Хакеры грабят забытые смарт-контракты: за 40 дней украдено 17 миллионов долларов.

Вместо того чтобы атаковать новые, хорошо защищенные протоколы, хакеры все чаще нападают на старые, устаревшие смарт-контракты, о которых все уже забыли. За последние 40 дней (с 7 мая по 15 июня 2026 года) злоумышленники извлекли почти 17 миллионов долларов из контрактов, которые считались устаревшими, но оставались активными в блокчейне и имели реальную экономическую ценность.

__КОРОТКИЙ_ТОКЕН_0__

Это не серия отдельных инцидентов — это явная, набирающая обороты тенденция. Устаревшие контракты продолжают сохранять средства, разрешения, согласования или оперативные полномочия еще долго после того, как команды перестали их поддерживать или контролировать.

Конкретные инциденты за последние 40 дней

Вот пять публично задокументированных случаев, которые составляют эту общую сумму примерно в 17 миллионов долларов:

TrustedVolumes (Ethereum)

Сервис TrustedVolumes, предоставляющий ликвидность и являющийся маркет-мейкером/резолвером, используемый компанией 1inch Fusion, был взломан из-за уязвимости в его пользовательском прокси-сервере для обработки запросов на свопы (RFQ). Злоумышленник обошел границу авторизации и получил доступ к участку кода, который никогда не должен был быть доступен для ненадежного пользователя.

Среди украденных средств были WETH, USDT, WBTC и USDC. Украденные активы впоследствии были отмыты через Tornado Cash и другие миксеры. Компания 1inch уточнила, что ее основной протокол не пострадал.

Huma Finance V1 Pools (Polygon)

Злоумышленники воспользовались логической ошибкой в управлении жизненным циклом кредитов устаревших контрактов V1 BaseCreditPool. Они совершили несанкционированные операции по снятию средств, в результате чего было изъято приблизительно 82 316 USDC + 19 075 USDC.e.

Процесс закрытия пулов уже шел полным ходом. Компания Huma Finance оперативно приостановила действие затронутых контрактов, опубликовала анализ причин сбоя и подтвердила, что ее система V2 на платформе Solana и средства пользователей на текущей платформе не пострадали.

Шкафчик DxSale V1 (сеть BNB)

Крупнейшие потери за этот период. Злоумышленники вывели более 1400 устаревших пулов ликвидности из старого контракта V1 (развернутого в 2021 году).

Уязвимость стала возможной благодаря более ранней передаче прав собственности на контракт хранилища (за 269 дней до этого) в сочетании со злоупотреблением привилегированными функциями — злоумышленник снизил плату за модификацию до 1 wei, сбросил временные метки блокировки и выполнил пакетные снятия средств. Хранилища V2+ оставались в безопасности.

Raydium Legacy AMM V3 (Solana)

Хакеры использовали уязвимость в пяти устаревших пулах ликвидности в старой программе AMM V3 компании Raydium (свернутой в 2021 году). Уязвимость заключалась в недостаточной проверке адресов, используемых для создания токенов LP.

Злоумышленник создал поддельный токен SPL, выпустил фальшивый токен LP и вызвал устаревшую функцию вывода средств для извлечения реальной ликвидности. Компания Raydium подтвердила инцидент и пообещала полностью компенсировать пострадавшим пользователям убытки из своего казначейства. Текущие пулы и пользователи не пострадали.

Aztec Connect (Ethereum)

В течение двух последовательных дней были совершены две отдельные атаки на устаревшие контракты Aztec Connect (срок действия которых истекает в 2023 году). Контракты были неизменяемыми, а административные ключи уже были аннулированы.

Злоумышленники воспользовались уязвимостью в логике проверки доказательств (несоответствие между проверкой доказательств ZK и механизмами расчетов/открытия доступа в блокчейне), в результате чего заблокированная стоимость больше не могла быть приостановлена или улучшена. Компания Aztec Labs не контролировала контракты.

Вот сводная таблица для быстрого ознакомления:

Что должны делать проекты: Надлежащий процесс вывода смарт-контрактов из эксплуатации

Простое отключение интерфейса или объявление о том, что контракт «устарел», недостаточно. Контракт считается по-настоящему выведенным из эксплуатации только тогда, когда полностью исключаются его ценность, права доступа и предположения о доверии.

Вот что должна включать в себя надлежащая процедура выхода на пенсию:

1. Удалите все значения, прежде чем отвлекать внимание. Выведите все токены, позиции ликвидности и вознаграждения. Предоставьте пользователям четкие инструкции по миграции и стимулы. Ни одна система не должна прекращать мониторинг, пока она еще может хранить или перемещать активы пользователей.
2. Отозвать все разрешения и привилегии. Проведите полную инвентаризацию и отмените все разрешения, права собственника, права подписантов, переадресаторов, хранителей, маршрутизаторов и любые административные привилегии. Заявление «Мы больше не используем этот контракт» не означает, что средства больше не могут перемещаться.
3. Внедрите мониторинг любой активности (оповещения о «повторном появлении»). Настройте оповещения о новых депозитах в устаревшие пулы, подтверждениях для старых пользователей, неожиданных изменениях баланса, вызовах неактивных функций и активности через забытые привилегированные пути. Храните устаревшие контракты в программах поиска уязвимостей и мониторинга безопасности.
4. Имейте четкий план действий на случай, если обновление не будет установлено. Если контракт является неизменяемым или от ключей администратора отказались, вы не можете приостановить или обновить его. В таких случаях усильте стимулы для миграции, обеспечьте четкое раскрытие информации о рисках и подготовьте готовый к применению план реагирования на инциденты.

Итоговый вывод

Следующая крупная потеря в DeFi может быть связана не с какой-нибудь новой блестящей функцией. Она может быть вызвана контрактом, который команда разработчиков уже объявила устаревшим, а затем оставила экономически активным в блокчейне.

Команды специалистов по безопасности очень хорошо научились анализировать запуск новых продуктов. Следующая необходимая отраслью дисциплина — это анализ случаев прекращения деятельности.

До тех пор, пока надлежащее аннулирование контрактов не станет стандартной практикой, устаревшие контракты будут оставаться одной из самых простых и привлекательных целей для злоумышленников.