2 поста с тегом "security auditing"

Всего за 18 дней апреля этого года злоумышленники вывели из DeFi 606 миллионов долларов. Этот короткий промежуток времени перекрыл потери первого квартала 2026 года в 3,7 раза и сделал этот месяц худшим со времен взлома Bybit в феврале 2025 года. На два протокола — Drift на Solana и Kelp DAO на Ethereum — пришлось 95 процентов ущерба. Оба прошли аудит. Оба прошли статический анализ. Оба выпустили плановые обновления, которые незаметно аннулировали допущения, проверенные аудиторами.

Это новое лицо рисков в DeFi. Катастрофические эксплойты 2026 года больше не связаны с ошибками повторного входа (reentrancy) или переполнением целых чисел, которые фаззеры могут обнаружить в CI. Речь идет об уязвимостях, внесенных при обновлении: едва заметных изменениях в конфигурациях мостов, источниках оракулов, ролях администраторов или настройках обмена сообщениями по умолчанию, которые превращают ранее безопасный код в открытую дверь — при этом ни одна строка на Solidity не выглядит явно ошибочной.

Если вы создаете, храните или просто владеете активами в DeFi, вывод из апреля 2026 года неутешителен: чистый аудиторский отчет трехмесячной давности больше не является доказательством того, что протокол безопасен сегодня.

Апрельский паттерн: конфигурация, а не код​

Чтобы понять, почему термин «внесенные при обновлении» заслуживает отдельной категории, посмотрите на то, как на самом деле разворачивались два крупнейших эксплойта.

Drift Protocol — 285 миллионов долларов, 1 апреля 2026 г. Крупнейшая DEX для бессрочных контрактов на Solana потеряла более половины своего TVL после того, как злоумышленники в течение шести месяцев проводили кампанию по социальной инженерии против команды. Как только доверие было установлено, они использовали функцию Solana «durable nonces» — удобный механизм UX, позволяющий пользователям заранее подписывать транзакции для последующей отправки — чтобы обманом заставить членов Совета безопасности Drift авторизовать подписи, которые те считали рутинными операционными действиями. Эти подписи в конечном итоге передали управление администратора под контроль злоумышленников, которые добавили в белый список фальшивый токен обеспечения (CVT), внесли 500 миллионов его единиц и вывели 285 миллионов долларов в реальных USDC, SOL и ETH. Функция Solana работала согласно проекту. Контракты Drift выполняли то, что приказали им администраторы. Атака произошла полностью в разрыве между тем, что, по мнению подписантов мультисига, они одобряли, и тем, что они одобряли на самом деле.

Kelp DAO — 292 миллиона долларов, 18 апреля 2026 г. Злоумышленники, которых LayerZero приписывает северокорейской группировке Lazarus Group, скомпрометировали два RPC-узла, поддерживающих кроссчейн-мост Kelp rsETH, подменили работающие на них бинарные файлы и использовали DDoS-атаку, чтобы вызвать принудительное переключение верификатора (failover). Затем вредоносные узлы сообщили верификатору LayerZero о совершении мошеннической транзакции. Эксплойт стал возможен только потому, что Kelp использовал конфигурацию верификатора 1-из-1 — это означало, что один DVN, управляемый LayerZero, обладал единоличным правом подтверждать кроссчейн-сообщения. По данным LayerZero, такая настройка 1-из-1 является стандартной в их руководстве по быстрому запуску и в настоящее время используется примерно 40 процентами протоколов в сети. За 46 минут злоумышленник вывел 116 500 rsETH — около 18 процентов всего оборотного предложения — и заблокировал обернутое обеспечение в 20 сетях. Aave, где котируется rsETH, столкнулся с кризисом ликвидности, так как вкладчики поспешили на выход.

Ни одна из атак не потребовала ошибки в смарт-контракте. Обе потребовали понимания того, как конфигурация — потоки подписания мультисига, количество DVN по умолчанию, избыточность RPC — незаметно превратилась из «операционной детали» в «несущую конструкцию безопасности».

