На этом фоне особенно уязвимыми остаются децентрализованные финансы (DeFi), которые предоставляют пользователям прямой доступ к обмену активами, займам и пулам ликвидности без участия посредников. Рост децентрализации усиливает риски и открывает пространство для сложных атак, которые ставят под угрозу безопасность пользователей. О том, каких манипуляций в DeFi стоит опасаться, редакции BeInCrypto рассказал Григорий Осипов, директор по … Continued The post Манипуляции в DeFi: как устроены атаки на доверие и ликвидность appeared first on BeInCrypto.
Общее количество киберугроз оказывает все большее давление на цифровую инфраструктуру компаний. За первые четыре месяца 2025 года количество атак на DNS-уровне в отношении российского бизнеса превысило 198 миллионов
На этом фоне особенно уязвимыми остаются децентрализованные финансы (DeFi), которые предоставляют пользователям прямой доступ к обмену активами, займам и пулам ликвидности без участия посредников. Рост децентрализации усиливает риски и открывает пространство для сложных атак, которые ставят под угрозу безопасность пользователей. О том, каких манипуляций в DeFi стоит опасаться, редакции BeInCrypto рассказал Григорий Осипов, директор по расследованиям «Шард».
Хотите всегда быть в курсе главных криптособытий? Подпишитесь на нашу еженедельную рассылку и получайте самые важные новости прямо на почту!
DeFi привлекает пользователей по всему миру простой схемой и доступом к финансам без бюрократии. В развивающихся странах децентрализованные услуги служат альтернативой недоступным банкам, а в экономиках с высокой инфляцией помогают сохранить средства через стейблкоины и смарт-контракты, исключая посредников. Однако DeFi связан с рисками, включая взломы, потерю средств и нестабильность курсов, а отсутствие единых правил делает рынок уязвимым и требует большей осмотрительности.
Flash loan — это особый вид займа в DeFi, который предоставляется без залога и с одним важным условием: весь займ должен быть возвращен в рамках одной и той же транзакции.
Если этого не случится, блокчейн автоматически отменит всю операцию, как будто ее не было. Такая механика делает займы инструментом для опытных трейдеров и разработчиков, но также открывает возможности для манипуляций с ценами и логикой протоколов.
В качестве примера можно привести атаку на протокол bZx. Хакер взял мгновенный кредит на 10 000 ETH и использовал эти средства, чтобы повлиять на цену токена WBTC — обернутый биткоин на одной из децентрализованных бирж. Цена временно сильно изменилась. Смарт-контракт bZx воспринял новую цену как рыночную и выдал заем хакеру по неправильной стоимости. После этого атакующий вернул займ, но оставил себе прибыль около $320 000 благодаря кратковременной манипуляции ценой.
Создатели запускают инициативу и привлекают средства, после чего исчезают с деньгами участников. Чаще всего это происходит в новых проектах, особенно в децентрализованных обменниках (DEX). Один из примеров — проект Swaprum, где в 2023 году инвесторы потеряли около $3 млн всего за несколько часов. После ухода команда преступников полностью стерла свое присутствие в интернете.
Смарт-контракты не обладают знанием о рыночной цене токенов. Они получают эту информацию от внешних сервисов, называемых оракулами. Если злоумышленник сможет исказить данные даже на короткое время, он получит выгодную сделку по неправильной цене.
Примером атаки на оракул DeFi является взлом протокола Venus Protocol, произошедший 27 февраля 2025 года. Атакующий взял во флеш-займ около $4 млн на платформе Aave. Его целью был токен хранилища по стандарту ERC-4626 для обернутого стейблкоина wUSDM. Путем махинаций он завысил курс wUSDM с 1,06 до 1,7, после чего через два аккаунта устроил самоликвидацию на платформе Venus. Несмотря на оперативную реакцию команды и заморозку рынка, потери составили около $716 000.
Сэндвич-атака — это форма вредоносной торговли на децентрализованных биржах, таких как Uniswap. Злоумышленник отслеживает крупный ордер и размещает две свои транзакции: одну до него — чтобы изменить цену, и вторую после — чтобы зафиксировать прибыль. Все происходит в одном блоке, что позволяет манипулировать ценой и извлекать выгоду.
