Виявлено критичні вразливості безпеки в Pi Network: 4,4 млн PI токенів викрадено через соціальну інженерію, фішингові загрози, недоліки перевірки KYC і помилки смартконтрактів, що ставлять під загрозу активи користувачів на суму $2 мільярди. Ключова інформація щодо управління ризиками для команд корпоративної безпеки.
Зловмисні дії із соціальною інженерією: 4,4 мільйона Pi токенів викрадено через зловживання функцією запиту платежу
Шахраї використали прозорість блокчейна Pi Network для здійснення складних атак соціальної інженерії, націлених на функцію запиту платежу в гаманці. Скануючи публічний реєстр, зловмисники ідентифікували адреси гаманців із великими балансами Pi токенів і надсилали цим цінним рахункам небажані запити на оплату. Уразливість механізму запиту платежу дозволила злочинцям вивести понад 4,4 мільйона PI токенів у межах скоординованих кампаній протягом кількох місяців. Аналіз показав, що одна адреса отримувала від 700 000 до 800 000 PI щомісяця з липня 2025 року, що підтверджує систематичний характер цих атак на безпеку.
Результати атаки виявили критичні прогалини в процесах автентифікації користувачів і перевірки транзакцій у Pi Network. Замість запровадження ефективних протоколів перевірки архітектура платформи дозволила шахраям схилити користувачів до схвалення підроблених запитів на оплату. Коли втрати зростали, а члени спільноти почали повідомляти про нові ризики, команда Pi Core Team вдалася до екстрених заходів. Мережа тимчасово призупинила всю функцію запиту платежу, щоб запобігти подальшому викраденню токенів. Це стало значним інцидентом безпеки, що підірвало довіру користувачів до платформи та виявило критичні недоліки інфраструктури гаманця.
Фішинг і ризики зберігання: фальшиві DEX-посилання та вразливості централізованих бірж
Фішингові атаки на користувачів Pi Network стали більш витонченими, використовуючи фальшиві посилання на децентралізовані біржі, які імітують справжні платформи для обману інвесторів. Шахраї створюють підроблені DEX-сайти з фальшивими цінами Pi та бонусними пропозиціями, спонукаючи користувачів вводити конфіденційні дані, зокрема фрази відновлення гаманця. Після отримання доступу зловмисники миттєво отримують контроль над коштами користувача без додаткових етапів автентифікації. Такі шахрайські посилання поширюються через соціальні мережі та месенджери, використовуючи довіру до нібито офіційних повідомлень про торгові можливості.
Кастодіальні ризики централізованих бірж підсилюють ці загрози через концентрацію Pi у сторонньому зберіганні. Коли користувачі розміщують PI токени на централізованих платформах, вони передають контроль над приватними ключами операторам біржі. Така модель зберігання створює залежність від безпеки біржі, операційної стійкості та дотримання регуляторних вимог. Досвід показує, що централізовані біржі залишаються вразливими до складних хакерських атак, внутрішніх зловживань і регуляторних обмежень, які можуть призвести до блокування доступу користувачів. Навіть біржі, що проходять аудити безпеки та використовують мультипідписні протоколи, стикаються з системними ризиками внаслідок скоординованих атак або помилок у керуванні ключами. На відміну від самостійного зберігання, коли користувачі контролюють приватні ключі, централізована модель створює єдині точки відмови, що можуть вплинути на сукупні активи мільйонів користувачів. Поєднання фішингових загроз і концентрації зберігання створює складний ризиковий сценарій, у якому власники Pi Network стикаються з небезпеками як на рівні гаманців, так і через збої безпеки платформи, де зберігаються їхні резерви.
Збої KYC і конфіденційність даних: загроза централізованого контролю активам користувачів
Централізована інфраструктура KYC — це критична вразливість екосистеми Pi Network, що створює численні шляхи для втрати активів і шкоди користувачам. Задокументовані збої в системах ідентифікації призвели до понад 12 000 підтверджених порушень у минулому році, що свідчить про те, як недостатні протоколи піддають мільйони користувачів ризику порушення приватності. Основна причина цих збоїв KYC — внутрішні загрози, коли привілейований доступ дозволяє несанкціоноване розголошення даних і маніпулювання акаунтами.
Проблема криється саме в централізованому контролі. Якщо одна організація керує KYC-даними й доступом до акаунтів, вона стає основною ціллю для регуляторних і судових розслідувань. Блокування акаунтів за рішенням суду чи правоохоронців може призвести до тривалого заморожування активів користувачів, що прямо загрожує $2 мільярдам вартості в екосистемі Pi Network. Банки й біржі, які зберігають кошти користувачів, несуть значну юридичну відповідальність у разі блокування або арешту активів клієнтів, створюючи системні ризики поширення проблем.
Орієнтація Pi Network на відповідність KYC-протоколів світовим стандартам, зокрема GDPR, забезпечує лише формальне дотримання, але не ліквідує фундаментальну загрозу централізації. Обов’язкова KYC-верифікація, необхідна для регуляторних цілей, концентрує чутливу ідентифікаційну інформацію у вразливих сховищах. Децентралізовані альтернативи й удосконалені механізми конфіденційності можуть вирішити ці проблеми, однак чинні системи залишаються відкритими для внутрішніх загроз, вразливостей постачальників і несанкціонованого доступу. Така концентрація контролю створює умови для катастрофічних втрат, що підривають фінансову цілісність мережі та довіру користувачів.