Почему статические аудиты пропускают этот класс багов​

Традиционный аудит DeFi оптимизирован под неверную модель угроз. Такие фирмы, как Certik, OpenZeppelin, Trail of Bits и Halborn, преуспели в построчном анализе кода и запуске инвариантных тестов для замороженной версии контракта. Это позволяет выявлять ошибки повторного входа, ошибки контроля доступа, переполнения целых чисел и сбои в стиле OWASP.

Но класс багов, вносимых при обновлении, обладает тремя свойствами, которые делают этот рабочий процесс неэффективным:

1. Он живет в комбинированном поведении во время выполнения, а не в исходном коде. Безопасность моста зависит от конфигурации верификатора его уровня обмена сообщениями, набора DVN, избыточности RPC этих DVN и риска слэшинга этих операторов. Ничего из этого нет в коде Solidity, который читает аудитор.

2. Он вносится изменениями, а не при первоначальном развертывании. Мост Kelp, вероятно, выглядел нормально, когда LayerZero v2 был только интегрирован. Количество DVN стало опасным только тогда, когда TVL вырос настолько, что стал стоить атаки, а Lazarus инвестировала в компрометацию RPC-инфраструктуры.

3. Он требует дифференциального поведенческого тестирования — ответа на вопрос: «сохранился ли инвариант X при новом пути кода?». Ни одна из крупных аудиторских фирм не предлагает это как плановую услугу после обновления. Вы получаете разовый аудит версии 1.0 и отдельный разовый аудит версии 1.1, но не имеете непрерывного подтверждения того, что обновление с 1.0 до 1.1 не нарушает свойства, на которые опиралась версия 1.0.

Статистика первого квартала 2026 года наглядно показывает этот разрыв. В DeFi за весь квартал было зафиксировано 165,5 миллионов долларов потерь в 34 инцидентах. Один только апрель принес 606 миллионов долларов в 12 инцидентах. Сторона развертывания масштабировалась — в первом квартале было добавлено более 40 миллиардов долларов нового TVL — в то время как мощности аудита, реагирование на инциденты и валидация после развертывания остались практически на прежнем уровне. Что-то должно было сломаться.

Три силы, делающие 2026 год временем масштабных последствий​

1. Темп обновлений ускорился на каждом уровне​

Каждая L1 и L2 итерирует быстрее. Обновление Ethereum Pectra находится в стадии активного развертывания, Fusaka и Glamsterdam находятся в разработке, а Solana, Sui и Aptos выпускают изменения на уровне исполнения многонедельными циклами. Каждое обновление на уровне чейна может незаметно изменить семантику газа, схемы подписи или порядок транзакций способами, которые отражаются на предположениях прикладного уровня. Эксплойт Drift — чистый пример этого: функция Solana (долговечные нонсы), предназначенная для удобства UX, стала вектором для захвата прав администратора.

2. Рестейкинг усложняет поверхность обновлений​

Стек рестейкинга — EigenLayer (по-прежнему более 80 % рынка), Symbiotic, Karak, Babylon, Solayer — добавляет третье измерение к проблеме. Один LRT, такой как rsETH, находится поверх EigenLayer, который, в свою очередь, находится поверх нативного стейкинга ETH. Каждый уровень выпускает собственные обновления по собственному графику. Изменение семантики слэшинга в EigenLayer имеет неявные последствия для каждого оператора и каждого LRT, использующего валидацию этого оператора. Когда мост Kelp был опустошен, заражение немедленно поставило под угрозу TVL EigenLayer, потому что те же самые вкладчики имели трехслойный риск перезалога (rehypothecation), который им никогда не приходилось моделировать. Дорожная карта EigenCloud с его неизбежным расширением EigenDA, EigenCompute и EigenVerify только расширит эту поверхность.

