Головне за хвилину:
- Втрати в 👉 DeFi впали на 80% — з $2,62 млрд у 2022 до $534 млн у 2024;
- Медіанний збиток від одного інциденту скоротився з $6 млн до $1,5 млн (мінус 75%);
- Нова загроза — мультичейн-експлойти: один баг може одночасно вразити шість блокчейнів;
- Приклад: Balancer втратив $128 млн за пів години через помилку округлення в коді.
Команда Octobit розібрала, чому старі вектори атак зникли, але з’явилися нові — набагато небезпечніші.
Як DeFi навчився захищатися від класичних атак
Факт: у 2022 році мостові хаки забрали $1,9 млрд — це 73% усіх втрат. Ronin Bridge втратив $624 млн, 👉 Binance Bridge — $570 млн, Wormhole — $326 млн. До 2025 року частка мостів у загальних збитках впала до 3%.
Причина проста: індустрія визнала проблему і стандартизувала рішення. Децентралізовані набори валідаторів, покращені механізми верифікації, нативний cross-chain messaging — усе це перетворило мости з найслабшої ланки на щось прийнятне.
Флешлоан-атаки пройшли той самий шлях. У 2020 році вони забирали 54% втрат — це була фірмова техніка того часу. До 2025-го їхня частка впала до менш ніж 1%. Протоколи адаптувалися: TWAP-оракули, інтеграція Chainlink, reentrancy guards. Простими словами, розробники почали передбачати, що атакуючий може маніпулювати ціною в межах однієї транзакції, і будувати 👉 захист під це.
Компрометація 👉 приватних ключів також скоротилася — з 28,7% у 2022 до 8,1% у 2025. Кожна категія впала з однієї причини: проблему виявили, задокументували, створили під неї захист. Check Point Research підтверджує: повторювані атаки більше не працюють.
Більше аналітики щодо безпеки протоколів ми публікуємо в розділі 👉 новини криптовалют.
Еволюція DeFi-втрат 2020-2025
Що залишилося — і чому це гірше
У 2025 році 89,1% усіх втрат припали на protocol logic exploits — баги в коді конкретного застосунку. Це не універсальна атака типу флешлоану. Це унікальна помилка в математиці пулу, контролі доступу або взаємодії між компонентами.
Чому це проблема? Кожен такий баг — окрема головоломка. Мостовий хак базується на зрозумілих припущеннях про довіру. Флешлоан-атака — це шаблон. Protocol logic exploit — це щоразу нова історія, яка не має прямого стосунку до попередньої.
Факт: Balancer V2 Composable Stable Pools втратили $128 млн у листопаді 2025 за менш ніж пів години. Атакуючий експлуатував помилку округлення в інваріантній математиці пулу. BlockSec описує деталі: зловмисник зрушив баланси токенів на межу округлення, потім ланцюжком свопів підсилював ці мікропомилки, поки не зливав пул повністю.
Код з цією вразливістю був задеплоєний на Ethereum, Arbitrum, Base, Polygon, Sonic і OP Mainnet. Експлойт вразив усі мережі одночасно, тому що проблема була в самому коді, а цей код був скопійований всюди.
Одинадцять аудитів не виявили цю помилку. Це говорить про те, наскільки тонким став цей клас багів і чому їх так складно передбачити.
Мультичейн-деплоймент перетворює локальний баг на системну кризу. Код з вразливістю тепер сидить не на одній мережі, а на шести одночасно.
Мультичейн-деплоймент як новий системний ризик
Основні протоколи зараз розгортаються на Ethereum, Base, Arbitrum, Polygon, OP Mainnet, Sonic. Одна помилка в коді — і злив іде паралельно на всіх мережах.
ImmuneFi провів пряму паралель між Poly Network (2021, $611 млн) і Balancer (2025, $128 млн). Poly Network — це був збій у точці з’єднання між системами, класичний мостовий ризик. Balancer — це одна логіка, яка провалилася однаково на шести мережах, що ділять код, шляхи підписання, припущення верифікації.
Простими словами: криптоіндустрія створила окремі блокчейни, щоб уникнути залежності від однієї системи. Іронія в тому, що запуск однакових популярних протоколів на всіх цих ланцюгах відбудував ту саму концентрацію, від якої намагалися втекти.
Кожна мережа, яка стає частиною стандартної карти деплойменту для великих протоколів, поглинає ризик усього, що вона хостить, незалежно від того, наскільки надійна її власна інфраструктура.
Що це означає для користувача? Втрата може статися в застосунку, який несе в собі баг, імпортований звідки завжди. Зручність, яка робить мультичейн-апи привабливими, — це те саме, що перетворює помилку з локальної на спільну.
🔮 Чого чекати далі?
Наступний великий інцидент може виглядати невинно в день, коли він станеться — один баг у широко задеплоєному протоколі. Але його справжній масштаб стане зрозумілим тільки після того, як люди усвідомлять, що той самий вразливий код сидів на півдюжині мереж увесь цей час. Ризик більше не в мостах. Він у коді, який всі копіюють.
Висновки
Словник
- Protocol logic exploit: Тип атаки, коли зловмисник використовує помилку в логіці конкретного смарт-контракту (наприклад, у математиці пулу або контролі доступу), а не універсальну техніку типу флешлоану.
- Flash-loan атака: Техніка, коли атакуючий бере необзаборгований кредит у межах однієї транзакції, маніпулює ціною активу і повертає кредит із профітом — усе за секунди.
- TWAP (Time-Weighted Average Price): Метод розрахунку середньої ціни активу за певний період, який захищає від різких маніпуляцій у межах однієї транзакції.
- Reentrancy guard: Захисний механізм у смарт-контракті, який забороняє повторний виклик функції до завершення попереднього виконання — блокує певний тип атак.
- Cross-chain messaging: Технологія передачі даних і токенів між різними блокчейнами без використання централізованих мостів.
Часті питання
Чому загальні втрати в DeFi впали, якщо кількість інцидентів зросла?
Тому що кожен окремий хак тепер завдає набагато менше шкоди. Медіанний збиток впав з $6 млн до $1,5 млн. Більше інцидентів, але дрібніших — це нормальна ознака зрілої індустрії, яка закрила основні вектори атак.
Що таке protocol logic exploit і чому його складно виявити?
Це баг у коді конкретного протоколу — помилка в математиці, контролі доступу або взаємодії компонентів. Кожен такий баг унікальний, тому його не можна виявити стандартним чеклістом аудиту. Приклад: Balancer втратив $128 млн через помилку округлення, яку пропустили 11 аудитів.
Чому мультичейн-протоколи створюють новий ризик?
Тому що один і той самий код розгортається на шести блокчейнах одночасно. Якщо в ньому є баг, атакуючий може одночасно зливати фонди на Ethereum, Base, Arbitrum, Polygon, OP Mainnet і Sonic. Локальна помилка стає системною кризою.
Які мережі найбезпечніші за показником втрат до TVL?
За даними досліджень, найбезпечніші — Ethereum (~0,42%), Solana (~0,42%) і BNB Chain (~0,33%). Це три найбільші DeFi-екосистеми за обсягом заблокованої вартості, що доводить: масштаб і безпека можуть рости разом.