Например, 12 марта 2025 года пользователь пытался обменять $220 763 в USDC на USDT, но попал под сэндвич-атаку. Злоумышленник сначала поднял курс, затем дал пройти ордеру пользователя, а после вернул активы. В результате пользователь получил всего $5 272, потеряв более $215 000.
Под угрозой атак находятся и крупные проекты, которые на первый взгляд кажутся максимально защищенными. Уязвимость таких протоколов объясняется рядом фундаментальных особенностей самой DeFi-среды.
Рассмотрим одну из масштабных манипуляций, которая ставит под угрозу безопасность проектов.
Оракулы связывают блокчейн с внешними данными о ценах активов. Злоумышленники могут временно искажать эти данные, например, через крупные сделки на биржах с низкой ликвидностью, чтобы получить прибыль за счет неверной оценки стоимости токенов.
Речь не о взломе кода, а об использовании слабых мест в логике получения данных. Чтобы снизить риски, проекты применяют децентрализованные оракулы вроде Chainlink, Tellor и Witnet, которые агрегируют данные из разных источников.
Существует дополнительная мера безопасности — использование нескольких оракулов и вычисление медианной цены из их данных, что снижает влияние ошибок или атак на отдельные источники.
Однако даже при достоверных данных протокол может быть уязвим. Все чаще атаки происходят не через взлом, а через просчеты в логике работы смарт-контрактов и экономической модели.
Грань определяется тем, где заканчивается честное использование системы и начинается намеренное искажение ее работы.
Умный взлом означает использование уязвимости в коде, а злоупотребление логикой — это поиск лазеек в правилах протокола без взлома. Такие действия могут быть формально законными, но при этом нарушать принципы децентрализации и подрывают доверие. Например, если кто-то берет мгновенный займ без залога и использует его для манипуляции ценой токена, это не является техническим взломом, но и честной игрой такое поведение назвать трудно. Хакер действует через баги, а хитрый пользователь — через слабости в механике.
Отдельный этический вопрос возникает, когда злоумышленники после атаки возвращают средства и называют себя белыми хакерами. Они рассчитывают избежать последствий и получить награду, действуя скорее из соображений безопасности и выгоды, чем из желания помочь сообществу.
Однако при понимании границ допустимого поведения возникает вопрос о том, как все-таки можно преодолеть подобные злоупотребления. Аудит смарт-контрактов помогает выявлять уязвимости, но, несмотря на все проведенные проверки, некоторые виды атак все же остаются за пределами внимания аудиторов.
Аудит — обязательный этап для многих DeFi-проектов, где эксперты проверяют код на уязвимости. Но даже с несколькими аудитами проекты могут подвергаться атакам и терять средства. Основные причины в том, что аудит проверяет только код, а не поведение в реальной среде. Взаимодействие с другими протоколами, резкие рыночные колебания или манипуляции часто остаются вне внимания аудиторов.
Ограниченное время и ресурсы для глубокого анализа сказываются на развитие сложных сценариев. Аудит обычно не охватывает экономические и рыночные риски, которые злоумышленники используют для атак. После обновлений проект меняется, но повторные проверки проводятся редко. Качество аудита варьируется в зависимости от опыта специалистов, а уязвимости могут скрываться не в коде, а в логике протокола и экономической модели. Поэтому аудит важен, но не гарантирует полной безопасности.
Для повышения надежности децентрализованных финансов необходимо сосредоточиться на технической безопасности и на продуманной архитектуре протоколов.
Проверки должны проводиться после каждого обновления, с учетом реального поведения системы и взаимодействия с другими протоколами, включая нестандартные сценарии. Аудиты позволяют своевременно выявлять критические уязвимости и предотвращать атаки до выхода протокола в основную сеть
Доверенные и децентрализованные оракулы минимизируют риск ценовых манипуляций и атак на логическую уязвимость.
Механизмы протокола должны исключать возможность эксплуатации даже при корректной работе кода. Моделирование пользовательского поведения помогает устранить финансовые лазейки до выхода на рынок.
Протоколы должны учитывать действия не только благонамеренных, но и потенциально вредоносных пользователей. Это особенно важно для автономности протоколов и снижения риска внутренних манипуляций.
Недостаток регуляторной ясности снижает доверие и тормозит развитие. Устойчивость DeFi невозможна без сбалансированного подхода со стороны законодательства.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
The post Манипуляции в DeFi: как устроены атаки на доверие и ликвидность appeared first on BeInCrypto.
JOIN
