Децентрализованные финансы стали значительно безопаснее за последние шесть лет, и новый обзор потерь протоколов с 2020 по 2025 год подтверждает это весьма внушительной статистикой.
Общие потери в секторе DeFi достигли пика в 2,62 миллиарда долларов в 2022 году, а к 2024 году они снизились примерно на 80% до 534 миллионов долларов. Взломы мостов, которые некогда становились заголовками с миллиардными суммами, теперь составляют крошечную долю от годовых итогов, а типичный эксплойт сегодня наносит примерно четверть того ущерба, что наносил на пике.
Хотя это, безусловно, отличная новость для криптоиндустрии, риск все еще остается, просто он проявляется в другом месте. Крупные протоколы теперь часто развертывают один и тот же код в сетях Ethereum, Base, Arbitrum, Polygon, OP Mainnet и Sonic, поэтому одна-единственная уязвимость может одновременно вывести средства из строя во всех сетях, где этот код запущен. Вероятно, именно в такой форме проявится следующая системная проблема криптосферы.
Мы видели это в ноябре прошлого года, когда пулы Composable Stable Pools протокола Balancer V2 были опустошены примерно на 128 миллионов долларов менее чем за полчаса одновременно в шести блокчейнах.
По данным Check Point Research, злоумышленник использовал ошибку точности арифметики в математической инварианте пулов, сместив балансы токенов к границе округления, а затем последовательно цепочкой обменов довел эти крошечные ошибки до полного вывода средств.
Контракты с той же уязвимостью были развернуты в Ethereum, Arbitrum, Base, Polygon, Sonic и OP Mainnet, поэтому эксплойт затронул их все сразу, поскольку уязвимость была встроена в сам код, а этот код был скопирован повсеместно.
Как сообщал тогда CryptoSlate, одиннадцать отдельных аудитов не смогли ее обнаружить, что говорит о том, насколько неуловимым стал этот класс ошибок и почему его гораздо труднее предвидеть, чем атаки, которые были раньше.
Взломы стали меньше по мере роста числа сетей
Ободряющая часть данных заключается в том, что дешевые, повторяемые атаки, которые определяли ранние годы криптоиндустрии, в основном устранены, и общие потери сократились на 80% за два года, даже несмотря на рост TVL в DeFi. Также было отмечено значительное снижение медианных потерь на инцидент: с 6 миллионов долларов в 2022 году до 1,5 миллиона долларов в 2025 году, что составляет падение на 75%.
Количество уникальных инцидентов на самом деле выросло до 83 в 2025 году, то есть взломов стало больше, но каждый из них наносит гораздо меньший ущерб, что примерно соответствует тому, как должна выглядеть зрелость области безопасности.
Мосты были определяющей уязвимостью в 2021 и 2022 годах, и только во втором году девять эксплойтов мостов привели к потерям в 1,9 миллиарда долларов. Эти взломы были поистине одними из худших моментов в истории криптоиндустрии: только взлом моста Ronin привел к потере 624 миллионов долларов.
CryptoSlateотслеживал в блокчейне, как средства проходили через Tornado Cash, за которым следовали Binance Bridge с потерей в 570 миллионов долларов, Wormhole — 326 миллионов долларов, Nomad — 190 миллионов долларов, Harmony — 100 миллионов долларов и Qubit — 80 миллионов долларов.
На долю мостов пришлось 73% всех потерь в DeFi в том году, а к 2025 году доля мостов рухнула до 3% благодаря улучшенным механизмам верификации, децентрализованным наборам валидаторов и более широкому переходу к нативному межсетевому обмену сообщениями.
Атаки с использованием флэш-займов прошли тот же путь снижения. Они составляли 54% всех потерь в 2020 году, когда были фирменной техникой DeFi, а к 2025 году их доля составила менее 1%, поскольку протоколы внедрили защиту, специально разработанную для этой атаки: средневзвешенные по времени цены, интеграции оракулов Chainlink, защиту от повторного входа и архитектуры, которые предполагают, что злоумышленник может манипулировать ценами в рамках одной атомарной транзакции.
