Хаки DeFi упали на 80%, но уязвимости мультичейн становятся новым риском

Децентрализованные финансы стали значительно безопаснее за последние шесть лет. Новый обзор потерь протоколов с 2020 по 2025 год подкрепляет это утверждение конкретными цифрами.

Общеотраслевые потери DeFi достигли пика в 2,62 млрд $ в 2022 году и снизились примерно на 80% до 534 млн $ к 2024 году. Взломы мостов, которые когда-то попадали в заголовки новостей с миллиардными суммами, теперь составляют лишь незначительную долю годовых потерь. Типичный эксплойт сегодня наносит примерно в четыре раза меньше ущерба, чем на пике.

Потери снизились, несмотря на рост числа чейнов и пользователей

Обнадёживающая часть данных состоит в том, что дешёвые и повторяемые атаки в основном устранены. Общие потери сократились на 80% за два года, даже несмотря на то, что TVL DeFi продолжал расти. Медианный убыток на инцидент снизился с 6 млн $ в 2022 году до 1,5 млн $ в 2025 году — снижение на 75%.

Количество уникальных инцидентов выросло до 83 в 2025 году. Взломов происходит больше, но каждый из них наносит значительно меньший ущерб. Именно так и должна выглядеть зрелеющая область безопасности.

Мосты были ключевой уязвимостью в 2021 и 2022 годах. Только в том втором году девять эксплойтов мостов привели к потерям на 1,9 млрд $. Ronin Bridge обеспечил потерю на 624 млн $ в одиночку. Взломы мостов составили 73% всех потерь DeFi в тот год. К 2025 году доля мостов сократилась до 3%. Улучшенные механизмы верификации, децентрализованные наборы валидаторов и переход к нативному кросс-чейн обмену сообщениями помогли сократить эту категорию.

Атаки с флеш-кредитами последовали тем же путём вниз. В 2020 году они составляли 54% всех потерь. К 2025 году их доля составила менее 1%. Протоколы приняли защиты, адаптированные к этой атаке: средневзвешенные по времени цены, интеграции оракулов Chainlink, защита от повторного входа и конструкции, предполагающие, что злоумышленник может манипулировать ценами в рамках одной атомарной транзакции.

Компрометация приватных ключей претерпела аналогичное снижение. Она упала с 28,7% потерь в 2022 году до 8,1% в 2025 году. Каждая из этих категорий сократилась, потому что отрасль распознала повторяющуюся закономерность и выработала стандартизированные ответы.

То, что осталось, защитить сложнее

Устранение общих атак оставило за собой гораздо более сложную категорию. В 2025 году 89,1% потерь DeFi пришлось на эксплойты логики протокола. Это уязвимости на уровне кода, специфичные для того, как было разработано конкретное приложение. Взлом моста предполагает распознаваемые допущения о доверии. Атака с флеш-кредитом является частью известного семейства техник. Обе могут быть защищены с помощью многократно используемых паттернов.

Ошибка логики протокола по своей природе уникальна. Она возникает из конкретной математики, контроля доступа или выборов компонуемости единственной кодовой базы. Против неё сложно защищаться систематически, потому что каждый случай — это своя головоломка.

Мультичейн-развёртывание превращает ошибки в кризисы

Мультичейн-развёртывание превращает одну из таких уникальных ошибок в полноценный кризис. Крупные протоколы часто развёртывают один и тот же код в сетях Ethereum, Base, Arbitrum, Polygon, OP Mainnet и Sonic. Единственная уязвимость может одновременно опустошить средства во всех работающих сетях.

Мы наблюдали это в ноябре 2024 года, когда из V2 Composable Stable Pools Balancer было выведено около 128 млн $ менее чем за полчаса одновременно в шести блокчейнах. По данным Check Point Research, злоумышленник использовал уязвимость арифметической точности в инвариантной математике пулов. Он подтолкнул балансы токенов к границе округления, а затем выстроил цепочку пакетных свопов до тех пор, пока эти крошечные ошибки не накопились в полное опустошение.

Контракты с той же уязвимостью были развёрнуты в Ethereum, Arbitrum, Base, Polygon, Sonic и OP Mainnet. Эксплойт охватил все из них сразу, потому что уязвимость была встроена в сам код, а этот код был скопирован повсюду. Одиннадцать отдельных аудитов не смогли её обнаружить.

Отчёт ImmuneFi проводит прямую линию от эксплойта Poly Network примерно на 611 млн $ в 2021 году к Balancer в 2025 году. Poly Network — это сбой в точке соединения между системами. Balancer — это та же логика, одинаково отказывающая в сетях, которые совместно используют код, пути подписантов и допущения верификации.

Измерение безопасности изменилось

Как только чейн становится частью карты развёртывания по умолчанию для крупных протоколов, он поглощает поверхность риска всего, что размещает. Отчёт приписывает полный убыток от мультичейн-эксплойта каждой пострадавшей цепи. Участники всех шести сетей были подвержены полному воздействию.

Показатели взломов 2025 года для Polygon, OP Mainnet, Base и Sonic находятся под сильным влиянием каскада Balancer. Отчёт полностью исключает сбои централизованных бирж. Крупнейшая единовременная кража года — взлом Bybit на 1,5 млрд $, который ФБР приписало Северной Корее, — считается сбоем хранения, а не протокола.

По соотношению потерь к TVL самым безопасным уровнем среди крупных экосистем был Ethereum — около 0,42%, Solana — 0,42% и BNB Chain — 0,33%. Эти три крупнейшие экосистемы DeFi свидетельствуют о том, что масштаб и безопасность улучшались вместе.

Теперь убыток может произойти в приложении, которое несёт уязвимость, импортированную извне. Удобство, делающее мультичейн-приложения привлекательными, — это то, что превращает эту ошибку из локальной в общую. Крипто создала отдельные чейны отчасти для того, чтобы избежать зависимости от какой-либо единой системы. Запуск одного и того же набора популярных протоколов во всех из них воссоздал концентрацию, от которой эти чейны были призваны уйти.

Следующий крупный инцидент может выглядеть незначительным в день своего появления — единственная логическая ошибка в широко развёрнутом протоколе. Его истинный масштаб раскроется лишь тогда, когда люди осознают, что один и тот же уязвимый код всё это время находился в полудюжине сетей.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.