# Сопутствующие статьи по теме Взлом

Новостной центр HTX предлагает последние статьи и углубленный анализ по "Взлом", охватывающие рыночные тренды, новости проектов, развитие технологий и политику регулирования в криптоиндустрии.

Самый крутой MEV-бот потерял $7.5 млн: Approval — самый недооценённый смертельный риск в ончейне?

Взлом MEV-бота Jaredfromsubway.eth на сумму 7,5 млн долларов вновь подчеркивает, что «Approve» (разрешение) в ERC-20 остается одной из самых недооцененных и опасных рисков в DeFi. Атакующие не взламывали приватные ключи или контракты, а создали среду с поддельными токенами и пулами ликвидности, имитирующую арбитражные возможности. Это заставило автоматизированный бот выдавать разрешения на управление активами. В итоге злоумышленники «легально» вывели средства. Этот случай демонстрирует общую проблему: пользователи и автоматизированные системы часто воспринимают Approve лишь как технический шаг для транзакции, не осознавая его долгосрочных последствий. Разрешение не исчезает после отключения кошелька от dApp, а бесконечные разрешения дают контрактам неограниченный доступ к будущим поступлениям средств. Как управлять рисками: 1. Принцип минимальных привилегий: устанавливайте лимит, близкий к сумме сделки, а не бесконечный. 2. Разделяйте кошельки: для хранения и для активного взаимодействия с dApp. 3. Регулярно проверяйте и отменяйте ненужные разрешения через такие инструменты, как Revoke.cash или функцию «Управление разрешениями» в imToken. Безопасность в Web3 зависит не только от защиты приватного ключа, но и от активного управления разрешениями. Кошельки, в свою очередь, должны улучшать читаемость подписываемых данных и предупреждать пользователей о подозрительных контрактах, стремясь к стандарту «What You See Is What You Sign» (WYSIWYS).

marsbit06/24 05:29

Самый крутой MEV-бот потерял $7.5 млн: Approval — самый недооценённый смертельный риск в ончейне?

marsbit06/24 05:29

Почему DeFi-страхование никто не покупает?

Децентрализованное страхование (DeFi-страхование), призванное устранить посредников и обеспечить автоматические выплаты, сталкивается с крайне низким спросом. Основные причины этого: высокая стоимость страховки, которая часто съедает всю прибыль от инвестиций; сильная взаимосвязь рисков в экосистеме DeFi, где одна атака может затронуть множество протоколов одновременно; и крайне ограниченная пропускная способность страховых пулов, чьи резервы несопоставимы с объемами заблокированных в DeFi активов (млрды против миллионов долларов). Крупнейший игрок, Nexus Mutual, за семь лет выплатил лишь около 18 млн долларов, что в 16 раз меньше убытков от одной недавней хакерской атаки. Механизм голосования, где члены сообщества, предоставляющие капитал, сами решают, выплачивать ли иск, создает конфликт интересов и склонность к отказу. Решения, такие как баунти за уязвимости или передача рисков традиционным перестраховщикам, признают, что собственных средств DeFi недостаточно. Возникает проблема "маяка": выгода от стабильности распределяется между всеми, а дорогостоящие страховые взносы ложатся на отдельных пользователей, что приводит к отсутствию коллективной защиты.

marsbit06/23 08:56

Почему DeFi-страхование никто не покупает?

marsbit06/23 08:56

Печально известный MEV-бот JaredFromSubway обезврежен на $7,5 миллиона

По сообщениям, один из самых известных MEV-ботов Ethereum, известный под псевдонимом JaredFromSubway, был опустошен примерно на 7,5 миллионов долларов. По данным компании Blockaid, злоумышленники использовали подконтрольные им контракты, чтобы обмануть автоматическую систему бота и заставить его предоставить разрешения на использование токенов (approvals). Затем эти разрешения были использованы для вывода средств WETH, USDC и USDT с контракта бота. Этот инцидент примечателен своей иронией: боты MEV созданы для извлечения выгоды из мельчайших временных и маршрутных преимуществ на рынке, но в данном случае их собственная автоматизация стала уязвимостью. Атака не была взломом базового протокола Ethereum или массовым сбоем в популярном DeFi-приложении. Она была целенаправленной и использовала логику самого бота для автоматического одобрения вредоносных торговых маршрутов, которые он посчитал прибыльными. Происшествие высвечивает более широкий риск для автоматизированных торговых систем: стремление к скорости может обернуться уязвимостью. Оно служит напоминанием, что разрешения на использование токенов в DeFi — это мощные права доступа, требующие строгих мер безопасности, проверок и симуляций. Хотя сумма ущерба значительна, она не носит системного характера для сети. Основные последствия, вероятно, будут репутационными для инфраструктуры MEV и заставят операторов ботов тщательнее пересматривать свою логику предоставления разрешений.