Недоліки смартконтрактів: аномалії міграції гаманців і ризик втрат на $2 мільярди
Процес міграції гаманців у смартконтрактній архітектурі Pi Network виявляє критичні вразливості безпеки, які виходять за межі стандартних ризиків блокчейна. Після лістингу токена у лютому 2025 року користувачі переводили свої активи в основну мережу, і смартконтракти, що виконували ці міграції, містили суттєві недоліки дизайну, пов’язані з недостатньою перевіркою вхідних даних. Зловмисники можуть скористатися цими прогалинами, надсилаючи некоректні транзакції й обходячи важливі перевірки, що мали б обмежувати несанкціоновані перекази гаманців.
Маніпулювання оракулами ще більше підвищує ці уразливості. Смартконтракти Pi Network залежать від даних про ціни із зовнішніх джерел для виконання умовних операцій у гаманцях. Зловмисники використовують низьколіквідні пули для торгівлі PI токеном на різних біржах, зокрема на gate, виконуючи мінімальні операції, що суттєво впливають на цінові показники. Такі штучно створені сигнали цін призводять до некоректного виконання смартконтрактів, які під час міграції перенаправляють кошти користувачів. Оскільки 15,7 мільйона користувачів уже мігрували свої активи, площина для атак охоплює мільярди у криптоактивах.
Ризик втрат на $2 мільярди відображає інституційний рівень впливу на Pi Network. Оскільки 59% основних фінансових інституцій планують значні вкладення у цифрові активи, зосередження вразливостей у провідних мережах створює системні ризики. Аномалії міграції гаманців Pi Network — приклад критичних збоїв, які можуть поширитися на взаємопов’язані інституційні позиції та спричинити масштабну ринкову нестабільність. Поєднання недоліків дизайну й уразливості оракулів створює ситуацію, коли одна скоординована атака може спричинити масове переміщення коштів раніше, ніж оператори мережі виявлять і ліквідують проблему в контрактах.
FAQ
Які відомі вразливості безпеки існують у смартконтрактів Pi Network?
Смартконтракти Pi Network мають потенційні вразливості, зокрема до повторних атак, недоліків контролю доступу та логічних помилок. Основні ризики можуть призвести до значних втрат. Користувачам слід проводити поглиблені аудити безпеки перед взаємодією з контрактами.
Які основні ризики безпеки загрожують Pi Network, наприклад, "51%" атаки чи flash-кредитні атаки?
Pi Network наражається на такі основні ризики безпеки: атаки "51%", що підривають консенсус, експлойти flash-кредитів проти DeFi-протоколів, уразливості смартконтрактів, загроза подвійного витрачання й ризики централізації мережі. Всі ці фактори можуть дозволити несанкціоновані транзакції й маніпуляції протоколом.
Як вплине серйозний інцидент безпеки Pi Network на активи користувачів?
Якщо Pi Network зазнає серйозного порушення безпеки, активи користувачів на біржах можуть бути втрачені. Зберігання Pi у власних гаманцях і уникнення активної торгівлі значно знижують ризики й захищають ваші кошти.
Які заходи вживає Pi Network для запобігання втратам на $2 мільярди через інциденти безпеки?
Pi Network застосовує багатофакторну автентифікацію, регулярні аудити безпеки та сучасні протоколи шифрування для захисту активів і даних користувачів. Ці комплексні механізми спрямовані на запобігання серйозним інцидентам і зниження ризиків у блокчейн-екосистемі.
Як порівнюється безпека Pi Network з іншими публічними блокчейнами та які її слабкі сторони?
Pi Network має ризики централізації, оскільки основна команда контролює 83% токенів і основних валідаторів мережі. Обов’язкові KYC-вимоги створюють додаткові ризики для приватності. Низький рівень аудиту смартконтрактів і регуляторна невизначеність у різних юрисдикціях ускладнюють безпеку порівняно з усталеними блокчейнами.
Чи містять механізм консенсусу й система перевірки Pi Network потенційні вразливості?
Механізм консенсусу Pi Network базується на Stellar-подібному BFT і KYC-верифікації на основі ШІ. В системі зафіксовано вразливості KYC через некоректні процеси перевірки за допомогою ШІ, що може створити ризики безпеці й дозволити шахраям брати участь у мережі як вузли.
Який стан аудитів смартконтрактів у Pi Network? Чи існують сліпі зони аудиту?
Аудити смартконтрактів Pi Network тривають, але залишаються потенційні сліпі зони, зокрема недостатній фокус на деталях і надто оптимістичні оцінки. Аудитори мають приділяти пріоритетну увагу безпеці контрактів і логічній цілісності під час перевірки.
Які інциденти безпеки чи вразливості мала Pi Network раніше?
У 2020 році Pi Network зіткнулася з порушеннями безпеки, пов’язаними з компрометацією контролю доступу й несправною мультипідписною системою гаманців. Ці випадки виявили суттєві вразливості в безпековій архітектурі та інфраструктурі платформи.
* Ця інформація не є фінансовою порадою чи будь-якою іншою рекомендацією, запропонованою чи схваленою Gate, і не є нею.
