Сентябрь 2025 года стал рекордным по ущербу от взломов DeFi-проектов

Сентябрь 2025 года стал одним из самых тяжелых месяцев для сектора децентрализованных финансов (DeFi). Согласно данным экспертов, за этот период было зафиксировано 10 атак, ущерб от которых превысил $1 млн каждый. Общая сумма потерь составила около $110,9 млн, что значительно выше показателя августа, когда 4 атаки привели к потерям около $65 млн.

Одним из крупнейших инцидентов стал взлом SwissBorg, потерявшей $41,5 млн из-за уязвимости в цепочке поставок. Проблема возникла у партнера Kiln, управлявшего программой стейкинга. Вредоносная логика в транзакции на вывод средств позволила злоумышленникам получить контроль над учетными записями. Схожий масштаб имела атака на UXLINK, где ущерб составил около $41 млн. Хакеры похитили ключи от мультиподписного-кошелька и воспользовались функций delegatecall, чтобы выпустить токены «без разрешения».

Среди других заметных атак выделяется случай с протоколом Bunni, построенным на Uniswap v4. «Ошибка округления» в смарт-контрактах обошлась проекту в $8 млн. Nemo Protocol на базе Sui потерял $2,4 млн после взлома своего пула, а мост Shibarium Bridge лишился аналогичной суммы из-за flashloan-атаки, позволившей получить контроль над валидаторами и вывести средства.

Yala, протокол стейблкоинов, столкнулся с утечкой $7,6 млн. Хакеры использовали украденные ключи и создали поддельный кроссчейн-мост для выпуска токенов. Еще один молодой проект, New Gold Protocol, лишился $2 млн вскоре после запуска. Эксплойт основывался на манипуляции ценовым оракулом и логикой перевода, что сделало атаку успешной.

Seedify, известный Web3-инкубатор и лаунчпад, стал жертвой атаки с потерями $1,7 млн. Эксперты связывают инцидент с возможными северокорейскими хакерами, которые получили доступ к приватному ключу разработчика и провели атаку на мост SFUND. GriffinAI также понес убытки в размере $3 млн из-за компрометации приватных ключей и уязвимости в мосте LayerZero, позволившей выпустить миллиарды токенов GAIN.

Еще одна атака пришлась на агрегатор Kame, где из-за ошибки в смарт-контрактах злоумышленники вывели $1,3 млн. Проблема была связана с функцией свапа, которая позволяла злоупотреблять DeFi-аппрувами и проводить произвольные вызовы. Этот случай стал еще одним примером того, как ошибки в коде могут привести к серьезным потерям.