Протоколы децентрализованных финансов (DeFi) потеряли $92.5 миллионов в 15 отдельных хакерских инцидентах в апреле 2025 года. Согласно последнему месячному отчету от компании по безопасности блокчейна Immunefi, это представляет собой увеличение на 27,3% в сравнении с апрелем 2024 года и более чем вдвое превышает потери марта 2025 года в размере $41,4 миллиона.
Этот тревожный всплеск укрепляет растущий консенсус среди специалистов по безопасности о том, что технические основы DeFi остаются опасно уязвимыми, несмотря на многолетние угрозы высокого профиля и повторяющиеся предупреждения от экспертов в области кибербезопасности. Апрельские цифры способствуют еще более тревожной статистике: общие потери криптовалюты от взломов и эксплойтов в 2025 году уже достигли $1.74 миллиарда, что превысило общий годовой показатель за 2024 год в $1.49 миллиарда всего за четыре месяца.
"То, что мы наблюдаем, это не просто временный всплеск, а фундаментальный кризис безопасности в том, как децентрализованные протоколы разрабатываются, разворачиваются и поддерживаются", - объясняет Мария Чен, главный исследователь ChainSecurity. "Индустрия строит всё более сложную финансовую инфраструктуру на основе кода, который не подвергается той же строгости, что и традиционные финансовые системы."
Эксплойты в апреле в основном были нацелены на устоявшиеся блокчейн-сети, и 100% атак классифицировались как технические эксплойты, а не социальная инженерия или мошеннические атаки. Среди 15 задокументированных инцидентов несколько выделяются как по своему масштабу, так и по использованным сложным вектором атак:
Протокол UPCX: $70 миллионов
Крупнейший взлом месяца затронул UPCX, протокол для межцепочечных платежей, накопивший более $300 миллионов в общей заблокированной стоимости (TVL) с момента его запуска в конце 2024 года. 12 апреля атакующие выявили критическую уязвимость в механизме проверки межцепочечных сообщений протокола.
Согласно предварительному судебно-техническому анализу компании Chainalysis, эксплойт использовал тонкую ошибку в том, как UPCX проверял подписи транзакций по разным цепям, совместимым с EVM. Атакующие провели точечную атаку в период высокой нагрузки на сети, обходя этапы проверки и авторизируя мошеннические выводы со множественных пулов ликвидности одновременно.
"Атака на UPCX демонстрирует, как межцепочечные мосты продолжают представлять собой одну из наиболее уязвимых инфраструктур в экосистеме", - отмечает Томас Уолтон-Покок, основатель Optimism Security Labs. "Несмотря на многочисленные исторические примеры атак на мосты, такие как Wormhole и Ronin в 2022 году, проекты продолжают недооценивать сложность безопасных межцепочечных сообщений."
UPCX уже объявил план компенсаций для пострадавших пользователей, хотя подробности остаются неопределенными, так как расследования продолжаются.
KiloEx: $7.5 миллионов
KiloEx, децентрализованная биржа, ориентированная на торговлю опционами, потеряла $7.5 миллионов 19 апреля в результате, казалось бы, сложной атаки с манипуляцией ценовым оракулом. Атакующий воспользовался временным снижением ликвидности в одном из эталонных рынков KiloEx, манипулируя воспринимаемой ценой контрактов на опционы KETH/ETH.
Путем первоначального искусственного снижения цены оракула посредством серии координированных сделок на нескольких площадках, а затем эксплуатации автоматического механизма ликвидации KiloEx, атакующий смог приобрести значительно дисконтированные контракты на опционы до восстановления цены оракула.
"Атаки на оракулы становятся всё более методичными," - отмечает Самцзун, уважаемый исследователь безопасности из Paradigm. "Сегодняшние атакующие понимают микроструктуру рынка и могут создавать условия, которые технически не нарушают правила отдельных систем, но всё равно создают уязвимые арбитражные возможности в связанных протоколах."
Другие значимые инциденты
Оставшиеся апрельские эксплойты составили в общей сложности $15 миллионов потерь:
- Loopscale: $5.8 миллиона потеряно, когда атакующие использовали уязвимость повторного входа в контракте кредитования
- ZKsync: $5.0 миллионов утекло через ошибку в цепи верификации доказательства с нулевым разглашением
- Term Labs: $1.5 миллиона украдено из-за непроверенных значений возврата во взаимодействии смарт-контрактов
- Bitcoin Mission: $1.3 миллиона в обернутых BTC украдено из-за ненадлежащих контрольных механизмов доступа
- The Roar: $790,000 потеряно через манипуляции с мгновенными кредитами
- Impermax: $152,000 утекло из-за ошибок точных округлений в расчетах наград
- Zora: активы NFT на $140,000 скомпрометированы через манипуляцию метаданными
- ACB: $84,000 потеряно из-за незащищенных функций инициализации
Ethereum до сих пор основной объект атак
Распределение атак по блокчейн-сетям показывает постоянные уязвимости даже в устоявшихся экосистемах. Ethereum остался основным объектом атак, составив пять инцидентов (33.3% от общего количества), в то время как BNB Chain пережил четыре атаки (26.7%). Base, решение второго уровня от Coinbase, столкнулось с тремя значительными эксплойтами (20%), что составляет тревожную тенденцию для относительно новой сети.
