Блог
Две ошибки в логике протоколов: BoostHook и Aurellion Labs и кража $503 тыс.
12 мая 2026 года зафиксированы два инцидента: манипуляция ценой через резервы BoostHook на ~$47 тыс. и кража $456 тыс. из Aurellion Labs через незакрытую инициализацию Diamond-прокси.
Незакрытая дверь в Renegade: $209 тыс. вывели — и почти все вернули
10 мая 2026 года из Dark Pool протокола Renegade на Arbitrum вывели ~$209 тыс. через незакрытый инициализатор прокси. Атакующий вернул $190 тыс. и оказался белым хакером.
Устаревший контракт Huma Finance обошёлся протоколу в $101 тыс.
11 мая 2026 года из старых V1-контрактов Huma Finance на Polygon похитили ~$101 тыс. Ошибка в логике смены статуса позволила получить статус заёмщика без одобрения.
Открытый список выплат обошёлся INK Finance в $140 тыс
11 мая 2026 года из казначейства INK Finance на Polygon похитили ~$140 тыс. Атакующий сам добавил себя в список получателей выплат — система не проверила его полномочия.
Как не взламывая контракт из TrustedVolumes вывели $6.6 млн
7 мая 2026 года из resolver-контракта TrustedVolumes похитили ~$6.6 млн в Ethereum и Arbitrum из-за ошибки в проверке подписи сделки.
Минус там, где не должно быть минуса: как из Aftermath Finance похитили $1.14 млн
29 апреля 2026 года из Aftermath Finance украли ~$1.14 млн USDC. Причина — ошибка знакового числа: система принимала отрицательные комиссии и начисляла деньги атакующему.
Уязвимость в arbitrary call позволила похитить $333 тыс из ZetaChain
26 апреля 2026 года злоумышленник воспользовался отсутствием проверок в механизме cross-chain arbitrary call ZetaChain и похитил ~$333 тыс в 9 транзакциях.