую долю от общего ) миллиона в контрактах кривой связи Pump.fun.

После атаки Pump.fun оперативно отреагировал, усилив меры безопасности и разработав четкий план восстановления. Платформа заверила пользователей, что ее смарт-контракты остались в безопасности, и обязалась компенсировать пострадавшим пользователям "100% ликвидности" в течение 24 часов. Кроме того, Pump.fun установил торговые сборы на уровне 0% на следующую неделю, чтобы уменьшить потери пользователей.

Последствия привели к юридическим последствиям для предполагаемого злоумышленника, Джаррета Данна, который был арестован в Соединенном Королевстве в связи с этим инцидентом. Дело служит ярким напоминанием о том, что внутренние угрозы могут представлять собой значительные риски для криптовалютных платформ, даже тех, которые построены на надежных блокчейн-фундаментах, таких как Solana.