Хакерські атаки на DeFi скоротилися на 80%, але вразливості мультичейн стають новим ризиком

Децентралізовані фінанси стали значно безпечнішими за останні шість років. Новий огляд втрат протоколів з 2020 по 2025 рік підкріплює це твердження конкретними цифрами.

Загальногалузеві втрати DeFi досягли піку в 2,62 мільярда доларів у 2022 році та знизилися приблизно на 80% — до 534 мільйонів доларів — до 2024 року. Злами мостів, що колись потрапляли на перші шпальти як мільярдні втрати, тепер становлять лише незначну частку річних показників. Типовий експлойт сьогодні завдає приблизно вчетверо менше шкоди, ніж на піку.

Втрати знизилися, незважаючи на зростання кількості мереж і користувачів

Втішна частина даних полягає в тому, що дешеві та повторювані атаки здебільшого були усунуті завдяки технічним вдосконаленням. Загальні втрати скоротилися на 80% за два роки, навіть попри те, що TVL DeFi продовжував зростати. Медіана втрат на інцидент знизилася з 6 мільйонів доларів у 2022 році до 1,5 мільйона доларів у 2025 році — падіння на 75%.

Кількість унікальних інцидентів зросла до 83 у 2025 році. Зломів стає більше, але кожен з них завдає значно менше шкоди. Це приблизно те, як має виглядати зрілий ринок кібербезпеки.

Мости були визначальною вразливістю у 2021 та 2022 роках. Лише в другому році дев'ять експлойтів мостів призвели до втрат на 1,9 мільярда доларів. Злам Ronin Bridge сам по собі становив 624 мільйони доларів збитків. Злами мостів склали 73% усіх втрат DeFi того року. До 2025 року частка мостів скоротилася до 3%. Покращені механізми верифікації, децентралізовані набори валідаторів і перехід до нативного кросчейн-обміну повідомленнями допомогли скоротити цю категорію.

Атаки з використанням флеш-кредитів пішли тим самим шляхом. У 2020 році вони становили 54% усіх втрат. До 2025 року їх частка скоротилася до менш ніж 1%. Протоколи впровадили захисні механізми, адаптовані до цього типу атак: ціни зважені за часом, інтеграції оракулів Chainlink, захист від реентрабельності та дизайни, які враховують можливість зловмисника маніпулювати цінами в рамках однієї атомарної транзакції.

Компрометація приватних ключів зазнала аналогічного зниження. Їх частка впала з 28,7% втрат у 2022 році до 8,1% у 2025 році. Кожна з цих категорій скоротилася, оскільки галузь розпізнала повторюваний патерн і виробила стандартизовані відповіді.

Те, що залишилося, захистити набагато складніше

Усунення типових атак залишило набагато складнішу категорію. У 2025 році 89,1% втрат DeFi походили від експлойтів логіки протоколів. Це вразливості на рівні коду, специфічні для того, як розроблено конкретний застосунок. Злам моста передбачає впізнавані припущення щодо довіри. Атака з флеш-кредитом належить до відомого сімейства технік. Обидві можна захистити за допомогою повторно використовуваних патернів.

Помилка в логіці протоколу є унікальною за своєю природою. Вона виникає з конкретної математики, засобів контролю доступу або рішень щодо компонованості окремої кодової бази. Захищатися від неї систематично важко, оскільки кожен випадок є власною головоломкою.

Мультичейн-розгортання перетворює помилки на кризи

Мультичейн-розгортання перетворює одну з таких унікальних помилок на повноцінну кризу. Великі протоколи часто розгортають однаковий код у мережах Ethereum, Base, Arbitrum, Polygon, OP Mainnet і Sonic. Одна вразливість може спустошити кошти в кожній мережі, що її використовує, одночасно.

Ми спостерігали це в листопаді 2024 року, коли пули V2 Composable Stable Pools платформи Balancer були спустошені приблизно на 128 мільйонів доларів менш ніж за пів години одночасно на шести блокчейнах. За даними Check Point Research, зловмисник скористався вразливістю арифметичної точності в інваріантній математиці пулів. Він підштовхував баланси токенів до межі округлення, а потім поєднував пакетні свопи, поки ці крихітні помилки не накопичилися до повного спустошення.

Контракти з тією самою вразливістю були розгорнуті на Ethereum, Arbitrum, Base, Polygon, Sonic і OP Mainnet. Експлойт охопив їх усі одночасно, оскільки вразливість була вбудована в сам код, а цей код був скопійований скрізь. Одинадцять окремих аудитів не змогли її виявити.

Звіт ImmuneFi проводить пряму паралель між експлойтом Poly Network приблизно на 611 мільйонів доларів у 2021 році та Balancer у 2025 році. Poly Network — це збій у точці з'єднання між системами. Balancer — це та сама логіка, що однаково дала збій у мережах, які спільно використовують код, шляхи підписантів і припущення щодо верифікації.

Вимірювання безпеки змінилося

Щойно мережа стає частиною стандартної карти розгортання для великих протоколів, вона поглинає поверхню ризику всього, що в ній розміщено. Звіт відносить повні втрати від мультичейн-експлойту до кожної постраждалої мережі. Учасники в усіх шести мережах зазнали повного впливу.

Показники зломів за 2025 рік для Polygon, OP Mainnet, Base і Sonic значною мірою зумовлені каскадом Balancer. Звіт повністю виключає збої централізованих бірж. Найбільша одиночна крадіжка року — злам Bybit на 1,5 мільярда доларів, який ФБР приписало Північній Кореї, — вважається збоєм зберігання, а не збоєм протоколу.

За показником втрат до TVL, найбезпечнішим рівнем серед великих екосистем виявився Ethereum — близько 0,42%, Solana — 0,42% і BNB Chain — 0,33%. Ці три найбільші екосистеми DeFi свідчать про те, що масштаб і безпека вдосконалювалися разом.

Тепер втрата може статися в застосунку, що містить вразливість, імпортовану з іншого місця. Зручність, яка робить мультичейн-застосунки привабливими, саме вона й перетворює цю помилку з локальної на спільну. Крипто запустило окремі мережі частково для того, щоб уникнути залежності від будь-якої єдиної системи. Запуск однаковых кількох популярних протоколів у всіх них відтворив концентрацію, від якої ці мережі мали позбутися.

Наступний великий інцидент може здатися незначним у день, коли він станеться — одна логічна помилка у широко розгорнутому протоколі. Його справжній масштаб розкриється лише тоді, коли люди усвідомлять, що той самий вразливий код весь цей час знаходився в кількох десятках мереж.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.