# Сопутствующие статьи по теме Взлом

Новостной центр HTX предлагает последние статьи и углубленный анализ по "Взлом", охватывающие рыночные тренды, новости проектов, развитие технологий и политику регулирования в криптоиндустрии.

Не только приватный ключ: от кошельков и L2 до цепочек поставок — как защитить границы безопасности Web3?

Прошедший июнь стал месяцем серьезных атак в криптомире, нанесших общий ущерб на сумму около 75,9 млн долларов. Эти инциденты затронули несколько ключевых уровней безопасности Web3, выходящих далеко за рамки защиты лишь приватного ключа. Во-первых, на примере кошелька SecondFi в экосистеме Cardano выявилась важность корректной реализации подписи на уровне самого кошелька. Ошибка в коде позволила злоумышленникам восстановить приватные ключи из публичных подписей транзакций, не похищая сид-фразы. Это подчеркивает необходимость использования проверенных, по возможности, открытых решений для ключевых компонентов и разделения активов между «холодным» хранилищем и «горячим» кошельком для повседневных операций. Во-вторых, атаки на устаревшие развертывания Aztec Connect и Taiko продемонстрировали сложность и уязвимости инфраструктуры Layer 2 (L2). Проблемы варьировались от недостатков в логике доказательств с нулевым разглашением (ZK) до компрометации ключей доверенной среды выполнения (SGX). Безопасность L2 — это не только дешевые транзакции, но и надежность консенсуса, мостов и механизмов аварийного выхода. В-третьих, инцидент с Polymarket показал, как атака на стороннего поставщика услуг (цепочка поставок) может скомпрометировать безопасный фронтенд, внедрив вредоносный скрипт. Это напоминание, что «безопасный контракт» не гарантирует безопасность всего пути взаимодействия пользователя. Для защиты рекомендуется использовать отдельные кошельки для DApp, внимательно проверять детали транзакций перед подписанием и быть осторожным при аномалиях на сайте. В целом, современная безопасность Web3 — это защита всей цепочки: от генерации ключей и подписи транзакций до их верификации и финального расчета. Эффективная стратегия для пользователя включает разделение активов по уровню риска, использование небольших сумм для повседневных операций, минимальные разрешения для незнакомых DApp и дополнительную проверку рискованных действий. Защита должна эволюционировать от хранения секретной фразы к комплексным привычкам.

marsbit2 дня назад 10:45

Не только приватный ключ: от кошельков и L2 до цепочек поставок — как защитить границы безопасности Web3?

marsbit2 дня назад 10:45

Summer.fi раскрыла многомесячную подготовку, стоящую за DeFi-эксплойтом на $6 млн

Summer.fi опубликовал подробный раззор инцидента, в результате которого было похищено $6,04 млн из двух его стейкинг-пулов (vaults) Lazy Summer Protocol для USDC. Команда пришла к выводу, что атака была тщательно спланирована за несколько месяцев, а не являлась спонтанной эксплуатацией уязвимости через flash-займы. Основной причиной стала операционная ошибка в процессе отключения старой стратегии (Ark), а не баг в смарт-контрактах. Несмотря на установку лимита пополнений в ноль, этот Ark оставался в расчете совокупной стоимости активов (NAV) пулов. Злоумышленник, заранее накопив токены Silo vaults по устаревшей цене, внес их в этот Ark, искусственно завысив расчетную NAV. Это позволило ему вывести средства по завышенной стоимости, похитив в итоге ~$5,64 млн из пула с низким риском и ~$400 тыс. из пула с высоким риском. После инцидента все пулы Lazy Summer Protocol были приостановлены. Теперь сообществу предстоит принять решение о возможной компенсации пользователям, мерах по исправлению ситуации и безопасном возобновлении работы незатронутых рынков.

