Ошибки конфигурации затмевают уязвимости кода
Злоумышленник вносит 8 USDC в качестве залога и уходит с 187 ETH — примерно $ 390 000. Смарт-контракты работали именно так, как было задумано. Оракул выполнил свою работу. Но кто-то подключил ценовой фид Chainlink BTC / USD в слот, предназначенный для USDC. Эта единственная строка конфигурации превратила функционирующий протокол кредитования в автомат по раздаче бесплатных денег.
Добро пожаловать на новую передовую безопасности DeFi, где самые смертоносные уязвимости не прячутся в байт-коде Solidity — они находятся в панелях администратора, скриптах развертывания и файлах параметров.
$ 13 миллионов исчезли за семь дней
В период с 23 февраля по 1 марта 2026 года семь инцидентов в сфере безопасности блокчейна привели к потере примерно $ 13 миллионов в протоколах различных сетей. Что сделало эту конкретную неделю примечательной, так это не сумма в долларах — только в январе 2026 года было потеряно $ 86 миллионов — а первопричины. Большинство потерь было вызвано ошибками конфигурации, а не новыми эксплойтами кода.
Еженедельный обзор BlockSec обрисовал четкую картину: недостатки в проектировании и конфигурации оракулов, ошибки в криптографической верификации и операционные недочеты составили основную часть ущерба.
YieldBlox DAO: $ 10,2 миллиона из-за одной цепочки оракула
Самый крупный инцидент начался 22 февраля, когда злоумышленник атаковал кредитный пул под управлением YieldBlox DAO на протоколе Blend V2 сети Stellar. Смарт-контракты, лежащие в основе, были надежными. В кодовой базе Blend V2 не было уязвимых багов.
Вместо этого злоумышленник обнаружил, что YieldBlox DAO настроила свой оракул Reflector на прием цен USTRY / USDC с децентрализованной биржи Stellar (SDEX) — рынка, ликвидность которого была достаточно низкой для манипуляций. Одной сделкой злоумышленник поднял цену USTRY с примерно $ 1,05 до более чем $ 100, а затем использовал переоцененный USTRY в качестве залога, чтобы занять 61 миллион XLM и 1 миллион USDC — всего более $ 10,2 миллиона.
Валидаторы Stellar заморозили 48 миллионов XLM ($ 7,5 миллионов) на адресах, контролируемых хакером, но ущерб уже был нанесен. Урок был предельно прост: зависимость цены в протоколах кредитования должна тщательно выбираться и контролироваться. Никакой аудит кода Blend V2 не выявил бы этого, потому что проблема никогда не заключалась в коде.
Ploutos Protocol: Не тот фид, не та сеть, не то всё
Четыре дня спустя протокол Ploutos на Ethereum потерял $ 390 000 из-за того, что охранная фирма BlockSec назвала ошибкой конфигурации оракула, настолько вопиющей, что она была похожа на внутреннюю диверсию. Оракул протокола был настроен на использование ценового фида Chainlink BTC / USD для определения стоимости USDC.
Математика разрушительна. BTC торговался около $ 50 000. USDC стоит $ 1. Внеся 8 USDC — оцененных неверно настроенным оракулом так, будто каждый токен стоил десятки тысяч долларов — злоумышленник занял 187 ETH.
Эксплойт произошел ровно через один блок после вступления в силу ошибочной конфигурации, что указывает либо на экстраординарный мониторинг, либо на предварительное знание. В течение нескольких часов веб-сайт и аккаунты Ploutos в социальных сетях исчезли. BlockSec отметила подозрительность момента, и криптосообщество в основном классифицировало инцидент как вероятный экзит-скам, замаскированный под ошибку конфигурации.
Foom Cash: Ошибка в чек-листе развертывания стоимостью $ 2,3 миллиона
2 марта Foom Cash — протокол конфиденциальности, построенный на криптографии zkSNARK — потерял $ 2,26 миллиона из-за эксплойта, вызванного пропущенным шагом во время развертывания. Процесс доверенной настройки (trusted setup) второй фазы протокола требовал рандомизации двух криптографических параметров, гаммы и дельты. Этот шаг так и не был завершен. Оба значения остались установленными на заполнители по умолчанию (генератор G2), что позволило злоумышленнику подделать доказательства с нулевым разглашением и опустошить контракт.
