Аналитическая компания по блокчейну Chainalysis 9 июня опубликовала отчёт, в котором зафиксировано, что с января по май как минимум 36,7 миллиона долларов были украдены у протоколов, исходный код которых ни разу не был публично подтверждён в блокчейн-эксплорере; всего это связано с 4 атаками и 5 протоколами; во всех случаях злоумышленники находили уязвимости, анализируя декомпилированный исходный байткод (а не читая публично доступный исходный код).
Четыре кейса атак: суммы потерь, даты и типы подтверждённых уязвимостей
Согласно отчёту Chainalysis, подтверждённые данные по пяти атакованным протоколам следующие:
Truebit: 26,2 миллиона долларов, 8 января 2026 года, Ethereum; целочисленное переполнение в функции getPurchasePrice() (Solidity v0.5.3, в этой версии отсутствует защита от авто-переполнения)
Trusted Volumes: 5,9 миллиона долларов, 7 мая 2026 года, Ethereum; уязвимость в механизме контроля доступа в агенте-исполнителе для обмена RFQ
Aperture Finance: 3,2 миллиона долларов, 25 января 2026 года, Ethereum; обход проверки входных данных через transferFrom
(Источник: Chainalysis)
Ekubo: 1,4 миллиона долларов, 5 мая 2026 года, Ethereum; логика отката не проверяла личность плательщика
Chainalysis подтвердил, что все связанные с перечисленными выше протоколами контракты на момент атаки не были верифицированы в Etherscan или других блокчейн-эксплорерах, и не имели опубликованного связанного исходного кода.
Подробности кейса Truebit: контракт был развёрнут в 2021 году, он демонстрирует признаки системных атак в on-chain записях
Анализ графиков Reactor от Chainalysis показывает, что адрес злоумышленника, инициировавшего атаку Truebit (8 января 2026 года, потери 26,2 миллиона долларов), за двенадцать дней до этого похитил 5 ETH у протокола Sparkle.
Отчёт подтверждает, что этот адрес системно искал уязвимости как в уже верифицированных, так и в невлифицированных контрактах, постепенно наращивая масштаб — от первоначальных небольших целей до финальной крупномасштабной атаки; средства, полученные в ходе обеих атак, были отмыты через Tornado Cash. Контракт, который подвергся атаке, был развёрнут в Ethereum с 2021 года и никогда не проходил верификацию исходного кода на Etherscan.
Три пункта безопасности в невэрифицированных контрактах: сбои механизмов защиты, подтверждённые Chainalysis
Отчёт Chainalysis подтверждает, что при выборе протоколом закрытого развёртывания следующие три традиционных уровня безопасности синхронно перестают работать:
Провал обзора белыми хакерами: поскольку нет публично читаемого исходного кода, специалисты по безопасности не могут идентифицировать и сообщить об уязвимостях
Исключение из программ баг-баунти: невэрифицированные контракты обычно явно исключаются из большинства ведущих программ баг-баунти
Отказ сообщества от обратной связи: в среде открытого аудита без исходного кода сообщество не может активно выявлять проблемы безопасности
Chainalysis подтверждает, что для протоколов с развёрнутыми невэрифицированными контрактами единственным способом защиты, который может сейчас заменить указанные механизмы отказа, является оперативный on-chain мониторинг.
Часто задаваемые вопросы
В чём ключевые различия безопасности между невэрифицированными и верифицированными смарт-контрактами?
Исходный код верифицированных контрактов доступен для публичного чтения в блокчейн-эксплорерах вроде Etherscan; специалисты по безопасности могут напрямую идентифицировать уязвимости и подавать отчёты. Неверифицированные контракты публикуют только скомпилированный байткод; и специалистам по безопасности, и злоумышленникам нужно проводить обратную инженерии через инструменты декомпиляции, а невэрифицированные контракты обычно исключаются из большинства ведущих программ баг-баунти.
Как 36,7 миллиона долларов из записей Chainalysis соотносятся с общим объёмом краж в DeFi?
Согласно отчёту Chainalysis, 36,7 миллиона долларов — это отдельная подкатегория из 88 протоколов DeFi, которые в синхронном периоде DeFiLlama зафиксировали среди общей суммы потерь более чем на 1 миллиард долларов. Большинство атакованных протоколов, зафиксированных DeFiLlama, имеют верифицированные смарт-контракты; атаки на невэрифицированные контракты формируют уникальный паттерн атаки, и их не следует напрямую сравнивать с более широкой статистикой безопасности DeFi.
Какие конкретные рекомендации даёт Chainalysis протоколам с невэрифицированными контрактами?
Единственная конкретная рекомендация, подтверждённая отчётом Chainalysis, — развёртывать оперативный on-chain мониторинг, чтобы заменить функции традиционной системы безопасности, которая не работает для невэрифицированных контрактов. В отчёте не приведены рекомендации по конкретным инструментам мониторинга, стандарты внедрения или предложения по срокам.
