Beosin：主要安全事件在5月发生36起，累计损失超过7600万美元

Статья: Beosin

По данным мониторинговой платформы Beosin Alert, в мае 2026 года общий ущерб от различных инцидентов безопасности составил около 76,15 миллионов долларов США, было зафиксировано 36 крупных хакерских атак, основными причинами которых стали уязвимости в смарт-контрактах и утечка приватных ключей. Среди них 17 инцидентов связаны с уязвимостями в контрактах / сетях, 10 — с утечками приватных ключей, что свидетельствует о серьезных вызовах в области безопасности кода и операционной безопасности экосистемы DeFi.

Топ-10 протоколов по потерям в мае

Мост Verus-Ethereum, соединяющий цепочки Verus L1 и Ethereum, был атакован из-за уязвимости в контракте, что привело к максимальным потерям — 11,58 миллионов долларов. Echo Protocol был взломан из-за утечки приватных ключей, в результате чего злоумышленник создал 1000 eBTC (номинальная стоимость около 7,67 миллиона долларов), но из-за ограниченной ликвидности фактическая прибыль составила примерно 5,13 миллиона долларов.

Типы атакованных проектов и потери по цепочкам

Объектами атак выступают мосты, децентрализованные биржи, кредитные протоколы, рынки предсказаний, стейбкоины, обычные пользователи и другие. Наибольшие потери зафиксированы в мостах — до 27,995 миллиона долларов, а проекты, связанные с DeFi, были атакованы 14 раз, что делает их наиболее уязвимыми.

Самая крупная потеря по цепочке в мае — на Ethereum, превышающая 48,76 миллиона долларов. Многие уязвимости в мостах и протоколах DeFi продолжают проявляться именно на Ethereum. Следующими по уязвимости идут BNB Chain, Monad, TON, а также Monero и Bitcoin, что свидетельствует о мультицепочечной природе атак.

Анализ основных инцидентов безопасности

1. Verus: дефект проверки межцепочечных сообщений

Работа моста Verus-Ethereum основана на предоставлении доказательных данных отправителем, подтверждающих наличие на цепочке Verus транзакции, которая прошла нотариальное подтверждение, после чего мостовой контракт в Ethereum проверяет эти данные и высвобождает активы. Уязвимость заключается в том, что контракт на стороне Ethereum, хотя и проверяет доказательство из Verus, не валидирует его исходное состояние, что позволяет злоумышленнику создавать ложные выводы и выводить средства, превышающие их фактический депозит.

Часть кода, содержащая уязвимость:

Данный инцидент схож с уязвимостями, приведшими к потерям в Wormhole (320 миллионов долларов) и Nomad (190 миллионов долларов) в 2022 году — в них проверялись только сообщения, а не их связанная ценность.

2. Trusted Volumes: дефект в подписи

Злоумышленник использовал дефект в подписи в процессе RFQ (запроса цен) TrustedVolumes, при реальном переводе средств он создал собственный набор данных подписи, установив адрес отправителя как контракт Resolver в TrustedVolumes, и успешно прошел проверку. В результате активы из контракта Resolver были переведены и получена прибыль.

Часть кода с уязвимостью:

Проверка авторизации ссылается на переменную varg4, а выполнение перевода — на другие параметры, отсутствие проверки приводит к несоответствию между авторизованным подписантом и адресом списания.

Злоумышленник может просто подписать заказ с зарегистрированным адресом подписанта (мейкер = Exploit), а остальные параметры (токен, сумма) установить произвольно, например, создать фиктивный заказ с соотношением 1:1, чтобы пройти проверку цены через оракул, и затем вывести активы из протокола:

3. Утечка приватных ключей на примере StablR

В мае произошло несколько случаев утечки приватных ключей, общий ущерб превысил 25 миллионов долларов. В частности, StablR, как регулируемый эмитент стейбкоинов, стал ярким примером проблем безопасности в сфере стабильных монет и DeFi.

StablR выпустил два продукта — EURR и USDR, при этом мультиподписной кошелек, управляющий выпуском EURR, — 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; а управляющий USDR — 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Поскольку оба мультиподписных кошелька требуют только одного подписи для транзакции, злоумышленник, контролируя адрес владельца 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, добавил адрес 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 в оба кошелька, получив контроль над правами на эмиссию.

Такие инциденты связаны не с уязвимостями кода, а с операционной безопасностью: неправильно сохраненными приватными ключами привилегированных аккаунтов, отсутствием многофакторной защиты для важных операций, отсутствием тайм-локов для крупных эмиссий и быстрых механизмов реагирования.

Тенденции угроз безопасности Web3

2026 год показывает, что систематическое расширение поверхности атак — ключевая тенденция. Уязвимости появляются в коде, инфраструктуре, взаимодействиях и человеческих процессах. Надежных методов, способных покрыть все аспекты безопасности, включая операционную безопасность, сотрудников, облачные инфраструктуры и цепочки поставок программного обеспечения, недостаточно. Это требует повышенных стандартов безопасности для проектов Web3.

Также наблюдается рост атак на устаревшие или заброшенные контракты, уязвимости которых легко эксплуатировать злоумышленникам. Разработчики и операторы должны регулярно проверять безопасность своих контрактов, своевременно обрабатывать или переводить оставшиеся средства, а также отзывать ненужные разрешения. Пользователи должны регулярно проверять свои разрешения через блокчейн-обозреватели или инструменты отмены разрешений и отзывать их при необходимости.