3. Деятельность DeFi на базе ИИ движется быстрее, чем человеческий обзор​

Стеки агентов, такие как XION, Brahma Console и Giza, теперь взаимодействуют с обновленными контрактами на машинной скорости. Там, где казначей-человек мог бы ждать несколько дней после обновления контракта перед повторным взаимодействием, агент тестирует его на исторических данных, интегрирует и направляет через него капитал в течение нескольких часов. Любое обновление, которое незаметно нарушает инвариант, подвергается стресс-тестированию со стороны враждебных потоков еще до того, как аудитор-человек сможет провести повторную проверку.

Формирующаяся защитная архитектура​

Обнадеживающая новость заключается в том, что сообщество исследователей безопасности не бездействовало. Потери в апреле 2026 года катализировали конкретные предложения по четырем направлениям.

Непрерывная формальная верификация. Длительное сотрудничество Certora с Aave — финансируемое как грант на непрерывную верификацию, а не как разовая работа — теперь является шаблоном. Certora Prover автоматически перезапускает доказательства инвариантов при каждом изменении контракта, выявляя поломки до слияния веток. Halmos и HEVM предлагают альтернативные пути с открытым исходным кодом к той же цели. Когда формальная верификация недавно выявила уязвимость в интеграции с обновлением Ethereum Electra, которую пропустили традиционные аудиты, это не было исключением; это было превью будущего.

Сервисы аудита различий (diff) обновлений. Spearbit, Zellic и Cantina начали пилотировать платные сервисы, которые проводят аудит различий между двумя версиями контракта, а не новой версии в изоляции. Модель рассматривает каждое обновление как новое аттестационное свидетельство и специально проверяет, сохраняются ли прежние инварианты. Программа субсидирования аудита Ethereum Foundation на сумму 1 млн $, запущенная 14 апреля 2026 года с участием таких партнеров, как Certora, Cyfrin, Dedaub, Hacken, Immunefi, Quantstamp, Sherlock, Spearbit, Zellic и Zokyo, частично направлена на расширение возможностей именно для такого рода работ.

Хаос-инжиниринг и мониторинг во время выполнения. OpenZeppelin Defender и новые инструменты внедряют симуляции форкнутого мейннета в CI-конвейеры, позволяя протоколам воспроизводить сценарии атак против каждого предлагаемого обновления. Эта дисциплина заимствована непосредственно из практики Web2 SRE — и она давно назрела в DeFi.

Эскроу обновлений с временной блокировкой (timelock). Шаблон Compound Timelock v3, где каждое одобренное управлением обновление находится в публичной очереди в течение фиксированной задержки перед исполнением, дает сообществу время обнаружить проблемы, которые пропустил внутренний обзор. Это не предотвращает появление багов при обновлении, но дает время для их обнаружения до начала эксплуатации.

Сравнение с TradFi: непрерывный аудит — это норма за пределами DeFi​

Традиционные финансы решили аналогичную проблему десятилетия назад. SOC 2 Type II, стандарт, которому соответствует большинство институциональных поставщиков услуг, — это не разовое заверение; это шести- или двенадцатимесячное окно непрерывного аудита. Система рисков контрагентов Basel III требует от банков обновлять свои модели капитала по мере изменения рисков, а не ежегодно. Банку-кастодиану, обновившему систему расчетов, не разрешили бы работать на основе принципа «мы проверили версию v1; v2 была лишь небольшим изменением».

Преобладающая культура DeFi — «проверить один раз, развернуть навсегда, повторный аудит только при крупных переписываниях» — это практика, которую TradFi явно отверг после кризиса 2008 года. При нынешних темпах потерь индустрия находится на пути к 2 миллиардам $ или более ежегодных потерь от эксплойтов обновлений. Этого достаточно, чтобы привлечь регуляторов, которые и так считают стандарты аудита DeFi не соответствующими требованиям, и этого достаточно, чтобы сделать непрерывную валидацию предварительным условием для институционального капитала.

