30 марта — 1 апреля 2026 года в сети BNB Smart Chain зафиксированы три инцидента с суммарным ущербом около $1.23 млн. Все три эксплуатируют схожую слабость: протоколы рассчитывали суммы выплат по цене токена, которую атакующий мог исказить в рамках той же транзакции.
LML reward-система — $950 тыс.
Ход инцидента
Дата: 1 апреля 2026.
TX: 0x805d273a63d905d7827d43f6dc051eafdcd0cb69a07c7eb74358c6a5c6255b47
Атакующий заранее подготовился: в отдельной транзакции внёс 7 BNB в LML Power и получил токены LML Power — тем самым создав активную позицию с правом на награды. Затем в основной транзакции он исказил цену токена LML в пуле LML/BSC-USD и сразу запустил вывод наград. Система рассчитала сумму выплаты по уже завышенной цене и выдала около 950,370 BSC-USD.
Почему это стало возможным
Протокол рассчитывал размер наград на основе текущей цены LML в пуле — то есть по той цене, которая есть прямо сейчас, в момент запроса. Никакой защиты от краткосрочного изменения этой цены не было. Это означало, что злоумышленник мог сначала резко поднять цену в пуле, а сразу после этого запросить выплату — и протокол честно выдавал завышенную сумму.
Движение средств
Средства с адреса злоумышленника 0x3C00B00007f11C84A6CF0BEa4DFf8DE79BE8FB51 были переведены в сеть Ethereum в виде USDT, затем конвертированы в ETH и направлены в миксер Tornado Cash.
InfinitySix — $273 тыс.
Ход инцидента
Дата: 31 марта 2026.
TX: 0xc1b9a237a00b53a595e1e2d0d93841154ddcdf9aa217be8f395449b8e4ab2f16
Злоумышленник использовал реферальную систему протокола. Сначала через первый подконтрольный адрес сделал небольшой депозит, чтобы этот адрес стал допустимым реферером. Затем через второй адрес внёс очень крупный депозит — 124 млн BSC-USD. Это сразу начислило первому адресу крупный реферальный бонус. Вывел бонус в токенах i6, тут же продал их обратно в пул и получил 125 млн BSC-USD. После погашения займов чистый итог — 273,802 BSC-USD.
Почему это стало возможным
Контракт позволял получить реферальный бонус почти сразу после депозита без защитной задержки. При выводе бонуса система считала сумму по усреднённой цене, которая уже не отражала реальное состояние пула после огромного депозита. Из-за этого атакующий получил больше токенов i6, чем должен был, и сразу продал их по ещё не скорректировавшейся цене.
Движение средств
Средства перешли с адреса 0x6d1Cafc890cC7dd6bF3718453367F8e0fd9851E4 на 0xa2f55e7105Bf5c5F2ED054B60fD2369f3AA47bC3, после чего направлены в протокол приватности Railgun.
DayContract — $10 тыс.
Ход инцидента
Дата: 30 марта 2026.
TX: 0xf3b8ceae88818d7121c84b7f00f7c99d1c6c45409ceb9de2eae10a92391755e7
Атакующий взял крупный заем, временно исказил цену токена PSTAR в пуле PancakeSwap, внёс средства в DayContract по завышенной цене и тут же их вывел в той же транзакции. Протоколу это оставило около 29.7 тыс. непокрытого убытка, а атакующий забрал около 10.6 тыс.
Почему это стало возможным
Контракт при депозите ориентировался на текущую цену токена в пуле без какой-либо защиты от краткосрочного изменения. Дополнительно система позволяла вывести депозит сразу после внесения — без обязательной задержки. Это позволило зафиксировать завышенную оценку на входе и сразу выйти, переложив убыток на общий пул протокола.
Движение средств
Все средства остаются на балансе адреса злоумышленника 0xF25d6a026C7853829E7CD5e98Cd958A5A41Be5E8 на момент расследования.
Заключение
Все три инцидента демонстрируют одну и ту же уязвимость: протоколы использовали текущую рыночную цену токена как основу для расчёта выплат, не защищая её от краткосрочной манипуляции. Классическое решение — использование TWAP (средневзвешенной по времени цены) вместо спотовой, а также обязательная задержка между депозитом и выводом средств.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