"Атакующие идут туда, где есть деньги, но они также приоритизируют сети с уязвимыми точками интеграции", - поясняет доктор Дженна Родригес, профессор криптографии в MIT. "Доминирующее TVL Ethereum делает его постоянной целью, но мы видим увеличенное внимание к сетям второго уровня, таким как Base, именно потому, что они реализуют новую технологию, которая ещё не прошла проверку боем."
Оставшиеся инциденты затронули Arbitrum, Solana, Sonic и ZKsync, указывая на то, что ни одна блокчейн-экосистема не защищена от киберугроз. Единственный инцидент Solana представляет собой значительное улучшение по сравнению с предыдущими годами, когда сеть страдала от нескольких резонансных взломов.
Исторический контекст
Для полного понимания степени серьезности апрельских цифр необходим исторический контекст. Данные от Chainalysis и CipherTrace указывают на то, что ежегодные потери от криптовалютных атак следовали тревожной траектории:
- 2019: $370 миллионов
- 2020: $520 миллионов
- 2021: $3.2 миллиарда
- 2022: $3.8 миллиарда
- 2023: $1.7 миллиарда
- 2024: $1.49 миллиарда
- 2025 (янв-апр): $1.74 миллиарда
Ускоряющийся темп этого года предполагает, что 2025 год может потенциально превзойти рекорд, установленный в 2022 году, когда обвал Terra/Luna и последовавший за этим эффект домино создал беспрецедентную уязвимость по всей экосистеме.
"Что особенно тревожно в текущей волне эксплойтов, так это то, что они происходят в период рыночной стабильности," - отмечает Майкл Лвеллен, бывший руководитель по безопасности в Aave. "В отличие от 2022 года, когда рыночный хаос и каскады ликвидации создали исключительные обстоятельства, эти атаки успешны против протоколов, функционирующих в нормальных условиях."
1 квартал 2025: Предпосылка для апрельского всплеска
Апрельские эксплойты основываются на уже разрушительном первом квартале. Год начался с одного из крупнейших единичных взломов в криптовалюте, когда Bybit, крупная централизованная биржа, потеряла $1.46 миллиарда после того, как хакеры скомпрометировали несколько частных ключей горячих кошельков. Хотя это и не является эксплойтом DeFi, инцидент с Bybit подчеркнул постоянные слабые места в решениях по хранению по всей более широкой криптоэкосистеме.
Другие значительные эксплойты в первом квартале включали:
- Infini Protocol: потеря $50 миллионов через сложную арбитражную атаку, которая включала несколько кредитных платформ
- zkLend: украдено $9.5 миллиона через атаку на мгновенный кредит, которая манипулировала значениями залога
- Ionic: утекло $8.5 миллионов после того, как атакующие получили доступ к привилегированным функциям через социальную инженерию
В совокупности с апрельскими цифрами эти случаи рисуют картину индустрии, которая борется за то, чтобы защитить себя от всё более изощренных угроз.
Эволюция векторов атак
Исследователи безопасности отметили явную эволюцию в методологиях атак в течение 2024 и 2025 годов. Ранние эксплойты DeFi часто нацеливались на очевидные уязвимости: незащищенные административные функции, жестко закодированные ключи или простые уязвимости повторного входа. Сегодняшние атаки демонстрируют значительно большую сложность.
"Современные эксплойты в DeFi всё чаще нацелены на математические предположения, лежащие в основе проектирования протоколов, а не на простые ошибки реализации," - объясняет доктор Неха Нарула, директор Инициативы цифровой валюты at MIT. "Атакующие находят крайние случаи в экономических моделях, эксплуатируют временные дисбалансы по нескольким протоколам и используют тонкие взаимодействия между, казалось бы, независимыми системами."
Общие векторы атак в последние месяцы включают:
Уязвимости доказательств с нулевым разглашением
По мере распространения ZK-rollups и решений для обеспечения конфиденциальности, увеличилось количество атак, нацеленных на их криптографические основы. Пятимиллионные потери ZKsync в апреле показывают, как даже математически строгие системы могут содержать ошибки в реализации.
Межцепочечные мостовые эксплойты
Несмотря на многолетние предупреждения, протоколы мостов, соединяющие разные блокчейны, остаются уязвимыми. Потеря $70 миллионов UPCX встает в длинную линию атак на мосты, включая исторические атаки на Wormhole ($320 миллионов), Ronin ($620 миллионов) и Nomad ($190 миллионов).
Манипуляции с оракулами
Атаки на оракулы цен становятся всё более сложными, с атакующими, организующими комплексные манипуляции рынком через несколько площадок для временного искажения ценовых потоков.
Атаки на механизмы управления
Хотя они не были распространены в апреле, эксплойты механизмов управления вызывают растущую обеспокоенность. Недавние атаки нацелены на системы голосования, позволяя атакующим получить контроль над принятием решений через мгновенные кредиты или другое временное накопление ресурсов.