Что это значит для разработчиков, вкладчиков и инфраструктуры​

Для команд протоколов операционный мандат прост, даже если он недешев: каждое обновление должно рассматриваться как новый релиз, который заново выводит, а не наследует гарантии безопасности. Это означает запланированные повторные аудиты на основе различий (diff), спецификации формальной верификации, которые сопровождают каждое предложение по управлению, и значимые таймлоки перед исполнением. Это означает публикацию — в стиле Aave — количественной структуры каскадных рисков, в которой указано, от каких протоколов вы зависите и как выглядят ваши риски в случае сбоя одного из них.

Для вкладчиков урок заключается в том, что фраза «этот протокол прошел аудит» сама по себе больше не является полезным сигналом. Правильный вопрос: «когда был последний запуск непрерывной верификации, против каких инвариантов и на какой версии развернутого кода?». Протоколы, которые не могут на это ответить, должны оцениваться соответствующим образом.

Для поставщиков инфраструктуры — операторов RPC, индексаторов, кастодианов — инцидент с Kelp является прямым предупреждением. Компрометация произошла в двух RPC-узлах, бинарные файлы которых были незаметно подменены. Любой, кто управляет инфраструктурой, участвующей в межцепочечной верификации (DVN, узлы оракулов, секвенсоры), теперь является частью модели безопасности, независимо от того, подписывался он на это или нет. Воспроизводимые сборки, аттестованные бинарные файлы, кворумы с несколькими операторами вместо настроек 1-из-1 по умолчанию и проверка подписи бинарных файлов при запуске больше не являются необязательными.

Обновления на уровне чейна — Pectra и Fusaka в Ethereum, развертывание параллельного исполнения в Solana и Aptos, целевые показатели пропускной способности Glamsterdam — будут продолжать расширять поверхность рисков. Протоколы и операторы инфраструктуры, которые выживут в 2026 году, будут теми, кто внедрил непрерывную валидацию достаточно рано, чтобы их следующее рутинное обновление также стало их следующей доказуемой контрольной точкой безопасности.

BlockEden.xyz управляет производственной инфраструктурой RPC, индексаторов и узлов в сетях Sui, Aptos, Ethereum, Solana и десятке других блокчейнов. Мы рассматриваем каждое обновление протокола — на уровне чейна или на прикладном уровне — как новое событие безопасности, а не как задачу по обслуживанию. Изучите нашу корпоративную инфраструктуру, чтобы строить на фундаменте, спроектированном для того, чтобы выдержать грядущий темп обновлений.

Источники​

• Апрельский кошмар криптоиндустрии на $ 606 млн: 12 взломов за 18 дней, худший месяц со времен кражи Bybit — CryptoTimes
• Потеряно $ 606 млн: апрель 2026 года стал худшим месяцем для крипто-эксплойтов — Blockonomi
• Kelp DAO взломан на $ 292 млн, обернутый эфир заблокирован в 20 сетях — CoinDesk
• LayerZero винит настройки Kelp в эксплойте на $ 290 млн, приписывая его северокорейской группировке Lazarus — CoinDesk
• Взлом Drift Protocol: как привилегированный доступ привел к потере $ 285 млн — Chainalysis
• Как злоумышленники Drift вывели более $ 270 млн, используя функцию Solana, созданную для удобства — CoinDesk
• Северокорейские хакеры атаковали Drift Protocol, похитив $ 285 млн — TRM Labs
• Анализ паттернов DeFi-эксплойтов за 1-й квартал 2026 года: потеряно $ 137 млн, 5 векторов атак, которые должен знать каждый аудитор — DEV Community
• Топ-10 рисков безопасности смарт-контрактов по версии OWASP: 2026 — DEV Community
• Aave-Certora-Secureum: сотрудничество в области безопасности DeFi — Secureum
• Ethereum Foundation финансирует программу аудита на $ 1 млн для разработчиков смарт-контрактов
• Обновляемые смарт-контракты: прокси, паттерны, ловушки и меры защиты CI/CD — Octane Security
• Взлом rsETH в Kelp DAO на $ 292 млн спровоцировал кризис ликвидности в Aave — CCN
• Более $ 400 млн потеряно в результате DeFi-эксплойтов в 2026 году — CCN