ambcrypto07/07 17:35

Summer.fi раскрыла многомесячную подготовку, стоящую за DeFi-эксплойтом на $6 млн

ambcrypto07/07 17:35

‘Поощрять демократию’ ценой безопасности? Внутри эксплойта Bonk на $20 млн

Мемкоин-проект BonkDAO стал жертвой взлома, в результате которого было похищено 20 миллионов долларов. Инцидент произошел из-за вредоносного предложения по управлению (governance proposal). Злоумышленник, приобретя достаточно токенов BONK, создал предложение, которое с минимальным порогом одобрения в 1% позволило вывести средства из казны проекта. Аналитики безопасности раскритиковали слабые настройки управления BonkDAO, указав на отсутствие необходимых мер защиты, таких как период блокировки или требование множественных подтверждений для транзакций казны. Исследователь Тейлор Монахан отметила, что данный случай демонстрирует проблему приоритета «демократизации» через DAO в ущерб безопасности. После новости о взломе цена токена BONK упала на 10%. Несмотря на это, данные on-chain-аналитики показывают, что крупные держатели (киты) продолжают накопление токена с середины июня, что может поддержать цену. Однако если рыночные условия ухудшатся, мемкоин может обновить годовой минимум. Проект сотрудничает с правоохранительными органами и биржами для расследования инцидента.

ambcrypto07/07 10:03

‘Поощрять демократию’ ценой безопасности? Внутри эксплойта Bonk на $20 млн

ambcrypto07/07 10:03

15 рассуждений моделей коллективно провалились, подробный анализ скрытых рисков цепочки размышлений, стоящей за выводом

Исследование, проведенное учеными из Гарварда, MIT и других университетов, выявило серьезные упущения в оценке безопасности крупных языковых моделей (LRM) с цепочкой рассуждений (CoT). Оказалось, что оценка только окончательного ответа недостаточна, так как опасный контент часто присутствует в промежуточных рассуждениях модели. Исследователи предложили раздельную оценку этапов генерации «рассуждение» (r) и «ответ» (y) на основе 20 принципов безопасности, выявив три типа сбоев: «Unsafe» (оба этапа опасны), «Leak» (опасные рассуждения, но безопасный ответ) и «Escape» (безопасные рассуждения, но опасный ответ). Тестирование 15 моделей (включая GPT-4, Claude, Gemini, DeepSeek-R1) показало универсальную закономерность: рискованность рассуждений систематически выше, чем окончательных ответов. Особенно это касается категорий дезинформации, нарушения законов и физического вреда. Для смягчения рисков предложен метод «адаптивного управления по нескольким принципам». Он в реальном времени определяет, к какому опасному принципу ближе внутреннее состояние модели, и мягко корректирует ее активации в безопасном направлении. Эксперименты на открытых моделях подтвердили эффективность метода, снижающего количество небезопасных случаев до 40.8% с сохранением 97.7% полезных способностей. Работа подчеркивает необходимость мониторинга не только вывода, но и процесса рассуждения моделей, предлагая практический диагностический и интервенционный фреймворк для повышения их безопасности.

marsbit07/06 23:56

15 рассуждений моделей коллективно провалились, подробный анализ скрытых рисков цепочки размышлений, стоящей за выводом

marsbit07/06 23:56

Почему 14 336 переводов ETH взломщиком UXLINK вызывают новые вопросы к DeFi

Недавняя активность в блокчейне показывает, что злоумышленник, стоящий за эксплойтом UXLINK (сентябрь 2025 года), активно отмывает украденные средства, чтобы затруднить их отслеживание. Хакеры, воспользовавшись уязвимостью 'delegateCall', похитили активы на сумму около $4,5 млн, конвертировали их в DAI и Ethereum (ETH). За последние две недели злоумышленник перевел в миксер Tornado Cash 14 336,6 ETH, включая более $8,1 млн в ETH после конвертации миллионов DAI. Параллельно кошельки, связанные с рухнувшей схемой Mining Express (многоуровневая схема майнинга), также активизировались. Один из них конвертировал 5 004 ETH в 8,8 млн DAI, а затем перевел около $5,1 млн из $7,5 млн в Tornado Cash. Эти случаи подчеркивают системную проблему в DeFi: хотя экосистема обеспечивает беспрепятственные переводы, в ней по-прежнему отсутствуют эффективные механизмы для блокировки или отслеживания незаконных средств после их попадания в сеть. Для защиты децентрализации и приватности необходимы усиление межсетевой координации и внедрение систем обнаружения угроз в реальном времени.