Институциональный ответ: адаптация индустрии
Криптовалютная индустрия не осталась пассивной перед лицом нарастающих вызовов безопасности. Появилось несколько институциональных ответов:
Усиленные аудиторские стандарты
Ведущие аудиторские фирмы, такие как Trail of Bits, OpenZeppelin и Consensys Diligence, разработали более обширные методологии, которые выходят за рамki простого кодового ревью и включают симуляции экономических атак и формал. Here's the translation following your specified format, with markdown links not translated:
"We're seeing protocols request much more thorough audits than even a year ago," reports Yan Michalevsky, founder of security firm Ottersec. "Projects are now typically undergoing multiple independent audits, formal verification where applicable, and economic simulations before deployment."
Решения для страхования
Протоколы страхования на блокчейне, такие как Nexus Mutual и InsurAce, расширили свои варианты покрытия, хотя премии значительно возросли в ответ на увеличившуюся частоту заявлений. По состоянию на май 2025 года приблизительно $500 миллионов в активах DeFi имеют какую-либо форму защиты от эксплуатации, что по-прежнему составляет менее 1% от общего TVL в DeFi.
Растущие награды за обнаружение багов
Immunefi сообщает, что вознаграждения за обнаружение багов увеличились в среднем на 64% по сравнению с прошлым годом, при этом максимальные выплаты за критические уязвимости теперь регулярно превышают $1 миллион. В марте 2025 года хакеру-белошляпнику выплатили $2,5 миллиона за обнаружение критической уязвимости в Uniswap V4 — самая большая выплата за баг в истории криптовалют.
Внимание регуляторов
Регулирующие органы по всему миру обратили внимание на кризис в области безопасности. Рамки ЕС по рынкам криптоактивов (MiCA), полностью внедренные в начале 2025 года, теперь требуют, чтобы протоколы DeFi, работающие в европейских юрисдикциях, соответствовали минимальным требованиям безопасности.
В Соединенных Штатах SEC использует нарушения безопасности как дополнительное обоснование для действий против протоколов, считающихся предоставляющими незарегистрированные ценные бумаги. Председатель SEC Гэри Генслер недавно заметил: "Частота этих взломов демонстрирует, почему защита инвесторов должна распространяться на эти новые финансовые продукты."
Техническое предотвращение: путь вперед
Эксперты по безопасности в целом согласны с рядом необходимых технологических улучшений для устранения коренных причин уязвимостей DeFi:
Формальная проверка
Техники формальной проверки, которые математически доказывают правильность кода по сравнению со спецификациями, все больше рассматриваются как необходимые для основных компонентов протокола. Хотя это ресурсоемко, формальная проверка может устранить целые классы уязвимостей.
"Индустрии нужно перейти от модели аудита и запуска к математически доказанным гарантиям безопасности," утверждает Мануэль Араоз, основатель Zeppelin Solutions. "Для протоколов, обрабатывающих миллиарды средств пользователей, ничего менее, чем формальная проверка, не должно быть приемлемо."
Децентрализованный мониторинг безопасности
Системы мониторинга в реальном времени, способные обнаруживать аномальные транзакционные паттерны, набирают популярность. Протоколы, такие как Forta Network, предоставляют децентрализованный мониторинг, который может отмечать подозрительную активность в различных блокчейнах, потенциально обеспечивая более быстрые экстренные реакции.
Временные замки и предохранительные выключатели
Реализация обязательных задержек для значительных перемещений средств и автоматическое приостановление протоколов во время аномальных условий могут уменьшить воздействие будущих атак.
Стандартизированные рамки безопасности
Несколько индустриальных групп разрабатывают стандартизированные рамки безопасности, специфичные для DeFi, включая DeFi Security Alliance компании Open Zeppelin и Smart Contract Security Consortium от Ethereum Foundation.
Балансирование инноваций и безопасности
Данные о взломах в апреле 2025 года служат ярким напоминанием о том, что проблемы безопасности в криптовалюте остаются актуальными как никогда. С потерями с начала года в $1.74 миллиарда, уже превышающими все потери 2024 года, индустрия стоит на критическом поворотном этапе.
"Фундаментальная проблема, стоящая перед DeFi, не техническая — она культурная," заключает доктор Нарула. "Индустрия отдает приоритет скорости инноваций над безопасностью, и до тех пор, пока этот баланс не изменится, мы будем продолжать видеть подобные заголовки."
Чтобы DeFi достигло массового признания и участия институционалов, практики безопасности должны развиться, чтобы соответствовать огромной финансовой ответственности, взятой на себя этими протоколами. Разрешительное новаторство, которое питало быстрое развитие криптовалюты, должно быть уравновешено строгими методами безопасности, подходящими для финансовой инфраструктуры, обрабатывающей миллиарды средств пользователей.
По мере того как индустрия вступает во вторую треть 2025 года, все взгляды будут обращены на то, смогут ли протоколы реализовать более надежные меры безопасности, не жертвуя открытостью и компонуемостью, которые делают DeFi революционным. Исход этой технической и культурной задачи, вероятно, определит, станет ли децентрализованное финансирование преобразующим глобальной финансовой системой или останется постоянно уязвимым для эксплуатации.