Які 10 найруйнівніших вразливостей Смарт-контрактів в історії Крипто?

Хак $14 мільярда на Bybit виявив критичні вразливості інтерфейсу користувача

У лютому 2025 року Bybit став свідком одного з найруйнівніших порушень безпеки в історії криптовалют, коли хакери вкрали приблизно 1,4 мільярда доларів вартості Ethereum. Цей складний напад використовував критичні вразливості в інтерфейсі користувача Safe{Wallet}, рішенні з багатопідписом, яке широко використовується в індустрії. Атакуючі, які, як вважається, належать до групи Lazarus з Північної Кореї, скомпрометували інтерфейс Safe{Wallet}, який використовують оператори холодних гаманців Bybit.

Методологія атаки виявила тривожні слабкості в тому, що раніше вважалися надійними протоколами безпеки. Коли уповноважені підписанти Bybit увійшли в систему, щоб затвердити те, що здавалося рутинними транзакціями, зламаний інтерфейс користувача змінив дані в реальному часі, обманюючи підписантів, щоб вони затвердили зловмисний контракт, який фактично передав контроль над їхнім гаманцем зловмисникам.

| Компоненти атаки | Деталі | |------------------|---------| | Цільова система | Безпечний{Гаманець} інтерфейс мультипідпису | | Вразливість | Маніпуляція даними UI в реальному часі | | Метод | Заміна підпису з шкідливим контрактом | | Вкрадені активи | 401,347 ETH ($1.4 мільярда) | | Розподіл | 53 різні адреси гаманців |

Після порушення Bybit забезпечив містковий кредит, що покриває 80% вкрадених коштів. Інцидент спонукав до значних оновлень безпеки платформи Safe{Wallet}, включаючи нові контролі перевірки для забезпечення відповідності підписів запропонованим транзакціям перед виконанням.

39 валідаторів Ethereum було знижено через операційні збої

10 вересня 2025 року Ethereum зазнав одного з найбільших координованих штрафних заходів з часу переходу на proof-of-stake у 2022 році. Усього 39 валідаторів, підключених до мережі SSV, були покарані через операційні помилки. Цей рідкісний інцидент підкреслює потенційні ризики, пов'язані з неналежним управлінням валідаторами в дедалі більш насиченій екосистемі стекингу.

Санкції не мали злого наміру і не були пов'язані з самим протоколом Ethereum, а скоріше виникли через помилки операторів у технології розподілених валідаторів (DVT). Кожен постраждалий валідатор втратив приблизно 0.3 ETH у вигляді штрафів, що в сумі склало колективні збитки, що перевищують 52,000 доларів.

| Контекст Штрафування | Дані | |------------------|------| | Вплив на валідаторів | 39 | | Індивідуальний збиток | ~0.3 ETH | | Загальна кількість валідаторів | 1,2 мільйона+ | | Історичний контекст | <500 валідаторів знищено з 2020 року |

Мережа SSV, яка децентралізує інфраструктуру стейкінгу, розділяючи ключі валідаторів між кількома операторами, зіткнулася з проблемами, які спричинили дублювання налаштувань валідаторів, що посилило збитки. Цей інцидент підкреслює критичну важливість оперативної майстерності в управлінні валідаторами, особливо в умовах зростання екосистеми стейкінгу Ethereum. Незважаючи на цей нещасний випадок, загальний рівень штрафів залишається надзвичайно низьким, з менш ніж 500 валідаторами, яким було накладено штраф з 1,2 мільйона з моменту запуску Beacon Chain у 2020 році.

Понад 1.6 мільйона ETH постраждали через масовий вихід валідаторів Kiln

Мережа Ethereum наразі переживає значні зміни, оскільки Kiln, великий постачальник стейкінгу, ініціював виведення понад 1,6 мільйона ETH з блокчейну. Цей масовий вихід валідаторів становить приблизно 4,5% від усіх стейкованих Ethereum, при цьому виведений ETH оцінюється більш ніж у $690 мільйон. Виведення було спровоковане проблемами безпеки, специфічними для інфраструктури Kiln, після пов'язаного інциденту з стейкованими активами Solana компанії SwissBorg, що призвело до збитків у $40 мільйон.

Згідно з офіційною заявою Kiln, цей вихід є "запобіжним заходом, що має на меті забезпечити подальшу цілісність стейкованих активів." Процес здійснюється в упорядкованій формі відповідно до правил протоколу Ethereum, з очікуваними термінами завершення, що варіюються залежно від позиції валідатора.

| Аспект | Деталі | |--------|---------| | Загальна сума ETH, що виводиться | 1,6 мільйона ETH | | Орієнтовна вартість | $690+ мільйонів | | Відсоток усіх заблокованих ETH | 4.5% | | Очікуваний термін виходу | 10-30 днів |

Масовий вихід призвів до значного збільшення черги виходу валідаторів Ethereum, в якій зараз знаходиться приблизно $11,3 мільярдів вартості ETH, досягнувши рекордного часу очікування у 44 дні. Ця безпрецедентна затримка викликає питання щодо безпеки та стабільності мережі під час масштабних подій анстейкінгу, особливо з огляду на зростаючі очікування щодо потенційних ETF на стейкований ETH, які можуть ввести додаткові 4,7 мільйона токенів Ethereum до черг валідаторів після затвердження.