Для профессионалов в пространстве Web3 аудит безопасности — это не просто техническая необходимость, но и критически важный этап в жизненном цикле проекта. Однако новаторское исследование Университета Макао и Университета штата Пенсильвания, основанное на углубленных интервью с 20 пользователями и анализе более 900 постов на Reddit, выявляет суровую реальность: существует значительный разрыв между практиками аудита в индустрии и фактическим восприятием конечных пользователей, их моделями доверия и поведенческими решениями.

Этот отчет — больше, чем академическая дискуссия; он служит аналитической сводкой для всех практиков Web3. Он выявляет болевые точки в текущей экосистеме аудита и предоставляет четкую стратегическую дорожную карту для более эффективного использования аудитов с целью укрепления доверия и управления поведением пользователей.

Основные выводы: Как пользователи воспринимают ваш «сертификат безопасности»?​

Исследование систематически выявляет когнитивные искажения и поведенческие модели пользователей на протяжении всей цепочки информации об аудите:

1. Эффект «туннельного зрения» при получении информации Основным, а часто и единственным каналом, через который пользователи получают доступ к информации об аудите, является официальный веб-сайт проекта. Все опрошенные подтвердили эту модель поведения.

• Стратегическое значение: Ваш веб-сайт — это основное поле битвы для донесения ценности аудита. Не предполагайте, что пользователи будут углубляться в веб-сайт аудиторской фирмы или перепроверять информацию в блокчейне. То, как информация об аудите представлена на вашем сайте, напрямую формирует первое впечатление пользователя и основу доверия.

2. Биполяризация воспринимаемой ценности информации Пользователи в целом считают информационную ценность текущих аудиторских отчетов недостаточной, что проявляется двумя способами:

• Недостаточная ценность для экспертов: Технически подкованные пользователи считают, что многие отчеты «поспешны, шаблонны и повторяются», им не хватает глубины и значимых выводов.
• Чрезмерно высокий барьер для новичков: Нетехнические пользователи перегружены профессиональным жаргоном и кодом, что затрудняет понимание. Внешний обзор веб-сайтов аудиторских фирм подтверждает это: более трети фирм не имеют подробных описаний своих сервисных процессов, и большинство неадекватно раскрывают профессиональную экспертизу своих аудиторов.
• Стратегическое значение: Текущий универсальный формат отчета в PDF не справляется с удовлетворением потребностей различных сегментов пользователей. Проекты и аудиторские фирмы должны рассмотреть многоуровневые, интерактивные стратегии раскрытия информации — краткие резюме, визуальные оценки рисков и полные технические детали для экспертной проверки.

3. Хрупкость модели доверия: Опора на репутацию на фоне повсеместного скептицизма Пользователи называют «репутацию» аудиторской фирмы основным критерием оценки качества, но эта модель доверия хрупка.

• Неоднозначность репутации: Многие опрошенные не смогли назвать более одной аудиторской фирмы, что указывает на то, что восприятие репутации пользователями расплывчато и легко поддается влиянию.
• Фундаментальные сомнения в независимости: Поскольку аудиторские услуги оплачиваются проектом, пользователи широко ставят под сомнение их беспристрастность. Один из опрошенных подытожил: «Маловероятно, что они будут открыто критиковать или „топить“ своих клиентов». Обсуждения на Reddit отражают аналогичный скептицизм.
• Стратегическое значение: Доверие пользователей строится не на технических деталях, а на восприятии независимости и беспристрастности. Активное повышение прозрачности процесса аудита — например, раскрытие рабочих процессов с клиентами — более критично, чем просто публикация технического отчета.