Спасением стала скорость. «Белый» хакер Duha выявил уязвимость и обезопасил $ 1,84 миллиона на Base до того, как злоумышленники смогли перевести оставшиеся сред�ства через мост. Фирма по безопасности Decurity занялась восстановлением в сети Ethereum. Foom Cash выплатила вознаграждение в размере $ 320 000 «белому» хакеру и комиссию в размере $ 100 000 компании Decurity — лишь малую часть того, что было бы потеряно без быстрого этического вмешательства.
Это не было багом в Solidity. Это был сбой процедуры развертывания — криптографический эквивалент сохранения заводского пароля по умолчанию на рабочем сервере.
Общая закономерность: эпидемия ошибок конфигурации в феврале 2026 года
Последняя неделя февраля не была аномалией. Ранее в том же месяце протокол Moonwell на Base потерял около $ 1,78 миллиона из-за еще одной ошибки конфигурации оракула. Оракулу cbETH на Base был назначен фид обменного курса cbETH / ETH вместо состав�ного оракула, включающего цену ETH / USD. Результат: цена cbETH составила примерно $ 1,12 вместо его фактической рыночной стоимости около $ 2 200.
За весь февраль 2026 года компания Halborn задокументировала убытки в размере $ 23,5 миллионов в результате четырех крупных взломов протоколов. Из них инциденты, связанные с конфигурацией — ошибки оракулов и параметров развертывания — составили непропорционально большую долю.
Закономерность распространяется не только на кредитование в DeFi. Взлом браузерного расширения Trust Wallet, отмеченный блокчейн-детективом ZachXBT, лишил сотни пользователей более $ 6 миллионов в BTC, ETH и SOL. Первопричиной стал сбой в конфигурации цепочки поставок: вредоносный код попал в версию расширения 2.68 через скомпрометированный, по всей видимости, конвейер обновлений. Код маскировался под обычную аналитическую функцию и передавал фразы восстановления на домен, контролируемый злоумышленником. Основатель Binance Чанпэн Чжао подтвердил полную компенсацию пострадавшим пользователям.
Почему ошибки конфигурац�ии сложнее обнаружить, чем баги в коде
Аудиты смарт-контрактов значительно эволюционировали. Такие фирмы, как Trail of Bits, OpenZeppelin и Certora, применяют формальную верификацию, символьное исполнение и фаззинг-тестирование к кодовым базам протоколов. Согласно статистике Coinlaw за 2026 год, аудированные протоколы несут на 80 % меньше потерь от эксплойтов, чем неаудированные.
Однако аудиты проверяют код в определенный момент времени. Они не аудитят процесс развертывания, выбор параметров оракула операторами пулов или операционные решения, принятые после запуска. Конфигурация находится в «слепой зоне» между «код работает» и «система работает».
Несколько структурных факторов делают ошибки конфигурации особенно опасными:
Они обходят зону покрытия аудита. Протокол может пройти каждый аудит с идеальными оценками и при этом быть разверн�ут с фатальными настройками параметров. YieldBlox DAO Blend V2 был архитектурно надежен — ошибка конфигурации произошла на уровне оператора.
Они часто невидимы до момента эксплуатации. В отличие от уязвимости повторного входа (reentrancy), которую может обнаружить фаззер, некорректный поток данных оракула выглядит идентично правильному при статическом анализе. Ошибка проявляется только тогда, когда рыночные условия делают эксплойт прибыльным.
Они усугубляются дизайном безразрешительного доступа (permissionless). Протоколы, позволяющие любому создавать пулы или рынки (что является фичей, а не багом), по своей сути распределяют ответственность за конфигурацию между операторами, которым может не хватать опыта в области безопасности, имеющегося у основной команды разработчиков.
Они создают мгновенные эксплойты с максимальным ущербом. Уязвимости кода часто требуют сложных многоэтапных атак. Неправильно настроенный оракул отдает злоумышленнику бесплатные деньги в рамках одной транзакции.
