Криптомир вновь столкнулся с масштабной атакой, на этот раз удар пришёлся по экосистеме Shiba Inu. Злоумышленник, используя сложную схему с мгновенным кредитом (флеш-кредит), сумел вывести из моста Shibarium активы на сумму, превышающую два миллиона долларов. Эта сеть второго уровня предназначена для более быстрых и дешёвых транзакций, а её мост обеспечивает перемещение средств между Ethereum и Shibarium.
По данным команды Shiba Inu, атака тщательно готовилась в течение нескольких месяцев. В её основе лежал захват контроля над механизмом консенсуса. Злоумышленник занял огромное количество токенов управления BONE, что позволило ему скомпрометировать большинство ключей валидаторов. Получив практически неограниченную власть в сети, он инициировал несанкционированный вывод средств.
"Мы приостановили функции стейкинга и перевели оставшиеся активы на защищённое хранилище", — отметили разработчики Shiba Inu.
В результате действий хакера с адреса моста было изъято 224,57 ETH и колоссальные 92,6 миллиарда токенов SHIB. Помимо этого, добычей преступника стали токены другого проекта экосистемы — K9 Finance DAO (KNINE), ущерб от чего оценивается ещё в семьсот тысяч долларов. Также были затронуты и другие активы, включая LEASH и TREAT, однако эти монеты пока остаются нетронутыми и не перемещались.
Инцидент заставил команду Shiba Inu в экстренном порядке принимать меры для обеспечения безопасности оставшихся средств пользователей. Были немедленно остановлены все операции по внесению и выводу из стейкинга. Самые важные активы были оперативно переведены из потенциально уязвимых прокси-смарт-контрактов на аппаратное хранилище, защищённое мультиподписью. Это означает, для проведения любой транзакции потребуется согласие нескольких независимых сторон.
Для расследования произошедшего были привлечены ведущие компании в области кибербезопасности блокчейн-проектов: Hexens, Seal911 и PeckShield. Их задача — выявить все уязвимости и проследить путь украденных средств, чтобы предотвратить их обналичивание.
Несмотря на успех атаки, злоумышленник столкнулся с серьёзными проблемами. Во-первых, он не может получить доступ к 4,6 миллионам BONE, которые занял для атаки.
Эти средства остаются делегированными валидаторам и в настоящее время заморожены. Во-вторых, проект K9 Finance DAO оперативно внёс адрес хакера в чёрный список, что сделало его токены KNINE практически бесполезными, так как их невозможно продать или передать.
В ближайшее время команда Shiba Inu планирует выполнить несколько ключевых шагов для восстановления доверия и безопасности сети. В первую очередь, валидаторы получат back свои ключи, но только после того, как будет полностью подтверждена целостность и безопасность сети. Затем пользователям будет возвращён доступ к функциям стейкинга, но лишь тогда, когда разработчики будут на 100% уверены в их защищённости.
Параллельно будет продолжена работа с партнёрами по отслеживанию и заморозке всех активов, связанных с кошельком хакера. Завершающим этапом станет публикация полного отчёта о расследовании инцидента, который прольёт свет на все детали произошедшего.
| Плюсы | Минусы |
| Оперативная реакция команды на инцидент и приостановка уязвимых функций. | Потеря средств: пользователи временно не имеют доступа к своим активам в стейкинге. |
| Привлечение экспертов из ведущих аудиторских компаний для расследования. | Удар по репутации: подобные инциденты подрывают доверие к проектам DeFi и L2-сетям. |
| Часть средств хакера заблокирована и не может быть обналичена. | Риск для инвесторов: стоимость связанных токенов (SHIB, BONE, KNINE) может подвергнуться высокой волатильности. |
| Аппаратное хранилище с мультиподписью обеспечивает повышенную безопасность оставшихся активов. | Неопределённость: полное восстановление функциональности сети и стейкинга потребует времени. |
Миф: Если проект популярен, как Shiba Inu, его технологии полностью безопасны.
Правда: Любой, даже самый крупный проект в сфере криптовалют и DeFi, может содержать уязвимости. Популярность не равна абсолютной безопасности.
Миф: Страхование депозитов в DeFi работает так же, как в банках.
Правда: В большинстве случаев у пользователей DeFi нет страховки на случай взлома. Возмещение ущерба зависит solely от решений команды проекта и успешного отслеживания средств.
Как выбрать безопасный мост для перевода средств?
Обращайте внимание на время существования моста, его общий объём заблокированных средств (TVL) и количество проведённых аудитов. Предпочтение стоит отдавать более старым и проверенным решениям.
Сколько стоит аудит смарт-контракта?
Стоимость профессионального ауита может варьироваться от нескольких десятков до сотен тысяч долларов в зависимости от сложности кода и престижа компании-аудитора.
Что лучше: хранить средства на бирже или в DeFi-стейкинге?
У обоих вариантов есть риски. Биржи могут быть взломаны или заблокировать аккаунт. DeFi-протоколы могут содержать ушибвимости в коде. Оптимально — диверсифицировать хранение активов.
Атаки на мосты между блокчейнами, к сожалению, не редкость в криптоиндустрии. Это стало своеобразным "проклятием" межсетевого взаимодействия.
Каждый такой инцидент заставляет индустрию развивать новые, более безопасные стандарты и протоколы для передачи активов.
Ошибка: хранение всех активов в стейкинге одного малознакомого протокола.
Последствие: высокий риск полной потери средств в случае взлома или ошибки в коде.
Альтернатива: использование аппаратных кошельков (Ledger, Trezor) для долгосрочного хранения основных средств и диверсификация стейкинга между несколькими проверенными проектами с лидером рынка — Ethereum.
А что если подобные атаки приведут к ужесточению регулирования со стороны государств? Это может иметь двоякий эффект. С одной стороны, это может повысить безопасность для рядовых пользователей за счёт введения обязательных лицензий и аудитов. С другой — это может уничтожить саму суть децентрализованных финансов, основанных на свободе и анонимности.