Кража домена Bonk.fun: атаки на фронтенд — самая быстрорастущая угроза в криптосфере

12 марта 2026 года ориентированный на сообщество лаунчпад на Solana, обрабатывающий сотни тысяч долларов ежедневных комиссий, на короткое время превратился в ловушку для опустошения кошельков — при этом смарт-контракты, обеспечивающие его работу, остались нетронутыми. Bonk.fun, платформа мем-коинов под брендом letsBONK, поддерживаемая Raydium и BONK DAO, столкнулась с захватом домена, внедрением поддельного окна подписи «Условий обслуживания» во фронтенд и опустошением примерно 35 кошельков до того, как команда обнаружила взлом. Злоумышленникам не требовалась уязвимость нулевого дня. Им нужно было имя хоста.

Этот единственный час хаоса отражает то, о чем службы безопасности в сфере DeFi шептались с 2023 года и во весь голос заявляли после кражи 1,4 миллиарда долларов у Bybit: код на Solidity больше не является легкой мишенью. Ею стал фронтенд. И коллективное слепое пятно индустрии обходится пользователям дороже, чем любой эксплойт смарт-контракта в истории.

Анатомия фронтенд-атаки

Чтобы понять, почему инцидент с Bonk.fun важен далеко за пределами его скромного финансового ущерба, нужно понять, что именно подверглось атаке, а что нет.

Смарт-контракты Bonk.fun — ончейн-логика, которая выпускает токены и направляет ликвидность через Raydium — на протяжении всего инцидента работали именно так, как было задумано. Блокчейн никогда не лгал. Лгал пользовательский интерфейс.

Злоумышленники получили контроль над учетной записью домена команды, вероятно, через скомпрометированные учетные данные на уровне регистратора или DNS-сервера. Получив контроль над DNS, они смогли направить bonk.fun на свой собственный сервер или, что более незаметно, внедрить вредоносный JavaScript на страницу, которую уже посещали пользователи. Пейлоад был элегантным: баннер «Условия обслуживания», просящий посетителей подписать обычное сообщение кошелька, чтобы продолжить использование сайта. Запрос подписи выглядел стандартно. Кошельки выдали уведомление. Пользователи нажали «одобрить».

Эта подпись не была подтверждением условий. Это был пермит eth_signTypedData, предоставляющий злоумышленникам неограниченное право на расходование токенов пользователя. После подписания контракт-дрейнер очистил кошелек за одну транзакцию. К тому времени, когда поставщики решений для безопасности браузеров пометили домен как опасный, около 35 кошельков уже были опустошены. Быстрое обнаружение командой позволило удержать потери на «минимальном» уровне, согласно описанию самой команды Bonk, но сам вектор атаки был сокрушительно доказан.

Почему 100 % недавних громких эксплойтов нацелены на фронтенд

Bonk.fun — это не исключение. Это последний пример в цепочке событий 2025–2026 годов, которая настолько последовательна, что теперь напоминает классификацию:

• Февраль 2025 года — взлом Safe{Wallet} биржи Bybit. Группировка Lazarus из Северной Кореи с помощью социальной инженерии получила доступ к рабочей станции разработчика Safe на базе macOS, украла учетные данные AWS и внедрила вредоносный JavaScript в интерфейс Safe{Wallet}, который активировался только тогда, когда подписанты холодного кошелька Bybit одобряли транзакцию. Ущерб: 1,4 миллиарда долларов в ETH — крупнейшая кража криптовалюты в истории.
• 2024–2025 годы — DNS-хайджекинг KuCoin. Злоумышленники перехватывали учетные данные для входа и выводили средства, что привело к убыткам в размере примерно 52 миллионов долларов.
• Декабрь 2025 года — расширение Trust Wallet для Chrome. Вредоносное обновление, выпущенное через официальный магазин расширений, похищало данные кошельков и вывело около 7 миллионов долларов у сотен пользователей до момента удаления.
• 2023 год — DNS-атака на Curve Finance. Компрометация сервера имен в домене Curve перенаправила curve.fi на вредоносный фронтенд, запрашивая одобрения, которые привели к краже примерно 575 000 долларов, хотя бэкенд остался нетронутым.
• 2021 год — эксплойт BadgerDAO через Cloudflare. Компрометация API-ключа Cloudflare Workers позволила злоумышленникам внедрить скрипты для сбора разрешений во фронтенд Badger, похитив около 120 миллионов долларов.