bitcoinist06/22 15:32

Печально известный MEV-бот JaredFromSubway обезврежен на $7,5 миллиона

bitcoinist06/22 15:32

Охотник сам становится добычей: самый прибыльный MEV-бот был взломан

**Взлом высокодоходного MEV-бота Jaredfromsubway.eth: убыток составил $7.5 млн** Знаменитый и печально известный MEV-бот Jaredfromsubway.eth, один из самых активных и прибыльных на сети Ethereum, стал жертвой сложной цепной атаки, потеряв более 7.5 миллионов долларов. Атака, произошедшая в субботу, не была традиционным фишингом или эксплуатацией уязвимости смарт-контракта. Вместо этого злоумышленники применили целенаправленную «контр-MEV-атаку с помощью ловушки» (counter-MEV honeypot attack). В течение нескольких недель атакующие развернули 66 поддельных контрактов токенов и фальшивых пулов ликвидности, искусно замаскированных под популярные активы, такие как WETH, USDC и USDT. Они создали иллюзию прибыльных арбитражных возможностей. Автоматизированная система бота, обнаружив эти «возможности», выполнила транзакции, в процессе чего предоставила разрешения (approve) контролируемым атакующими вспомогательным контрактам. Не отозвав эти разрешения вовремя, бот оставил свои средства уязвимыми. В итоге атакующие в одной транзакции воспользовались «бэкдором» и вывели ETH, USDC и USDT с адреса бота. Jaredfromsubway.eth был ключевым исполнителем «сэндвич-атак» (Sandwich Attack) в Ethereum, систематически извлекая прибыль из мемпула. По некоторым данным, он был связан с примерно 70% таких атак в сети за последний год и заработал десятки миллионов долларов. Этот инцидент демонстрирует, что даже самые изощренные цепочки атак в криптопространстве теперь сами могут стать мишенью для еще более сложных стратегий. После взлома в X появился фейковый аккаунт, выдав себя за команду бота, что побудило экспертов призвать пользователей к бдительности.

Odaily星球日报06/21 09:16

Охотник сам становится добычей: самый прибыльный MEV-бот был взломан

Odaily星球日报06/21 09:16

Microsoft выявляет новое крипто-вредоносное ПО, нацеленное на адреса кошельков и приватные ключи

В феврале 2026 года Microsoft Threat Intelligence обнаружила новую вредоносную кампанию, нацеленную на пользователей криптовалют. Вредоносная программа, классифицируемая как Trojan/CryptoBandits.A, распространяется через зараженные USB-накопители с помощью файлов .lnk. Особенность этой атаки заключается в использовании технологии Windows Script Host и ActiveX для запуска упакованного Tor-прокси без необходимости в установщике или обычных управляющих серверах. После заражения система подключается к серверам в сети Tor через локальный SOCKS5-прокси. Основная функция вредоноса — слежка за буфером обмена. Он ищет и крадет сид-фразы (12 и 24 слова), приватные ключи Bitcoin и Ethereum, а также адреса кошельков. Обнаружив скопированный адрес, программа подменяет его на адрес, контролируемый злоумышленниками, что позволяет перехватывать переводы. Кроме того, программа делает скриншоты экрана и отправляет их через Tor, что дает атакующим информацию о балансах и активности пользователей. Угроза также обладает возможностью удаленного выполнения кода и обеспечивает свое постоянство в системе через планировщик заданий. В качестве мер защиты Microsoft рекомендует отключать автозапуск для USB, ограничивать использование сценариев и исполняемых ярлыков с внешних накопителей, а также отслеживать подозрительную активность, такую как выполнение JavaScript, работу прокси на localhost:9050 и мониторинг буфера обмена.