4. Истинная ценность аудита: «Доказательство усилий» Несмотря на сомнения в эффективности и справедливости, существует почти всеобщее согласие: сам факт прохождения аудита является мощным сигналом приверженности проекта безопасности и ответственности.

• Один из участников объяснил: это показывает, «что приложение серьезно относится к своей безопасности и по крайней мере готово инвестировать в аудит».
• Стратегическое значение: Аудит — это не только техническая защита, но и важнейший инструмент маркетинга и построения доверия. Его символическое значение намного перевешивает то, насколько пользователи на самом деле понимают содержание. Команды должны подчеркивать свои инвестиции в независимые аудиты в маркетинговых и общественных коммуникациях.

5. Поведенческие решения пользователей: Бинарные и асимметричные

• Фокус на «наличии», а не на «качестве»: Пользователи тратят очень мало времени на просмотр информации об аудите — обычно менее 10 минут. Их больше волнует, существует ли аудит, чем его детали.
• Асимметричное влияние: Положительные результаты аудита значительно повышают доверие сообщества. Отрицательные результаты вызывают беспокойство, но имеют ограниченный сдерживающий эффект для пользователей с высоким риском.
• Стратегическое значение: Бинарный статус «Проверено/Не проверено» является единственной наиболее влиятельной переменной в принятии решений пользователями. Проекты должны обеспечить четкую видимость этого статуса. Аудиторские фирмы, в свою очередь, могут разрабатывать выводы своих отчетов таким образом, чтобы они оказывали большее влияние на принятие решений пользователями.

Перспективный дизайн и стратегическая трансформация​

Основываясь на этих выводах, исследование предлагает четкий план действий для практиков:

1. Для аудиторских фирм: Изменение форматов отчетов и моделей обслуживания

   • От статики к интерактивности: Отказаться от традиционных PDF-отчетов в пользу интерактивных веб-платформ с многоуровневыми данными, кликабельными фрагментами кода и встроенными механизмами обратной связи.
   • Принять радикальную прозрачность: Активно раскрывать методологии аудита, ключевые процессы и даже взаимодействие с клиентами (за вычетом основных секретов) для демонстрации независимости и беспристрастности.
   • Способствовать стандартизации отрасли: Отсутствие стандартов подрывает доверие к отрасли. Фирмы должны помогать устанавливать единые практики, классификации рисков и нормы отчетности — и обучать сообщество.

2. Для проектных команд: Интеграция аудитов в UX и коммуникационную стратегию

   • Оптимизировать представление информации: Четко отображать информацию об аудите на вашем веб-сайте. Краткая страница «Сводка аудита», ссылающаяся на полный отчет, более эффективна, чем простая ссылка на PDF.
   • Использовать «Доказательство усилий»: Представлять завершение стороннего аудита как ключевой этап доверия в маркетинге, AMA сообщества и вайтпейперах.
   • Принять образовательную роль: Сотрудничать с аудиторами для совместного проведения образовательных мероприятий по безопасности. Это повышает осведомленность, одновременно укрепляя доверие как к проекту, так и к аудиторскому бренду.

3. Для создателей сообщества и экосистемы: Использование силы коллективного интеллекта

   • Расширять возможности сообщества: Поддерживать технических экспертов или KOL (лидеров мнений) в предоставлении сторонних интерпретаций и обзоров аудиторских отчетов.
   • Исследовать управление DAO: Экспериментировать с моделями, где аудиты заказываются или контролируются DAO. Этот подход может укрепить независимость и доверие через голосование сообщества и стимулы.

---

В заключение, это исследование звучит как четкое предупреждение: индустрия Web3 больше не может рассматривать аудит как изолированную техническую функцию. Практики должны устранить разрыв между текущими практиками и пользовательским восприятием, ставя пользовательский опыт и построение доверия в центр. Только путем повышения прозрачности, оптимизации коммуникации и стимулирования стандартизации мы сможем коллективно построить более безопасное и надежное децентрализованное будущее.