12 мая 2026 года зафиксированы два инцидента в сетях Ethereum и Arbitrum с суммарным ущербом около $503 тыс. В обоих случаях злоумышленники не взламывали чужие серверы и не угадывали пароли — они нашли ошибки в логике самих протоколов и воспользовались ими.
BoostHook / PERP-ETH — ~$47 тыс.
Что такое BoostHook и как работала атака
BoostHook — это дополнение к торговой платформе на Ethereum. Оно позволяет открывать позиции с плечом, то есть торговать на сумму большую, чем у тебя есть, беря недостающее из резервов самого протокола.
Дата: 12 мая 2026. Сеть: Ethereum.
TX: 0xb45cc4d9c13c2c24b4bbf71db9e6f52ed24d174ad23ed2622a290289cebd3811
1️⃣ Злоумышленник взял мгновенный кредит (flash loan — заём, который нужно вернуть в рамках одной транзакции) на 120 WETH.
2️⃣ На эти деньги он заранее купил большое количество токенов PERP. Это подняло их цену.
3️⃣ Затем 9 раз открыл позиции через BoostHook. Каждый раз протокол брал ETH из своих же резервов и покупал PERP в том же пуле — ещё сильнее поднимая цену. Пул — это общий резервуар токенов, в котором происходят сделки.
4️⃣ Когда цена PERP искусственно выросла, злоумышленник продал заранее купленные токены обратно — уже по завышенной цене.
5️⃣ Вернул 120 WETH займа. На адресе осталось 20.9329 WETH чистого результата (~$47 тыс.).
Почему это стало возможным
Протокол позволял брать деньги из своих же резервов и тут же вкладывать их в тот же пул. Это значит, что атакующий двигал цену активами самого протокола, а не своими. Когда цена вернулась назад, 5 из 9 позиций были принудительно закрыты с убытком. Ещё 4 позиции с долгом около 32 ETH так и остались висеть открытыми — то есть часть потерь протокол ещё не зафиксировал.
Движение средств
Средства (~$47 тыс.) поступили на адрес 0xb0a019dd22c363e82fa4f96ae1e4b993341f5104. Большая часть была отправлена в миксер Tornado Cash — сервис, который скрывает происхождение транзакций. Около $2 тыс. в ETH оставались на адресе злоумышленника на момент расследования.
Aurellion Labs — ~$456 тыс.
Что такое Diamond-прокси и в чём была ошибка
Diamond-прокси — это особая архитектура смарт-контракта (программы на блокчейне), которая позволяет обновлять логику по частям, не разворачивая весь контракт заново. По сути, это «управляющий» контракт, который решает, какой код выполнять.
Дата: 12 мая 2026. Сеть: Arbitrum.
TX: 0x19cbafae517791e7e73403313d70440abf60558350e419df05c04f816998fe0a
Такой контракт перед началом работы нужно инициализировать — то есть настроить и назначить владельца. В Aurellion Labs эту процедуру не завершили: функция инициализации осталась открытой.
1️⃣ Злоумышленник сам вызвал функцию initialize() — и назначил свой контракт владельцем.
2️⃣ Став владельцем, он получил право менять логику контракта через специальный механизм обновлений.
3️⃣ Он добавил вредоносные функции и использовал их для вывода USDC — как из самого контракта, так и с адресов пользователей, которые ранее давали этому контракту разрешение на списание средств. Разрешение на списание (approve) — это стандартная операция в DeFi, когда пользователь говорит контракту «ты можешь тратить мои токены».
4️⃣ На адрес злоумышленника ушло 456,442.54 USDC (~$456 тыс.).
Почему это стало возможным
Контракт не был правильно инициализирован после развёртывания. Это всё равно что установить замок на дверь, но не закрыть его. Любой, кто знал про эту дверь, мог войти первым и забрать ключ.
Движение средств
Средства поступили на адрес 0x9F49591a3bf95B49cD8d9477b4481Ce9da68d5Ca в сети Arbitrum, затем через мост LI.FI были перемещены на тот же адрес в сети Ethereum. Там USDC были конвертированы в токен spUSDC и на момент расследования оставались на адресе злоумышленника.
Заключение
Обоих инцидентах злоумышленники использовали не внешние атаки, а ошибки внутри самих протоколов. В первом случае протокол двигал цену деньгами из собственных резервов, не защищая их от манипуляций. Во втором — разработчики оставили «открытую дверь» в настройках контракта, куда вошёл первый, кто её нашёл.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