Каждый из этих инцидентов обошел безопасность смарт-контрактов. В каждом из них эксплуатировалось то, что криптоиндустрия не контролирует: регистраторы DNS, CDN-провайдеры, магазины расширений, эндпоинты разработчиков, пайплайны сборки. Эта закономерность неприятна, потому что она честна: инфраструктура Web2 — это фундамент безопасности Web3, и этот фундамент полон дыр.

Данные: количество дрейнеров кошельков снижается, но поверхность атаки растет

На первый взгляд цифры кажутся обнадеживающими. Chainalysis и трекеры экосистемы дрейнеров сообщили, что общие потери от фишинга с использованием дрейнеров кошельков упали до 83,85 миллиона долларов в 2025 году — на 83 % меньше, чем почти 494 миллиона долларов в 2024 году. Число жертв сократилось на 68 % до примерно 106 000.

Но если взглянуть шире, открывается иная картина:

• Взломы личных кошельков достигли 713 миллионов долларов в 2025 году, что сделало индивидуальные кошельки крупнейшей категорией потерь в криптосфере.
• Общие потери в Web3 выросли примерно до 2,71–2,94 миллиарда долларов в 2025 году, увеличившись с 2,01 миллиарда долларов в 2024 году, согласно совокупным оценкам Chainalysis, PeckShield и SlowMist.
• Атаки на основе пермитов составили 38 % потерь в инцидентах на сумму более 1 миллиона долларов — подписи, а не код, теперь являются основным методом кражи средств.
• Вредоносные подписи EIP-7702 появились в течение нескольких недель после обновления Ethereum Pectra, позволяя злоумышленникам объединять несколько вредоносных действий в одно пользовательское одобрение. Только два случая в августе 2025 года обошлись в 2,54 миллиона долларов.

Экономика дрейнеров сократилась не потому, что защита улучшилась. Она сократилась потому, что злоумышленники перешли в более высокий сегмент — от розничных дрейнеров, крадущих по 200 или 2000 долларов, к целевым компрометациям фронтенда государственного уровня против высокоценных кастодиальных и институциональных целей. Одно только ограбление Bybit в 17 раз превысило общую сумму потерь от всех мировых дрейнеров за 2025 год.

DNS, CDN и стек доверия, который не принадлежит крипто-индустрии

Вот неудобная правда, с которой сталкивается команда протокола при попытке укрепить свой фронтенд: большая часть поверхности безопасности находится вне их контроля.

Типичное развертывание DeFi затрагивает как минимум семь уровней инфраструктуры Web2:

1. Доменный регистратор (GoDaddy, Namecheap, Gandi) — высший орган власти, определяющий владельца домена.
2. Авторитетный DNS-провайдер (Cloudflare, Route53, NS1) — система, которая сообщает браузерам, куда указывает домен.
3. CDN и пограничная сеть (edge network) (Cloudflare, Fastly, Akamai) — сервер, непосредственно отдающий HTML и JavaScript.
4. Хостинг-провайдер (AWS, GCP, Vercel) — место, где живет скомпилированный фронтенд.
5. Конвейер сборки (build pipeline) (GitHub Actions, Vercel, Netlify) — подписывает и развертывает артефакты.
6. Сторонние скрипты (аналитика, коннекторы кошельков, мониторинг) — код, который команда не писала, но все равно поставляет.
7. Магазины расширений браузеров (Chrome Web Store, Firefox Add-ons) — канал доставки самих кошельков.

Злоумышленнику достаточно скомпрометировать лишь один из этих уровней, чтобы вывести запрос на подпись на экран пользователя. Протоколы, защищающие 100 миллиардов долларов TVL, структурно зависят от самых слабых учетных данных любого из семи различных вендоров — большинство из которых относятся к аккаунту DeFi-команды так же, как к блогу о стрижке собак.

NIST наконец обновил свое руководство по безопасности DNS в марте 2026 года (SP 800-81r3), заменив документ 2013 года. Это первое существенное обновление на федеральном уровне за более чем десятилетие, которое продвигает ECDSA и Ed25519 вместо RSA для DNSSEC. Это полезно, но внедрение DNSSEC у основных регистраторов остается настолько фрагментарным, что большинство крипто-протоколов не могут надежно его включить.

«Стандарт безопасности фронтенда», которого у крипто-индустрии до сих пор нет

Безопасность смарт-контрактов прошла путь зрелости: формальная верификация, аудиты от Trail of Bits и OpenZeppelin, баг-баунти на Immunefi, ончейн-мониторинг от Hypernative и Forta. В 2026 году хорошо финансируемый протокол может предъявить дерево Меркла защитных мер вокруг своего ончейн-кода.

