Главное за минуту:
- Потери в 👉 DeFi упали на 80% — с $2,62 млрд в 2022 до $534 млн в 2024;
- Медианный ущерб от одного инцидента сократился с $6 млн до $1,5 млн (минус 75%);
- Новая угроза — мультичейн-эксплойты: один баг может одновременно поразить шесть блокчейнов;
- Пример: Balancer потерял $128 млн за полчаса из-за ошибки округления в коде.
Команда Octobit разобрала, почему старые векторы атак исчезли, но появились новые — намного опаснее.
Как DeFi научился защищаться от классических атак
Факт: в 2022 году мостовые хаки забрали $1,9 млрд — это 73% всех потерь. Ronin Bridge потерял $624 млн, 👉 Binance Bridge — $570 млн, Wormhole — $326 млн. К 2025 году доля мостов в общих убытках упала до 3%.
Причина простая: индустрия признала проблему и стандартизировала решения. Децентрализованные наборы валидаторов, улучшенные механизмы верификации, нативный cross-chain messaging — всё это превратило мосты из самого слабого звена во что-то приемлемое.
Флешлоан-атаки прошли тот же путь. В 2020 году они забирали 54% потерь — это была фирменная техника того времени. К 2025-му их доля упала до менее 1%. Протоколы адаптировались: TWAP-оракулы, интеграция Chainlink, reentrancy guards. Простыми словами, разработчики начали предвидеть, что атакующий может манипулировать ценой в пределах одной транзакции, и строить 👉 защиту под это.
Компрометация 👉 приватных ключей также сократилась — с 28,7% в 2022 до 8,1% в 2025. Каждая категория упала по одной причине: проблему выявили, задокументировали, создали под неё защиту. Check Point Research подтверждает: повторяющиеся атаки больше не работают.
Больше аналитики по безопасности протоколов мы публикуем в разделе 👉 новости криптовалют.
Эволюция DeFi-потерь 2020-2025
Что осталось — и почему это хуже
В 2025 году 89,1% всех потерь пришлись на protocol logic exploits — баги в коде конкретного приложения. Это не универсальная атака типа флешлоана. Это уникальная ошибка в математике пула, контроле доступа или взаимодействии между компонентами.
Почему это проблема? Каждый такой баг — отдельная головоломка. Мостовый хак базируется на понятных предположениях о доверии. Флешлоан-атака — это шаблон. Protocol logic exploit — это каждый раз новая история, которая не имеет прямого отношения к предыдущей.
Факт: Balancer V2 Composable Stable Pools потеряли $128 млн в ноябре 2025 за менее чем полчаса. Атакующий эксплуатировал ошибку округления в инвариантной математике пула. BlockSec описывает детали: злоумышленник сдвинул балансы токенов на грань округления, затем цепочкой свопов усиливал эти микроошибки, пока не слил пул полностью.
Код с этой уязвимостью был задеплоен на Ethereum, Arbitrum, Base, Polygon, Sonic и OP Mainnet. Эксплойт поразил все сети одновременно, потому что проблема была в самом коде, а этот код был скопирован везде.
Одиннадцать аудитов не выявили эту ошибку. Это говорит о том, насколько тонким стал этот класс багов и почему их так сложно предвидеть.
Мультичейн-деплоймент превращает локальный баг в системный кризис. Код с уязвимостью теперь сидит не на одной сети, а на шести одновременно.
Мультичейн-деплоймент как новый системный риск
Основные протоколы сейчас разворачиваются на Ethereum, Base, Arbitrum, Polygon, OP Mainnet, Sonic. Одна ошибка в коде — и слив идёт параллельно на всех сетях.
ImmuneFi провёл прямую параллель между Poly Network (2021, $611 млн) и Balancer (2025, $128 млн). Poly Network — это был сбой в точке соединения между системами, классический мостовый риск. Balancer — это одна логика, которая провалилась одинаково на шести сетях, делящих код, пути подписания, предположения верификации.
Простыми словами: криптоиндустрия создала отдельные блокчейны, чтобы избежать зависимости от одной системы. Ирония в том, что запуск одинаковых популярных протоколов на всех этих цепях восстановил ту же концентрацию, от которой пытались убежать.
Каждая сеть, которая становится частью стандартной карты деплоймента для больших протоколов, поглощает риск всего, что она хостит, независимо от того, насколько надёжна её собственная инфраструктура.
Что это означает для пользователя? Потеря может произойти в приложении, которое несёт в себе баг, импортированный откуда угодно. Удобство, которое делает мультичейн-апы привлекательными, — это то же самое, что превращает ошибку из локальной в общую.
🔮 Чего ждать дальше?
Следующий большой инцидент может выглядеть невинно в день, когда он произойдёт — один баг в широко задеплоенном протоколе. Но его настоящий масштаб станет понятным только после того, как люди осознают, что тот же уязвимый код сидел на полдюжине сетей всё это время. Риск больше не в мостах. Он в коде, который все копируют.
Выводы
Словарь
- Protocol logic exploit: Тип атаки, когда злоумышленник использует ошибку в логике конкретного смарт-контракта (например, в математике пула или контроле доступа), а не универсальную технику типа флешлоана.
- Flash-loan атака: Техника, когда атакующий берёт необеспеченный кредит в рамках одной транзакции, манипулирует ценой актива и возвращает кредит с профитом — всё за секунды.
- TWAP (Time-Weighted Average Price): Метод расчёта средней цены актива за определённый период, который защищает от резких манипуляций в рамках одной транзакции.
- Reentrancy guard: Защитный механизм в смарт-контракте, который запрещает повторный вызов функции до завершения предыдущего выполнения — блокирует определённый тип атак.
- Cross-chain messaging: Технология передачи данных и токенов между различными блокчейнами без использования централизованных мостов.
Частые вопросы
Почему общие потери в DeFi упали, если количество инцидентов выросло?
Потому что каждый отдельный хак теперь наносит намного меньше вреда. Медианный ущерб упал с $6 млн до $1,5 млн. Больше инцидентов, но мельче — это нормальный признак зрелой индустрии, которая закрыла основные векторы атак.
Что такое protocol logic exploit и почему его сложно выявить?
Это баг в коде конкретного протокола — ошибка в математике, контроле доступа или взаимодействии компонентов. Каждый такой баг уникален, поэтому его нельзя выявить стандартным чеклистом аудита. Пример: Balancer потерял $128 млн из-за ошибки округления, которую пропустили 11 аудитов.
Почему мультичейн-протоколы создают новый риск?
Потому что один и тот же код разворачивается на шести блокчейнах одновременно. Если в нём есть баг, атакующий может одновременно сливать фонды на Ethereum, Base, Arbitrum, Polygon, OP Mainnet и Sonic. Локальная ошибка становится системным кризисом.
Какие сети самые безопасные по показателю потерь к TVL?
По данным исследований, самые безопасные — Ethereum (~0,42%), Solana (~0,42%) и BNB Chain (~0,33%). Это три крупнейшие DeFi-экосистемы по объёму заблокированной стоимости, что доказывает: масштаб и безопасность могут расти вместе.
