Недавние инциденты безопасности в DeFi
На этой неделе две платформы децентрализованных финансов, ZKsync и KiloEx, столкнулись с серьезными нарушениями безопасности, которые привели к убыткам более 12 миллионов долларов. ZKsync сообщила 15 апреля, что скомпрометированная учетная запись администратора выпустила незапрашиваемые токены airdrop на сумму 5 миллионов долларов. В то же время KiloEx раскрыла, что хакер украл 7,5 миллионов долларов, воспользовавшись уязвимостью в ценовом оракуле. Команды обеих платформ подчеркнули, что средства пользователей остаются в безопасности и ведутся активные меры по восстановлению.
Обращение KiloEx к хакеру
После нападения на суммарную сумму 7,5 миллионов долларов децентрализованная биржа KiloEx сделала публичное обращение к хакеру, предложив 10% вознаграждение в качестве жеста доброй воли и последнего шанса вернуть украденные средства. Под давлением пользователей и партнеров платформа выдвинула ультиматум: вернуть 90% средств или столкнуться с юридическими последствиями.
«Ответьте сейчас или столкнитесь с последствиями»
Взлом произошел 14 апреля, когда исследователи в области кибербезопасности, включая агентство PeckShield, сообщили о компрометации DEX через уязвимость в ценовом оракуле. Хакер манипулировал смарт-контрактом, отвечающим за определение стоимости цифровых активов, что позволило ему подделать данные о ценах и вывести средства. В результате злоумышленник украл около 3,3 миллиона долларов из сети Base, 3,1 миллиона долларов из opBNB и 1 миллион долларов из Binance Smart Chain, итого 7,5 миллионов долларов.
После появления новостей KiloEx быстро приостановила свои операции и локализовала утечку. Биржа подтвердила, что взлом был изолирован и более не представляет собой текущую угрозу. Тем не менее, финансовый и репутационный ущерб был уже нанесен.
Белые хакеры и их роль
В заявлении от 15 апреля KiloEx объявила о спорном, но становящемся все более распространенным решении в сфере DeFi — предложении белого хакерского вознаграждения. Хакеру предложили 750 000 долларов (10% от украденных средств) в качестве награды за возвращение оставшихся 90%. КiloEx аргументировала это как возможность для злоумышленника «сделать правильный выбор» и помочь сообществу восстановиться после инцидента.
Обращение KiloEx к хакеру также отметило, что они готовы заморозить средства в случае выявления каких-либо движений и будут продолжать внимательно отслеживать их по сетям.
Инцидент ZKsync
Тим временем ZKsync также публиковал обновления о своем инциденте. 15 апреля протокол подтвердил, что хакер использовал скомпрометированную учетную запись администратора для выпуска незапрашиваемых токенов airdrop на 5 миллионов долларов. Хотя средства пользователей не пострадали, утечка затмила активную кампанию распределения токенов ZKsync и вызвала срочные меры по восстановлению со стороны платформы и ее партнеров.
ZKsync работает с Альянсом безопасности (SEAL) для восстановления украденных токенов и расследования объема утечки. Хочется надеяться, что протокол также обеспечит пользователей.
Рынок и восстановление
Инциденты привели к растущему списку крипто-взломов в 2025 году, потери которых составили уже 2 миллиарда долларов всего за первый квартал. Это подчеркивает необходимость в улучшении процедур аудита, управления ключами и защиты административных учетных записей в протоколах DeFi. С увеличением числа airdrop, мостов токенов и платформ стекинга возникает необходимость в надежной безопасности, иначе самые обеспеченные проекты могут оказаться под угрозой.