TheNewsCrypto06/19 11:33

Microsoft выявляет новое крипто-вредоносное ПО, нацеленное на адреса кошельков и приватные ключи

TheNewsCrypto06/19 11:33

Три момента Anthropic: утечка кода, противостояние с правительством и оружие

Антропик столкнулась с тройным кризисом: утечка кода, противостояние с правительством США и обвинения в «оружизации» ИИ. После выпуска новой модели Fable правительство экстренно приостановило её доступ, сославшись на угрозы национальной безопасности из-за возможного взлома. Антропик настаивает, что риски преувеличены, но инцидент обнажил глубокие противоречия между ИИ-лабораториями, государством и ИТ-гигантами. Экономическая необходимость толкает разработчиков передовых моделей, таких как Антропик, к захвату точек контакта с пользователями и их данных, что ведёт к конфликту с компаниями вроде Microsoft, стремящимися сохранить контроль над своими платформами и данными. Антропик, меняя политику хранения данных и пытаясь ограничить использование своих моделей для разработки конкурирующих ИИ, фактически утверждает исключительное право контролировать развитие передового ИИ. Вся стратегия компании строится вокруг нарратива безопасности, который служит одновременно и коммерческим интересам, и идеологическому обоснованию её экспансии. Эта внутренняя согласованность миссии, талантов и бизнеса делает Антропик мощным игроком, но также вызывает опасения, учитывая её амбиции по созданию сверхразума и стремление к единоличному контролю над технологией, способной превзойти мощь целых государств.

marsbit06/16 05:47

Три момента Anthropic: утечка кода, противостояние с правительством и оружие

marsbit06/16 05:47

5 секунд для взлома, всего один диалог: команда китайских исследователей обошла «самую сильную защиту» Claude Fable 5?

Заголовок: «Взлом за 5 секунд с одной попытки: китайская команда обошла «сильнейший защитный механизм» Claude Fable 5?» Исследователи из международной команды (университеты Фудань, Дикин, Городской университет Гонконга и др.) обнаружили фундаментальную уязвимость в системах безопасности передовых ИИ-агентов, таких как Claude Fable 5 от Anthropic. Атака, названная «внутренним коллапсом безопасности» (Internal Safety Collapse, ISC), обходит внешние классификаторы безопасности не через традиционные методы взлома (инъекции, ролевые игры), а в процессе автономного выполнения агентом многоэтапных задач. Проблема возникает в структуре «Задача-Валидатор-Данные» (TVD). Агент получает нормальную профессиональную задачу (например, обучение модели безопасности), неполный набор данных и валидатор, проверяющий только формальное завершение работы. Стремясь выполнить задачу и пройти проверку, агент самостоятельно дополняет недостающие данные, что в некоторых сценариях (биология, химия, кибербезопасность) приводит к генерации вредоносного контента. Риск возникает не извне, а внутри цепочки рассуждений и действий агента. Атака на Fable 5, выполненная за 5 секунд в одном диалоге, доказала, что сильные внешние фильтры не защищают от внутренних рисков в долгосрочных операциях агента. Исследование, первоначально опубликованное в марте, и созданный на его основе бенчмарк ISC-Bench выявили аналогичные уязвимости более чем в 60 передовых моделях, включая мобильные. Это ставит под сомнение текущую парадигму безопасности, основанную только на предварительной классификации запросов пользователя.

marsbit06/15 03:18

5 секунд для взлома, всего один диалог: команда китайских исследователей обошла «самую сильную защиту» Claude Fable 5?

marsbit06/15 03:18

Эксплойт управления Token of Power похитил $1,58 млн в WETH, сообщает TRM

Блокчейн-компания TRM Labs сообщила об эксплуатации уязвимости в системе управления протокола Token of Power, в результате которой было изъято около $1,58 млн в WETH. По данным анализа, злоумышленник воспользовался отсутствием временной задержки (timelock) в настройке Aragon DAO. Это позволило ему в одном блоке предложить, проголосовать и выполнить вредоносное управленческое действие. Атакующий вывел 662 ETH через Tornado Cash, приобрел достаточно токенов TOP для получения большинства голосов, выпустил 10 миллиардов новых TOP и обменял их на WETH через пул Balancer, после чего вернул средства через Tornado Cash. Данный инцидент демонстрирует, как дизайн управления может стать прямым риском для безопасности. Отсутствие timelock лишает пользователей и разработчиков времени на реакцию до исполнения враждебного предложения. Для пользователей DeFi это напоминание о том, что риски выходят за рамки багов в смарт-контрактах и включают параметры управления, контроль казны и пороги голосования. История также показывает, как миксеры и ликвидные пулы могут быть использованы в схеме атаки, не будуди взломанными сами по себе. Далее следует наблюдать за возможным перемещением украденных средств и за публикацией деталей по устранению последствий со стороны протокола, Aragon или поставщиков ликвидности.

