Хакери крадуть забуті смарт-контракти: 17 мільйонів доларів вкрадено лише за 40 днів

Замість того, щоб атакувати нові, добре захищені протоколи, хакери все частіше атакують старі, застарілі смарт-контракти, про які всі забули. За останні 40 днів (з 7 травня по 15 червня 2026 року) зловмисники викрали майже 17 мільйонів доларів із контрактів, які вважалися застарілими, але залишалися активними в блокчейні з реальною економічною цінністю.

__КОРОТКИЙ_ТОКЕН_0__

Це не серія ізольованих інцидентів — це чітка тенденція, що розвивається. Застарілі контракти продовжують зберігати кошти, дозволи, схвалення або операційні повноваження ще довго після того, як команди припинили їх підтримувати або контролювати.

Конкретні інциденти за останні 40 днів

Ось п'ять публічно задокументованих справ, які складають цю загальну суму ~17 мільйонів доларів:

TrustedVolumes (Ethereum)

TrustedVolumes, постачальник ліквідності та маркет-мейкер/резольвер, що використовується 1inch Fusion, був вичерпаний через вразливість у його користувацькому проксі-сервери обміну RFQ. Зловмисник обійшов межу авторизації та отримав доступ до кодового шляху, який ніколи не повинен був бути доступним для ненадійного абонента.

Серед викрадених коштів були WETH, USDT, WBTC та USDC. Викрадені активи пізніше були відмиті через Tornado Cash та інші схеми. 1inch уточнив, що його основний протокол не постраждав.

Пули Huma Finance V1 (полігон)

Зловмисники використали логічну помилку в управлінні життєвим циклом кредиту застарілих контрактів V1 BaseCreditPool. Вони здійснили несанкціоновані зняття коштів, втративши приблизно 82 316 USDC + 19 075 USDC.e.

Пули вже перебували в процесі ліквідації. Huma Finance швидко призупинила відповідні контракти, опублікувала аналіз і підтвердила, що її система V2 на Solana та кошти користувачів на поточній платформі не постраждали.

DxSale V1 Locker (ланцюг BNB)

Найбільша втрата за цей період. Зловмисники вичерпали понад 1400 застарілих пулів ліквідності зі старого контракту на шафку V1 (розгорнутого у 2021 році).

Експлойт був уможливлений попередньою передачею права власності на контракт блокування (269 днів тому) у поєднанні зі зловживанням привілейованими функціями — зловмисник зменшив комісію за модифікацію до 1 вей, скинув часові позначки блокування та виконав пакетне вилучення коштів. Блокування V2+ залишалися в безпеці.

Raydium Legacy AMM V3 (Solana)

Хакери використали п'ять застарілих пулів ліквідності у старій програмі Raydium AMM V3 (поступово припинена у 2021 році). Вразливість полягала в недостатній перевірці адрес монетних дворів токенів LP.

Зловмисник створив фальшивий токен SPL, викарбував підроблений токен LP та викликав функцію виведення коштів, щоб злити реальну ліквідність. Raydium підтвердив інцидент та пообіцяв повністю компенсувати постраждалим користувачам зі своєї скарбниці. Поточні пули та користувачі не постраждали.

Aztec Connect (Етереум)

Дві окремі атаки протягом кількох днів поспіль були спрямовані на застарілі контракти Aztec Connect (підтримка яких закінчилася у 2023 році). Контракти були незмінними, а ключі адміністратора вже були скасовані.

Зловмисники використали недолік у логіці перевірки доказів (невідповідність між валідацією доказів ZK та механізмами розрахунків/евакуації в ланцюжку), вичерпавши заблоковану вартість, яку більше не можна було призупинити або оновити. Aztec Labs не мала контролю над контрактами.

Ось зведена таблиця для швидкого ознайомлення:

Що повинні робити проекти: правильний процес виведення смарт-контрактів з експлуатації

Простого вимкнення фронтенду або оголошення про те, що контракт «застарів», недостатньо. Контракт вважається повністю забракованим лише тоді, коли значення, дозволи та припущення щодо довіри повністю видалені.

Ось що має включати правильний процес виходу на пенсію:

1. Видаліть усе значення, перш ніж прибирати увагу Вилучіть кожен токен, позицію ліквідності та винагороду. Надайте користувачам чіткі інструкції та стимули щодо міграції. Жодна система не повинна припиняти моніторинг, поки вона все ще може зберігати або переміщувати активи користувачів.
2. Скасувати всі дозволи та привілеї Проведіть повну інвентаризацію та скасуйте схвалення, права власника, підписантів, ретрансляторів, зберігачів, маршрутизаторів та будь-які адміністративні привілеї. «Ми більше не використовуємо цей контракт» не означає, що він більше не може переміщувати кошти.
3. Впроваджуйте моніторинг будь-якої активності (сповіщення про «воскресіння»). Налаштуйте сповіщення про нові депозити у застарілих пулах, схвалення старих споживачів, неочікувані зміни балансу, виклики неактивних функцій та активність через забуті привілейовані шляхи. Зберігайте застарілі контракти в програмах винагороди за помилки та моніторингу безпеки.
4. Майте чіткий план на випадок сценарію «без патчу» Якщо контракт незмінний або від ключів адміністратора відмовилися, ви не можете його призупинити або оновити. У таких випадках посиліть стимули для міграції, надайте чітке розкриття інформації про ризики та підготуйте готовий до виконання план реагування на інциденти.

Остаточний висновок

Наступна велика втрата DeFi може статися не через блискучу нову функцію. Вона може статися через контракт, який команда вже оголосила застарілим, а потім залишила економічно живим у блокчейні.

Команди безпеки стали дуже вправними в перевірці запусків. Наступна дисципліна, яка потрібна галузі, — це перевірка завершених проектів.

Доки належне припинення дії контрактів не стане стандартною практикою, застарілі контракти залишатимуться однією з найлегших та найпривабливіших цілей для зловмисників.