133 поста с тегом "Безопасность"

Что, если бы вы могли доказать, что зарабатываете более 100 000 долларов в год, имеете действующий загранпаспорт или кредитный рейтинг FICO 800 — и все это без предъявления единого документа? Это обещание zkTLS, и в 2026 году эта технология стремительно переходит из области криптографической теории в производственную инфраструктуру.

Протокол Zero-Knowledge Transport Layer Security (zkTLS) расширяет возможности шифрования, которое уже защищает практически каждый веб-сайт, который вы посещаете. Вместо того чтобы просто защищать данные при передаче, zkTLS генерирует математические доказательства того, что определенные данные поступили из проверенного источника, — при этом сама исходная информация не раскрывается. Результатом является мост между закрытыми хранилищами данных Web2 и компонуемым, безразрешительным миром Web3.

Одна пропущенная проверка авторизации. Семнадцать дней незамеченной активности. Семьдесят восемь NFT уровня «голубых фишек» — включая работы Art Blocks, Doodles и Beeple — выведены из кошельков, владельцы которых даже не инициировали транзакцию. Эксплойт Gondi от 9 марта 2026 года — это наглядный пример того, как «функции для удобства» могут стать вектором атаки, и почему сектор кредитования NFT сталкивается с проблемами безопасности, с которыми DeFi на базе взаимозаменяемых токенов никогда не сталкивался.

12 марта 2026 года одна транзакция Ethereum превратила 50,4 млн долларов в USDT в 327 токенов AAVE стоимостью примерно 36 000 долларов. Потеря средств не была вызвана взломом, эксплойтом или багом в смарт-контракте. Каждый задействованный протокол — Aave, CoW Swap, SushiSwap — работал именно так, как было задумано. Пользователь подтвердил предупреждение о 99,9 % ценовом воздействии на мобильном устройстве, поставил галочку и наблюдал, как почти пятьдесят миллионов долларов испарились в MEV-ботах менее чем за тридцать секунд.

Этот инцидент стал самым дорогостоящим провалом UX в истории DeFi, и он заставляет задать неудобный вопрос: если системы без разрешений (permissionless), «работающие как задумано», могут уничтожить столько ценности, кто несет ответственность за предотвращение подобного?

Восемь вей (wei). Это примерно 0,000000000000000008 токена — количество настолько малое, что оно не имеет значимой долларовой стоимости. Тем не менее, 3 ноября 2025 года злоумышленник превратил ошибки округления такого масштаба в 128 миллионов долларов похищенных активов, опустошив пулы Composable Stable Pools протокола Balancer в девяти блокчейнах менее чем за тридцать минут.

Эксплойт Balancer V2 теперь является крупнейшим в истории мультичейн-взломом DeFi, вызванным одной уязвимостью. За одну ночь он уничтожил 52% от общего объема заблокированных средств (TVL) Balancer, прошел более десяти аудитов безопасности от ведущих фирм отрасли и вынудил одну сеть — Berachain — провести экстренный хардфорк, чтобы вернуть средства. Уязвимость? Всего одна строка кода, которая выполняла округление в неверном направлении.

Это заняло менее часа. 31 января 2026 года злоумышленник обнаружил, что в одной функции смарт-контракта в инфраструктуре моста CrossCurve отсутствует критическая проверка валидации — и планомерно вывел 3 миллиона долларов из сетей Ethereum, Arbitrum и других, прежде чем кто-либо успел среагировать. Никаких сложных уязвимостей нулевого дня. Никаких компрометаций ключей инсайдеров. Просто сфабрикованное сообщение и вызов функции, который мог выполнить любой желающий в блокчейне.

Инцидент с CrossCurve — это суровое напоминание о том, что кроссчейн-мосты остаются самой опасной поверхностью для атак в децентрализованных финансах — и что даже протоколы, обладающие многослойной архитектурой безопасности, могут рухнуть, когда один-единственный контракт оказывается уязвимым.

ИИ-агенты, которые могут автономно торговать токенами, ребалансировать DeFi-позиции и оплачивать собственные вычисления, звучат революционно — до тех пор, пока один из них не подвергнется промпт-инъекции, в результате которой ваши сбережения будут отправлены злоумышленнику. Недавно опубликованный фреймворк безопасности MCP Web3 от Google Cloud решает именно этот кошмарный сценарий, предлагая план корпоративного уровня для защиты агентов Model Context Protocol, взаимодействующих с блокчейнами.

Вот что рекомендует фреймворк, почему это важно и как он соотносится с конкурирующими подходами от Coinbase, Ledger и развивающимся стандартом платежей x402.

Аудит безопасности указал на конкретный вектор атаки еще несколько месяцев назад. Команда отклонила это замечание. В воскресенье злоумышленник скрылся с 3,7 млн $.

Venus Protocol, доминирующая лендинговая платформа на BNB Chain с общей заблокированной стоимостью (TVL) около 1,47 млрд $, пострадала от разрушительного эксплойта с манипуляцией ценой 15 марта 2026 года. Злоумышленник нацелился на THE — нативный токен децентрализованной биржи Thena — подняв его цену с 0,27$ до почти 5 $с помощью тщательно спланированного цикла депозитов, займов и покупок. Результат: более 3,7 млн$ было выведено в BTC, CAKE, USDC и BNB, при этом примерно 2,15 млн $ остались в виде невозвратного «плохого» долга.

Что делает эту атаку примечательной, так это не только ее масштаб, но и стоящее за ней терпение — а также тот факт, что уязвимость была на виду у всех.

Каждую неделю в 2026 году очередной стартап анонсирует «автономного ИИ-агента», который может торговать криптовалютой, управлять позициями в DeFi или управлять DAO. Но вот вопрос, на который никто не хочет отвечать: почему кто-то должен доверять программному обеспечению реальные деньги?

Ответ индустрии сводится к удивительно элегантному стеку — доверенным средам исполнения (TEEs), ончейн-реестрам идентификации и программируемым ограничениям (guardrails), которые превращают принцип «доверяй агенту» в «проверяй агента». В течение трех месяцев Coinbase выпустила Agentic Wallets, MoonPay интегрировала аппаратную подпись Ledger для ИИ-агентов, а Ethereum Foundation утвердил два новых стандарта (ERC-8004 и ERC-8183), которые вместе образуют костяк машинно-ориентированного уровня доверия. В этой статье рассматривается архитектура, которая незаметно делает автономных агентов пригодными для использования в финансовой сфере.

Обычная ошибка округления — субцентовая потеря точности в целочисленном делении Solidity — позволила вывести 128 миллионов долларов из Balancer в девяти блокчейнах менее чем за 30 минут. Пулы работали годами. Код прошел множество аудитов. Никто этого не заметил. Таково состояние безопасности DeFi в 2026 году: миллиарды долларов защищены парадигмой, которая наглядно и неоднократно терпела неудачу.

Теперь a16z crypto предлагает радикальное переосмысление. В своем отчете «Big Ideas» за 2026 год венчурная компания утверждает, что индустрия должна отказаться от принципа «код — это закон» — основополагающей веры в то, что развернутый код смарт-контракта является высшей инстанцией — и заменить его принципом «спецификация — это закон», где математически определенные свойства безопасности становятся обязательным стандартом. Этот сдвиг может фундаментально изменить то, как протоколы создаются, проверяются и защищаются.