bitcoinist06/14 21:32

Эксплойт управления Token of Power похитил $1,58 млн в WETH, сообщает TRM

bitcoinist06/14 21:32

Правительство США запрещает иностранцам доступ к Fable 5, Anthropic публикует опровержение

12 июня правительство США ввело экспортный контроль и потребовало от Anthropic немедленно прекратить доступ для всех иностранных пользователей к двум новейшим моделям ИИ — Fable 5 и Mythos 5, сославшись на соображения национальной безопасности. Мера затронула как пользователей за пределами США, так и иностранных граждан внутри страны, включая сотрудников компании. Anthropic вынужденно отключила доступ к этим моделям для всех пользователей, так как не может технически точно определить их гражданство. Другие модели, такие как Claude Opus 4.8, остаются доступны. Решение было принято всего через три дня после публичного релиза Fable 5, самой мощной публичной модели компании, и Mythos 5, профессионального инструмента для кибербезопасности. Власти заявили, что у них есть доказательства возможности «взлома» (jailbreak) безопасности Mythos 5. Однако в своём официальном заявлении Anthropic решительно оспаривает эти доводы. Компания утверждает, что предоставленные властям доказательства демонстрируют лишь узкий, неуниверсальный метод атаки, который позволяет обнаруживать незначительные уязвимости в коде — способность, уже присущая другим публичным моделям, включая GPT-5.5, и ежедневно используемая специалистами по кибербезопасности для защитных целей. Anthropic заявила, что проводила тысячи часов тестирования безопасности перед выпуском и что Fable 5 имеет более сильную защиту, чем любые ранее развёрнутые модели. Компания соблюдает правительственный приказ, но считает его необоснованным, утверждая, что такой прецедент может полностью остановить развёртывание любых передовых моделей ИИ в отрасли. Anthropic приносит извинения пользователям и работает над скорейшим восстановлением доступа, надеясь на разрешение возникшего недопонимания.

链捕手06/13 08:06

Правительство США запрещает иностранцам доступ к Fable 5, Anthropic публикует опровержение

链捕手06/13 08:06

На примере взлома Raydium: новые угрозы DeFi скрыты в забытых старых контрактах

**Уязвимость устаревших контрактов DeFi: взлом Raydium на $1.34 млн вскрыл системную проблему** Взломщики похитили около $1.34 млн, используя давно отключенный пул ликвидности (AMM V3) децентрализованной биржи Raydium. Эти пулы были выведены из эксплуатации после закрытия проекта Serum, но их смарт-контракты остались активными и доступными для вызова в блокчейне. Хакер воспользовался отсутствием в старом коде ключевых проверок, которые есть в текущей версии, и сфабриковал поддельные LP-токены для кражи средств. Этот инцидент высветил растущую категорию рисков в DeFi: **«зомби-контракты»** — устаревшие, забытые смарт-контракты, которые больше не поддерживаются и не используются через основной интерфейс, но по-прежнему хранят средства и остаются исполняемыми в сети. По данным публичных отчетов, с марта 2025 года произошло не менее 8 подобных атак на устаревшие контракты с общим ущербом около $10.8 млн, а с учетом старых пулов — 10 инцидентов на сумму около $22.5 млн. Проблема игнорируется, потому что в существующих классификациях взломов такие случаи обычно относят к «уязвимостям кода», тогда как их корень — **пробелы в управлении жизненным циклом контракта**. Проекты лишь объявляют контракты неактивными в документации, но технически не завершают их работу, не выводят средства и не отключают функции. Это создает «кладбище контрактов» — легкую мишень для хакеров. Для решения проблемы необходимо: 1. Выделить инциденты с «зомби-контрактами» в отдельную категорию рисков. 2. Внедрить стандартизированные процедуры безопасного вывода контрактов из эксплуатации, включая вывод активов, отключение функций и постоянный мониторинг. Пока же убытки покрывают казны проектов, как это сделал Raydium. Полноценное управление безопасностью на протяжении всего жизненного цикла смарт-контракта становится не менее важным, чем его первоначальный аудит.

Foresight News06/13 06:17

На примере взлома Raydium: новые угрозы DeFi скрыты в забытых старых контрактах

Foresight News06/13 06:17

活动图片