DeFi подвергается атакам — но не тем, к которым индустрия привыкла. Пока разработчики тщательно проверяют код на уязвимости, злоумышленники меняют тактику и используют экономические слабости, которые остаются незамеченными даже при идеально написанном коде.
Пример: эксплойт токена JELLY на Hyperledger
Атака, в ходе которой из страхового фонда Hyperledger было выведено более $6 млн, — наглядный пример. Причиной стала не ошибка в коде, а возможность игры на стимулы и непросчитанные риски, которые никто не учёл.
Индустрия DeFi продвинулась далеко вперёд в области кибербезопасности. Аудиты смарт-контрактов — стандартная практика. Но сегодня крайне важно расширить область аудита за пределы кода. Если аудиты не учитывают экономические и поведенческие риски, они становятся недостаточными и даже опасными. Избыточная опора на проверку только кода — это устаревший подход, делающий проекты уязвимыми перед новым классом атак.
Последние атаки подтверждают: опасность кроется в экономике
В марте 2025 года, несмотря на проведённый аудит, биржа Hyperliquid подверглась атаке с ущербом в $6 млн через токен JELLY. Хакеры не использовали баг в коде — они воспользовались логикой ликвидации платформы, искусственно завысили цену токена и нарушили параметры управления рисками.
Ошибка была не в коде, а в просчётах экономического дизайна, которые не выявил аудит. Даже безупречный код не защитит проект, если его основы построены на неверных экономических предпосылках.
Незадолго до этого $12 млн были выведены из Polter Finance (на Fantom) с помощью flash loan-атаки — ещё одного типа взлома, основанного на экономических механизмах. Злоумышленник взял флеш-займы и манипулировал оракулом цен, заставив систему воспринимать бесполезный залог как актив на миллиарды.
Код действовал «правильно», но дизайн был уязвим, и одна сильная ценовая манипуляция обанкротила протокол. Атака оказалась столь разрушительной, что перспективный проект Polter Finance прекратил работу.
Это не единичные случаи, а часть нарастающей тенденции. Хакеры используют рыночные и поведенческие механизмы: управляют входными параметрами, играют на стимулах, обходят управление. Мы видели:
- разграбленные фарминги через лазейки в вознаграждениях;
- атаки на привязку стейблкоинов;
- опустошение страховых фондов при высокой волатильности.
Аудит должен включать экономический и поведенческий анализ
Традиционный аудит проверяет: «делает ли код то, что должен». Но кто проверяет, имеет ли смысл то, что он «должен делать», в условиях противодействия?
В отличие от обычных программ, DeFi-протоколы живут в динамичной и враждебной среде: цены колеблются, пользователи адаптируются, протоколы взаимодействуют.
Хотя у большинства Web3-команд есть инженеры для поиска багов, внутренние экономисты встречаются редко. Поэтому Криптобриз считает, что аудит должен заполнять этот пробел и выявлять слабости в логике стимулов.
Настоящий аудит включает:
- анализ стимулов,
- проверку формул ликвидации,
- оценку параметров залога и управления.
Аудиторы должны задаваться вопросом: «Как можно заработать, если немного исказить правила?»
Например, во время аудита от Oak Security мы обнаружили, что страховой фонд одной perpetual-платформы мог быть полностью опустошён из-за волатильности. Причина — отсутствие учёта “vega-риска”, чувствительности к волатильности. Это не ошибка в коде, а просчёт в экономической модели, который привёл бы к краху на волатильном рынке. Мы успели предупредить клиента до запуска.
Экономические эксплойты документированы и не слишком сложны для понимания — но их можно заметить, только если задавать правильные вопросы и выходить за рамки кода.
Узнайте о нас подробнее на отзывы о Cryptobreeze.ru — сайт для обзора и анализа крипты.
Основатели должны требовать большего от аудиторов
Создатели протоколов должны требовать от аудиторов проверку всей архитектуры: логики, токеномики, управления, включая off-chain-элементы. В идеале — вся критическая логика должна быть перенесена в on-chain.
Если вы основатель или инвестор, задайте аудитору прямые вопросы:
- Что с манипуляцией оракулом?
- А как насчёт дефицита ликвидности?
- Проверялись ли токеномика и стимулы на устойчивость?
Если в ответ тишина или общие слова — копайте глубже.
Игнорировать экономику — слишком дорого. Экономический и поведенческий анализ — это не “по желанию”, а вопрос выживания для DeFi-проектов. Необходимо развивать культуру, в которой аудит кода и экономики идут рука об руку.
Нам нужно повышать стандарты уже сейчас — до того, как очередной убыток на миллионы заставит нас действовать в спешке.
Примечания/источники
- Timeline: Jelly token goes sour after $6M exploit on Hyperliquid
- Decentralized Exchange Hyperliquid Loses $6.2 Million in Exploit
- HyperLiquid Delists JELLY After Vault Squeezed in $13M Tussle
- Polter Finance’s Entire $12M TVL Wiped Out in Exploit
- Explained: The Polter Finance Hack
- Hackers keep exploiting audited DeFi protocols: What’s missing?