Hakerzy kradną zapomniane inteligentne kontrakty: 17 mln dolarów skradzionych w zaledwie 40 dni

Zamiast atakować nowe, dobrze zabezpieczone protokoły, hakerzy coraz częściej atakują stare, przestarzałe inteligentne kontrakty, o których wszyscy zapomnieli. W ciągu ostatnich 40 dni (od 7 maja do 15 czerwca 2026 r.) atakujący wyłudzili prawie 17 milionów dolarów z kontraktów, które uznano za przestarzałe, ale nadal funkcjonują w łańcuchu bloków i mają realną wartość ekonomiczną.

To nie seria odosobnionych incydentów – to wyraźny, rozwijający się trend. Nieaktualne kontrakty nadal zachowują fundusze, uprawnienia, zatwierdzenia lub uprawnienia operacyjne długo po tym, jak zespoły przestały je utrzymywać lub monitorować.

Konkretne incydenty z ostatnich 40 dni

Oto pięć publicznie udokumentowanych przypadków, które składają się na tę łączną kwotę ~17 milionów dolarów:

Zaufane woluminy (Ethereum)

TrustedVolumes, dostawca płynności i animator rynku/rozwiązywacz transakcji używany przez 1inch Fusion, został zainfekowany przez lukę w zabezpieczeniach swojego niestandardowego proxy swapu RFQ. Atakujący ominął granicę autoryzacji i uzyskał dostęp do ścieżki kodu, która nigdy nie powinna być dostępna dla niezaufanego użytkownika wywołującego.

Wśród skradzionych środków znalazły się WETH, USDT, WBTC i USDC. Skradzione aktywa zostały później wyprane za pośrednictwem Tornado Cash i innych platform. 1inch wyjaśnił, że jego protokół bazowy nie został naruszony.

Huma Finance V1 Pools (wielokąt)

Atakujący wykorzystali błąd logiczny w zarządzaniu cyklem kredytowym przestarzałych kontraktów BaseCreditPool V1. Dokonali nieautoryzowanych wypłat, tracąc około 82 316 USDC + 19 075 USDC.e.

Pule były już w trakcie likwidacji. Huma Finance szybko wstrzymała umowy, których dotyczyły problemy, opublikowała raport z analizy i potwierdziła, że jej system V2 w Solanie oraz środki użytkowników na obecnej platformie nie zostały naruszone.

DxSale V1 Locker (sieć BNB)

Największa strata w tym okresie. Atakujący wyczerpywali ponad 1400 starych pul płynności ze starego kontraktu V1 Locker (wdrożonego w 2021 r.).

Exploit został umożliwiony przez wcześniejsze przeniesienie własności kontraktu na szafkę (269 dni wcześniej) w połączeniu z nadużyciem funkcji uprzywilejowanych — atakujący obniżył opłaty za modyfikacje do 1 WEI, zresetował znaczniki czasu blokady i dokonał zbiorczych wypłat. Szafki V2+ pozostały bezpieczne.

Raydium Legacy AMM V3 (Solana)

Hakerzy wykorzystali pięć wycofanych puli płynności w starym programie AMM V3 firmy Raydium (wycofanym w 2021 roku). Luka polegała na niewystarczającej walidacji adresów mennic tokenów LP.

Atakujący stworzył fałszywy token SPL, wybił fałszywy token LP i wywołał funkcję wypłaty, aby wykraść rzeczywistą płynność. Raydium potwierdziło incydent i zobowiązało się do pełnego odszkodowania dla poszkodowanych użytkowników ze swojego skarbca. Obecne pule i użytkownicy nie zostali dotknięci.

Aztec Connect (Ethereum)

Dwa oddzielne ataki przeprowadzone w ciągu kolejnych dni wymierzone były w wycofane kontrakty Aztec Connect (wycofane w 2023 roku). Kontrakty były niezmienne, a klucze administratora zostały już zrzeczone.

Atakujący wykorzystali lukę w logice weryfikacji dowodów (niezgodność między walidacją dowodów ZK a mechanizmami rozliczeń/wyjścia awaryjnego w łańcuchu), pozbawiając się zablokowanej wartości, której nie można było już wstrzymać ani zaktualizować. Aztec Labs nie miało kontroli nad kontraktami.

Oto tabela podsumowująca, umożliwiająca szybkie sprawdzenie:

Co powinny robić projekty: prawidłowy proces wycofywania inteligentnych kontraktów

Samo wyłączenie interfejsu użytkownika lub ogłoszenie, że kontrakt jest „wycofany”, nie wystarczy. Kontrakt jest naprawdę wycofywany dopiero po całkowitym usunięciu założeń dotyczących wartości, uprawnień i zaufania.

Oto, co powinien obejmować prawidłowy proces przejścia na emeryturę:

1. Usuń całą wartość przed usunięciem uwagi Wypłać wszystkie tokeny, pozycje płynności i nagrody. Daj użytkownikom jasne instrukcje dotyczące migracji i zachęty. Żaden system nie powinien być monitorowany, dopóki może nadal przechowywać lub przenosić aktywa użytkowników.
2. Cofnij wszystkie uprawnienia i przywileje Przeprowadź pełną inwentaryzację i cofnij zatwierdzenia, prawa właściciela, sygnatariuszy, przekaźników, przechowawców, routerów i wszelkie uprawnienia administracyjne. „Nie korzystamy już z tej umowy” nie oznacza, że nie można już na niej przesyłać środków.
3. Wdrożenie monitorowania dowolnej aktywności (alerty „wskrzeszania”) Skonfiguruj alerty dotyczące nowych wpłat do starszych pul, zatwierdzeń dla starych wydających, nieoczekiwanych zmian salda, wywołań uśpionych funkcji i aktywności na zapomnianych ścieżkach uprzywilejowanych. Zachowaj starsze kontrakty w programach bug bounty i monitorowaniu bezpieczeństwa.
4. Miej jasny plan na wypadek scenariusza „bez poprawki” Jeśli kontrakt jest niezmienny lub klucze administratora zostały zrzeczone, nie można go wstrzymać ani uaktualnić. W takich przypadkach należy wzmocnić zachęty do migracji, jasno określić ryzyko i przygotować gotowy do wdrożenia podręcznik reagowania na incydenty.

Ostateczne wnioski

Kolejna duża strata w DeFi może nie wynikać z nowej, błyszczącej funkcji. Może wynikać z kontraktu, który zespół już ogłosił jako stary, a następnie pozostawił ekonomicznie aktywny w łańcuchu.

Zespoły ds. bezpieczeństwa stały się bardzo dobre w analizowaniu premier. Kolejną dyscypliną, której potrzebuje branża, jest analiza wyjść.

Dopóki prawidłowe wycofywanie umów nie stanie się powszechną praktyką, starsze umowy pozostaną jednym z najłatwiejszych i najbardziej atrakcyjnych celów dla atakujących.