У фронтенда ничего этого нет. Не существует эквивалента аудиторского отчета для конфигурации регистратора команды. Нет отраслевого стандарта мультисига для изменения доменных имен. Нет SOC 2 для панели управления Cloudflare. Нет ончейн-аттестации того, что JavaScript, запускаемый пользователем, соответствует версии, развернутой командой.

Начинают появляться несколько многообещающих паттернов:

• Хеши целостности субресурсов (SRI), которые привязывают сторонние скрипты к известным байтам.
• Заголовки Content Security Policy (CSP), предотвращающие инъекции встроенных скриптов.
• Подписанные манифесты фронтенда, публикуемые ончейн, чтобы кошельки могли проверить, что именно они выполняют.
• Фронтенды на IPFS с разрешением через ENS, которые используют Uniswap и все большее число DEX, снижая зависимость от DNS.
• Симуляция транзакций на стороне кошелька (Rabby, MetaMask Snaps, Blowfish), которая показывает пользователям, что на самом деле делает подпись, прежде чем они ее поставят.
• Аккаунты регистраторов с доступом по аппаратному ключу, избыточные DNS-провайдеры и ограниченные конвейеры сборки — операционная гигиена, которую руководства DomainSure и Sherlock на 2026 год теперь рассматривают как базовые требования.

Ни один из этих методов не стандартизирован. Ни один не является обязательным. И большинство протоколов, особенно дерзкие лаунчпады, где происходит основной поток операций с мемкоинами, запускаются без них.

О чем говорит кейс Bonk.fun в контексте ближайших двенадцати месяцев

Bonk.fun — полезный пример именно потому, что это не миллиардные убытки. Команда быстро обнаружила взлом. Потери ограничились десятками пользователей, а не тысячами. Домен был возвращен в течение нескольких часов.

Но экономика вокруг этого взрывоопасна. Выручка letsBONK.fun выросла более чем на 600 % в начале 2026 года, а ежедневные комиссии достигли пика в 352 793 доллара. Платформа стала значимым роутером ликвидности в экосистеме мемкоинов Solana, и теперь каждый злоумышленник в мире знает, что ее фронтенд — это путь наименьшего сопротивления. Следующий взлом будет нацелен на более крупную платформу в более спокойный момент, и когда он удастся, сноска о 35 кошельках от 12 марта покажется пустяком.

Уже видны три конкурирующих ответа индустрии:

1. Укрепление периметра — больше аппаратных ключей, больше DNSSEC, больше подписанных манифестов, избыточность DNS. Медленный путь.
2. Защита на стороне кошелька — симуляция транзакций, предупреждения о «слепой подписи» (blind-signing) и базы данных дрейнеров, которые помечают вредоносные контракты до того, как пользователь подпишет транзакцию. Быстрый путь, но полностью зависящий от разработчиков кошельков, каждый из которых реализует это по-своему.
3. Архитектурные изменения — IPFS + ENS, полностью ончейн-фронтенды и политики абстракции аккаунтов (account abstraction), которые просто отказываются подписывать неограниченные разрешения (unbounded permits). Единственный надежный путь, но самый медленный в реализации.

Неудобная реальность такова, что каждый протокол, использующий в данный момент HTTPS-фронтенд, структурно уязвим, и никакой бюджет на аудит этого не исправит. Взлом Bonk.fun будет повторяться на более крупных целях годами, пока индустрия не согласует фронтенд-эквивалент лучших практик для смарт-контрактов.

Инфраструктура — это выбор в пользу безопасности

Атаки на фронтенд обнажили неприятную правду о Web3: децентрализация в ончейне мало что значит, если ваши пользователи находятся в одной DNS-записи от потери всего. Протоколы, которые переживут следующую волну, — это те, которые рассматривают каждую зависимость Web2 (регистратор, CDN, канал расширения, RPC-узел) как часть своей модели угроз, а не как строку в счете от вендора.

BlockEden.xyz управляет инфраструктурой RPC и индексаторов в сетях Sui, Aptos, Ethereum, Solana и более чем десятке других чейнов, укрепленной избыточными эндпоинтами, защитой от DDoS и операционным контролем, который необходим институциональным командам, чтобы вывести свой бэкенд из зоны атаки. Изучите наш маркетплейс API, чтобы строить на инфраструктуре, созданной для враждебной веб-среды.