Тож я слідкував за тим, що відбувалося в DeFi цього квітня, і чесно кажучи, було важко. Ми маємо понад $600m у задокументованих збитках лише за цей місяць, і модель досить показова — це не просто один прорив ключа або окрема вразливість. Це системна проблема, яка поширюється на кілька рівнів екосистеми.

Дозвольте розбити, що сталося. Два головних інциденти, які спричинили більшу частину шкоди, — ситуація з rsETH у Kelp DAO та протокол Drift. Kelp DAO зазнав збитків приблизно $292m , коли хтось експлуатував вразливість мосту для створення непідкріплених активів. Це не був традиційний витік, але хвильові ефекти через інтегровані платформи створили серйозний системний ризик, особливо для кредитних протоколів, що тримали цей актив. Потім протокол Drift був уражений через маніпуляції з заставою та проблеми з доступом — повідомляється, що там постраждало сотні мільйонів.

Але ось що цікаво. Окрім цих головних випадків, з’являється цілий шар середніх за масштабом зломів, які продовжують виникати. Rhea Finance втратила $7.6 млн через шахрайські контракти токенів та маніпуляції з оракулами. Grinex Exchange повідомив про витік $13.7 млн з гаманців на кількох адресах. GiddyDefi зазнав збитків на $1.3 млн через помилку в авторизації, пов’язану з повторним використанням підпису — це прорив ключа іншого типу, більше операційний, ніж технічний.

Далі — такі випадки, як інцидент CoW Swap на $1.2 млн через захоплення домену. Це особливо цікаво, бо показує, що поверхня атаки виходить далеко за межі смарт-контрактів. Йдеться про інфраструктуру, управління ключами, контроль доменів — весь стек.

Навіть менші випадки щось говорять. Silo Finance, Aethir, Dango, Scallop, Volo Protocol — у кожного були свої проблеми. Налаштування оракула, прогалини у контролі доступу, помилки в логіці контрактів, навіть компрометація приватних ключів у деяких випадках. Dango навіть відновив кошти за допомогою білих хакерів, що вже щось.

Що справді кидається в очі, — наскільки фрагментованим став цей ландшафт ризиків. Ви маєте зломи, що вражають логіку смарт-контрактів, системи управління ключами, інфраструктуру доменів, міжланцюгові мости і параметри протоколів одночасно. Це не один точковий збій — це кілька векторів одночасно.

Останній додаток до списку — протокол перпетуалів Aftermath. Вони розкрили прорив ключа, що дозволив встановлювати негативні комісії для будівельників, що коштувало їм близько $1.14 млн. Протокол був зупинений, але інші продукти залишилися працювати.

Висновок тут у тому, що збитки квітня відкривають щось глибше, ніж просто баги у коді. Ризик у DeFi охоплює від технічних вразливостей до операційної безпеки та архітектури системи. Поки екосистема не почне одночасно вирішувати всі три рівні, ми, ймовірно, будемо бачити, як ця модель повторюється.