DeFi подвергается атакам — но не тем, к которым индустрия привыкла. Пока разработчики тщательно проверяют код на уязвимости, злоумышленники меняют тактику и используют экономические слабости, которые остаются незамеченными даже при идеально написанном коде.
Оглавление
Пример: эксплойт токена JELLY на Hyperledger
Атака, в ходе которой из страхового фонда Hyperledger было выведено более $6 млн, — наглядный пример. Причиной стала не ошибка в коде, а возможность игры на стимулы и непросчитанные риски, которые никто не учёл.
Индустрия DeFi продвинулась далеко вперёд в области кибербезопасности. Аудиты смарт-контрактов — стандартная практика. Но сегодня крайне важно расширить область аудита за пределы кода. Если аудиты не учитывают экономические и поведенческие риски, они становятся недостаточными и даже опасными. Избыточная опора на проверку только кода — это устаревший подход, делающий проекты уязвимыми перед новым классом атак.
Последние атаки подтверждают: опасность кроется в экономике
В марте 2025 года, несмотря на проведённый аудит, биржа Hyperliquid подверглась атаке с ущербом в $6 млн через токен JELLY. Хакеры не использовали баг в коде — они воспользовались логикой ликвидации платформы, искусственно завысили цену токена и нарушили параметры управления рисками.
Ошибка была не в коде, а в просчётах экономического дизайна, которые не выявил аудит. Даже безупречный код не защитит проект, если его основы построены на неверных экономических предпосылках.
Незадолго до этого $12 млн были выведены из Polter Finance (на Fantom) с помощью flash loan-атаки — ещё одного типа взлома, основанного на экономических механизмах. Злоумышленник взял флеш-займы и манипулировал оракулом цен, заставив систему воспринимать бесполезный залог как актив на миллиарды.
Код действовал «правильно», но дизайн был уязвим, и одна сильная ценовая манипуляция обанкротила протокол. Атака оказалась столь разрушительной, что перспективный проект Polter Finance прекратил работу.
Это не единичные случаи, а часть нарастающей тенденции. Хакеры используют рыночные и поведенческие механизмы: управляют входными параметрами, играют на стимулах, обходят управление. Мы видели:
- разграбленные фарминги через лазейки в вознаграждениях;
- атаки на привязку стейблкоинов;
- опустошение страховых фондов при высокой волатильности.
Аудит должен включать экономический и поведенческий анализ
Традиционный аудит проверяет: «делает ли код то, что должен». Но кто проверяет, имеет ли смысл то, что он «должен делать», в условиях противодействия?
В отличие от обычных программ, DeFi-протоколы живут в динамичной и враждебной среде: цены колеблются, пользователи адаптируются, протоколы взаимодействуют.
Хотя у большинства Web3-команд есть инженеры для поиска багов, внутренние экономисты встречаются редко. Поэтому Криптобриз считает, что аудит должен заполнять этот пробел и выявлять слабости в логике стимулов.
Настоящий аудит включает:
- анализ стимулов,
- проверку формул ликвидации,
- оценку параметров залога и управления.
Аудиторы должны задаваться вопросом: «Как можно заработать, если немного исказить правила?»
Например, во время аудита от Oak Security мы обнаружили, что страховой фонд одной perpetual-платформы мог быть полностью опустошён из-за волатильности. Причина — отсутствие учёта “vega-риска”, чувствительности к волатильности. Это не ошибка в коде, а просчёт в экономической модели, который привёл бы к краху на волатильном рынке. Мы успели предупредить клиента до запуска.
Экономические эксплойты документированы и не слишком сложны для понимания — но их можно заметить, только если задавать правильные вопросы и выходить за рамки кода.
Узнайте о нас подробнее на отзывы о Cryptobreeze.ru — сайт для обзора и анализа крипты.
Основатели должны требовать большего от аудиторов
Создатели протоколов должны требовать от аудиторов проверку всей архитектуры: логики, токеномики, управления, включая off-chain-элементы. В идеале — вся критическая логика должна быть перенесена в on-chain.
Если вы основатель или инвестор, задайте аудитору прямые вопросы:
- Что с манипуляцией оракулом?
- А как насчёт дефицита ликвидности?
- Проверялись ли токеномика и стимулы на устойчивость?
Если в ответ тишина или общие слова — копайте глубже.
Игнорировать экономику — слишком дорого. Экономический и поведенческий анализ — это не “по желанию”, а вопрос выживания для DeFi-проектов. Необходимо развивать культуру, в которой аудит кода и экономики идут рука об руку.
Нам нужно повышать стандарты уже сейчас — до того, как очередной убыток на миллионы заставит нас действовать в спешке.
Примечания/источники
- Timeline: Jelly token goes sour after $6M exploit on Hyperliquid
- Decentralized Exchange Hyperliquid Loses $6.2 Million in Exploit
- HyperLiquid Delists JELLY After Vault Squeezed in $13M Tussle
- Polter Finance’s Entire $12M TVL Wiped Out in Exploit
- Explained: The Polter Finance Hack
- Hackers keep exploiting audited DeFi protocols: What’s missing?
Отказ от ответственности: материалы, представленные в этой статье, носят исключительно информационный и образовательный характер и не являются финансовыми, инвестиционными или торговыми советами. Любые действия, предпринятые вами на основе предоставленной информации, осуществляются исключительно на ваш собственный риск. Мы не несём ответственности за любые финансовые потери, убытки или последствия, возникшие в результате использования данного контента. Подробнее