Защита, которая дейст�вительно работает
Индустрия не стоит на месте. Появляется несколько подходов для устранения пробелов в конфигурации:
Слои валидации параметров. Протоколы внедряют ончейн-проверки на соответствие здравому смыслу для конфигураций оракулов — например, требование, чтобы значение, передаваемое ценовым потоком, находилось в разумном диапазоне относительно других эталонных потоков, прежде чем оно будет принято для оценки залога.
Изменения параметров с временной задержкой (time-lock). Вместо мгновенного обновления оракулов или параметров протоколы вводят обязательные окна задержки. Это дает системам мониторинга и членам сообщества время, чтобы заметить подозрительные изменения.
Автоматизированный мониторинг с помощью ИИ. Phalcon от BlockSec и подобные инструменты теперь обеспечивают мониторинг транзакций в реальном времени, что позволяет обнаруживать аномальные оценки залога и активировать оповещения или автоматическую приостановку. В отчете Coindesk за февраль 2026 года отмечается, что специализированные системы ИИ теперь способны обнаруживать 92 % реальных эксплойтов в DeFi.
Инфраструктура «белых хакеров». Восстановление средств Foom Cash продемонстрировало ценность организованных групп быстрого реагирования. Платформы, такие как Immunefi, формализовали программы bug bounty, а появление профессиональных сетей «белых хакеров» (white hat) означает, что этичные хакеры часто опережают злоумышленников в поиске уязвимых контрактов.
Чек-листы развертывания и верификация церемоний. Для криптографических протоколов инцидент с Foom Cash ускорил внедрение автоматизированной проверки корректности завершения церемоний доверенной настройки (trusted setup) — проверки того, что параметры действительно были рандомизированы, а не оставлены по умолчанию.
Цифры говорят сами за себя
Сдвиг поддается количественной оценке. Хотя эксплойты контроля доступа по-прежнему доминируют в общем объеме денежных потерь (1,83 млрд $ только в первой половине 2025 года, или 59 % всех потерь), инциденты, связанные с конфигурацией, растут как категория именно потому, что безопасность кода улучшается.
По мере того как аудиты смарт-контрактов, формальная верификация и проверенные в боях фреймворки, такие как OpenZeppelin, сокращают поверхность атаки для традиционных уязвимостей кода, относительная важность операционной безопасности — процедур развертывания, управления параметрами, контроля доступа к функциям администратора — возрастает.
В феврале 2026 года четыре из пяти крупнейших инцидентов были связаны с ошибками конфигурации или операционными сбоями, а не с новыми эксплойтами кода. Неделя с 23 февраля по 1 марта стала самым ярким примером: было потеряно 13 млн $, причем большую часть можно отследить до неправильных настроек оракулов и ошибок параметров развертывания.
Что это значит для будущего DeFi
Становление безопасности DeFi следует паттерну, знакомому по традиционному ПО: когда исправляются простые баги, сложные проблемы смещаются «вверх по течению». В веб-приложениях SQL-инъекции и XSS уступили место неправильно настроенным разрешениям в облаке и утечкам API-ключей в качестве доминирующих векторов атак. DeFi совершает тот же переход.
Для команд протоколов это означает, что безопасность не может заканчиваться на отчете об аудите. Операционная безопасность — кто может менять параметры, как проверяются потоки оракулов, автоматизированы и верифицированы ли процедуры развертывания — заслуживает такой же строгости, какую получает код смарт-контрактов.
Для пользователей и инвесторов это означает необходимость задавать другие вопросы. Вместо «был ли этот протокол аудирован?», правильнее спрашивать: «кто контролирует конфигурацию и какие механизмы проверки предотвращают истощение пула из-за одного неверно настроенного параметра?».
Код становится лучше. Риск теперь живет в конфигурациях.
BlockEden.xyz предоставляет блокчейн-API и инфраструктуру нод корпоративного уровня со встроенными возможностями мониторинга и оповещения. Командам, создающим DeFi-протоколы, которым требуется надежная интеграция оракулов и операционная прозрачность, рекомендуем изучить наш маркетплейс API, чтобы строить на фундаменте, разработанном для безопасности промышленного уровня.