Компрометация приватных ключей продемонстрировала аналогичное снижение: с 28,7% потерь в 2022 году до 8,1% в 2025 году. Каждая из этих категорий сократилась по одной и той же основной причине: индустрия распознала повторяющийся шаблон и выработала стандартизированный ответ на него, и, как показал годовой обзор 2025 года от CryptoSlate, эти ответы в основном сработали.
То, что осталось, труднее отразить
Устранение общих атак оставило после себя гораздо более сложную категорию: в 2025 году 89,1% потерь в DeFi пришлось на эксплойты логики протоколов, то есть на ошибки на уровне кода, специфичные для того, как было спроектировано конкретное приложение. Взлом моста предполагает узнаваемые допущения о доверии, а атака с использованием флэш-займа относится к известному семейству техник, поэтому обе можно отразить с помощью многократно используемых шаблонов.
Однако ошибка логики протокола по своей природе является уникальной. Она возникает из-за специфической математики, механизмов контроля доступа или выбора композитности в конкретной кодовой базе, что затрудняет систематическую защиту, поскольку каждый случай представляет собой отдельную головоломку и мало что имеет общего с предыдущим.
Мультичейн-развертывание превращает одну из таких уникальных ошибок в полномасштабный кризис. Отчет ImmuneFi проводит прямую линию от определяющего мультичейн-инцидента 2021 года — взлома Poly Network на сумму около 611 миллионов долларов — до Balancer в 2025 году. Взлом Poly Network был сбоем в точке соединения между системами, своего рода узким местом, которое создают мосты, тогда как в случае с Balancer та же самая логика идентично дала сбой в сетях, которые используют общий код, пути подписантов и допущения о верификации. Как только сеть становится частью стандартной карты развертывания для крупных протоколов, она поглощает поверхность риска всего, что размещает, независимо от того, насколько надежна ее собственная инфраструктура.
Это меняет подход к оценке безопасности экосистемы, и метод отчета демонстрирует это, приписывая полную сумму потерь от мультичейн-эксплойта каждой затронутой сети, исходя из логики, что участники во всех шести сетях подверглись полному воздействию.
Обратная сторона заключается в том, что показатели взломов 2025 года для Polygon, OP Mainnet, Base и Sonic сильно зависят от каскада Balancer. Отчет также полностью исключает сбои централизованных бирж, поэтому крупнейшая единичная кража года — взлом Bybit на 1,5 миллиарда долларов, который ФБР приписало Северной Корее, — рассматривается как сбой хранения, а не как сбой протокола.
По показателю потерь к TVL самой безопасной категорией среди крупных экосистем стали Ethereum с показателем около 0,42%, Solana — 0,42% и BNB Chain — 0,33%, трех крупнейших экосистем DeFi по заблокированной стоимости. Это говорит о том, что масштабирование и безопасность улучшаются совместно, а не в ущерб друг другу.
Хотя эти изменения гораздо лучше для среднего протокола, они не так хороши для среднего пользователя. Потеря теперь может произойти в приложении, которое несет в себе изъян, импортированный извне, а удобство, делающее мультичейн-приложения привлекательными, является тем, что позволяет этой ошибке перерасти из локальной в общую.
Криптоиндустрия создала все эти отдельные сети отчасти для того, чтобы избежать зависимости от какой-либо одной системы, и ирония заключается в том, что запуск одного и того же набора популярных протоколов во всех них восстановил ту концентрацию, от которой эти сети должны были уйти.
Следующий крупный инцидент может показаться незначительным в день его обнаружения (одна ошибка логики в широко развернутом протоколе), но истинный масштаб раскроется только тогда, когда люди поймут, что один и тот же уязвимый код все это время находился в полудюжине сетей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Andjela Radmilac