ambcrypto07/05 10:03

Почему 14 336 переводов ETH взломщиком UXLINK вызывают новые вопросы к DeFi

ambcrypto07/05 10:03

7.8 млрд долларов убытков раскрывают правду: стоимость безопасности стала неизбежным налогом на ликвидность в DeFi

Во втором квартале 2026 года, согласно данным DeFiLlama, было зафиксировано 88 хакерских атак на проекты DeFi с подтверждёнными потерями, общий ущерб от которых составил 780,3 миллиона долларов. Этот период ознаменовал сдвиг в восприятии рынка: затраты на безопасность, ранее рассматривавшиеся как оборонительные расходы, теперь превратились в неотъемлемую часть капитальных издержек DeFi — своеобразный «налог на ликвидность». Основные потери были сконцентрированы в двух областях: инфраструктурные уязвимости (например, в кросс-чейн мостах) привели к крупнейшим единичным потерям, а логические уязвимости в смарт-контрактах были наиболее частыми. Атаки на мосты, общие убытки от которых во втором квартале достигли 353,4 миллиона долларов, особенно наглядно демонстрируют новую реальность: надёжность маршрута передачи актива сама по себе становится частью инвестиционного риска. В результате рынок начинает неявно переоценивать активы, учитывая риски, связанные с каждым этапом цепочки: мостами, оракулами, интерфейсами и системами подписей. Пользователи и поставщики ликвидности теперь требуют более высокую доходность за использование рискованных маршрутов, что снижает чистую прибыльность протоколов. Ликвидность начинает концентрироваться на платформах с более понятными и безопасными путями. Для самих проектов расходы на аудиты, баг-баунти, страховку и мониторинг превращаются в обязательные «коммерческие расходы» для привлечения капитала. Таким образом, проблема безопасности трансформировалась из чисто технической в структурную рыночную проблему. Она создаёт постоянные скрытые издержки для всего экосистемы DeFi, влияя на решения о маршрутизации активов, распределении ликвидности и окончательную доходность для пользователей.

Foresight News07/01 08:04

7.8 млрд долларов убытков раскрывают правду: стоимость безопасности стала неизбежным налогом на ликвидность в DeFi

Foresight News07/01 08:04

SecondFi представляет двухнедельный план восстановления после взлома кошелька Cardano на $2,4 миллиона

Бывший кошелек Yoroi, теперь известный как SecondFi (разработан Emurgo), столкнулся с инцидентом безопасности, в результате которого из примерно 374 адресов было изъято ADA на сумму $2.4 миллиона. Уязвимость заключалась в ошибке в программном обеспечении для генерации кошельков, что является более серьезной проблемой, чем фишинг или ошибка пользователя. SecondFi представил двухнедельный план восстановления, направленный на возврат средств пострадавшим пользователям. Четкий процесс возмещения важен для ограничения репутационного ущерба и восстановления доверия, поскольку инциденты на уровне программного обеспечения кошельков подрывают основы самодостойности. Для экосистемы Cardano этот случай подчеркивает, что безопасность на пользовательском уровне (инфраструктура кошельков) так же важна для общего доверия, как и безопасность протокола. Хотя сама сеть Cardano не была скомпрометирована, подобные инциденты влияют на восприятие экосистемы в целом. Успех восстановления будет оцениваться по фактическому возврату средств и прозрачности процесса.

bitcoinist06/30 03:31

SecondFi представляет двухнедельный план восстановления после взлома кошелька Cardano на $2,4 миллиона

bitcoinist06/30 03:31

活动图片