Чому протоколи кредитування залишаються основними цілями для зломів у DeFi: 67 історичних зловживань пояснено

Сектор кредитування DeFi стикається з постійними проблемами безпеки. З 267 задокументованих інцидентів у сфері DeFi, протоколи кредитування стали об’єктом 67 окремих зломів — що робить їх найбільш цілеспрямованою частиною децентралізованих фінансів. Ця концентрація атак відображає як масштаб капіталу, вкладеного в кредитні застосунки, так і внутрішню складність їхньої операційної архітектури.

Масштаб зломів у DeFi на ринку кредитування

Платформи кредитування привертають значну увагу зловмисників через кілька структурних факторів. Зазвичай ці застосунки зберігають великі резерви стабільних монет або високовартісних застав, таких як Ethereum і Bitcoin. Відкритий характер більшості он-чейн кредитних операцій у поєднанні з автоматизацією смарт-контрактів створює кілька потенційних точок входу для зловживань.

Механізми швидких позик, які дозволяють користувачам миттєво позичати активи в межах однієї транзакції, неодноразово використовувалися як вектори атак. Аналогічно, вразливості у системах цінових оракулів і механізмах ліквідації довели свою ефективність для крадіжки коштів. Деякі платформи ускладнюють ризики, випускаючи нові токени як нагороду за відсотки, що випадково створює можливості для зломів через мінінг. Загалом, у кредитних платформах заблоковано активів на суму 53 мільярди доларів, тому фінансовий стимул для зловмисників залишається значним.

Смарт-контракти: Ахіллесова п’ята протоколів DeFi

Технічні недоліки реалізації є основною причиною втрат у сфері кредитування. За останні 12 місяців до початку 2026 року, помилки у смарт-контрактах безпосередньо спричинили втрати на суму 526 мільйонів доларів у 48 окремих інцидентах. Ця тенденція підкреслює, що аудити безпеки, хоча й важливі, не можуть усунути всі ризики, властиві блокчейн-застосункам.

Другий за значущістю вектор вразливості — це компрометація приватних ключів або крадіжка мульти-сигнатних гаманців, хоча він поступається за впливом технічним дефектам коду. Навіть проєкти, що пройшли професійний аудит безпеки, зазнали значних зломів — у сумі аудиторські протоколи втратили 515 мільйонів доларів, тоді як неаудитовані смарт-контракти — 77 мільйонів доларів у 24 інцидентах, а експлойти поза межами аудиту — 193 мільйони доларів.

Множинні вектори атак: від швидких позик до маніпуляцій цінами

Маніпуляції цінами виявилися особливо руйнівними, спричинивши 13 окремих інцидентів і задокументовані втрати на 65 мільйонів доларів. Ці атаки зазвичай експлуатують залежність протоколів кредитування від цінових оракулів у реальному часі, штучно завищуючи або занижуючи оцінки застав, щоб викликати ліквідації або несанкціоноване позичання.

Реальні кейси ілюструють постійний ризик. Протокол Moonwell зазнав зломів через недоліки у своїй архітектурі цінових оракулів. Серед 30 історичних зломів, неаудитований код був причиною у 58,4% випадків, проте статус професійного аудиту сам по собі не забезпечує повного захисту від складних стратегій атак.

Статус аудиту не гарантує запобігання зломам у DeFi

Постійність зломів у проєктах, що пройшли аудит, свідчить про те, що блокчейн-застосунки мають принципово інші виклики безпеки порівняно з традиційним програмним забезпеченням. Кожна платформа DeFi має кілька точок входу та взаємодіє з зовнішніми джерелами даних, що розширює поверхню атаки понад межі звичайних методів аудиту коду.

Паралельно виникають загрози з боку користувачів. Поширення клонированих децентралізованих бірж, деякі з яких шахрайськи позиціонуються як справді децентралізовані, але фактично зберігають депозити користувачів і стягують комісії за виведення, створює альтернативні механізми крадіжки. Ці платформи використовують відкритий характер DeFi, водночас вводячи централізовані контрольні точки.

Розуміння цих моделей експлуатації — будь то технічні вразливості, збої оракулів або соціальні інженерні схеми — є важливим для учасників, які оцінюють безпеку платформ і приймають рішення щодо розподілу капіталу у секторі кредитування.