Тому я досить уважно слідкую за новинами про зломи в DeFi, і явно простежується патерн, який важко ігнорувати. Здається, що старі протоколи DeFi, про які всі забули, систематично цілиться, і масштаби стають тривожними.

Truebit лише в четвер зазнав серйозної атаки — мова йде про вкрадені $26 мільйонів через досить просту уразливість переповнення цілого числа у їхньому контракті верифікації. Зловмисник створив величезну кількість токенів TRU, спалив їх і пішов з 8 535 ETH. Ціна миттєво впала до нуля. Що дивно, цей код був уразливим майже п’ять років з моменту запуску. Контракт тоді тримав 44 000 ETH, тож ситуація могла бути набагато гіршою.

Потім Futureswap знову зазнав атаки сьогодні — друга за місяць. Вони втратили ще $400K на додачу до атаки на управління $550K в грудні. Загалом ці інциденти склали приблизно $27 мільйонів, і очевидно, що це не зупиняється.

Цікавою особливістю цього циклу новин про зломи в DeFi є теорія, що інструменти штучного інтелекту допомагають зловмисникам систематично працювати з застарілим, неаудитованим кодом. Один дослідник безпеки зазначив, що боти для фуззінгу «їдять це, як піраньї». Це має сенс — спадкові контракти з періоду 2020-2022 років залишаються без належної уваги до безпеки.

Storming0x, який раніше працював у сфері безпеки в Yearn, досить голосно висловлюється з цього приводу. Вони кажуть, що командам потрібно або повністю закрити ці старі контракти, або пройти повторний аудит. Користувачам зараз варто просто вивести свої кошти з будь-яких застарілих протоколів.

Загалом, ми спостерігаємо за скоординованою переоцінкою забутих інфраструктур DeFi, і це триватиме доти, поки протоколи не почнуть цим займатися серйозно. Проблема безпеки в DeFi сама по собі не зникне.