Компания IPOR Labs пострадала от эксплойта на сумму $336 000, нацеленного на её хранилище USDC Fusion Optimizer на базе USDC на Arbitrum. Атака использовала сочетание уязвимостей устаревшего контракта и недавно внедрённого механизма делегирования EIP-7702 в сети Ethereum.
DeFi-протокол подтвердил, что все пострадавшие вкладчики получат полные возмещения из своей казны, что составляет менее 1% от общего объёма средств, находящихся под защитой платформы Fusion.
Фирмы по кибербезопасности Hexagate и Blockaid 6 января уведомили команду IPOR о подозрительных транзакциях, выводящих средства через вредоносную конфигурацию контракта «fuse» (предохранитель).
По данным фирмы по блокчейн-безопасности CertiK, которая отслеживала движение около $330 000 через миксер при мониторинге исполнения эксплойта в различных блокчейн-сетях, злоумышленник перевёл украденные активы в Ethereum, а затем внёс их в Tornado Cash.
Идеальный шторм устаревшего кода и новых функций протокола
Согласно постмортему, для осуществления эксплойта потребовалось слияние двух независимых факторов, затронувших старейшую архитектуру хранилища IPOR, развёрнутую 490 дней назад.
Функция configureInstantWithdrawalFuses устаревшего контракта не имела проверки для «предохранителей» (логических модулей, исполняемых в контексте хранилища), предполагая, что только авторизованные администраторы могут добавлять безопасные компоненты посредством ограниченных мер контроля доступа.
Административная учётная запись, обладающая правами управления хранилищем, использовала EIP-7702 для делегирования исполнения контракту реализации, содержащему функцию «произвольного вызова» (arbitrary call) в строке 208.
Эта функция делегирования, являющаяся частью обновления Pectra в Ethereum, позволила злоумышленнику захватить личность администратора и внедрить вредоносный «предохранитель», который прошёл проверки безопасности хранилища как легитимный.
Злоумышленник использовал уязвимый делегированный контракт, чтобы заставить учётную запись администратора вызывать функции хранилища с полными привилегиями.
Во время операции instantWithdraw вредоносный «предохранитель» перевёл USDC напрямую на адреса, контролируемые злоумышленником, прежде чем команда успела отреагировать, осуществив вывод через несколько скоординированных транзакций, которые обошли стандартные системы мониторинга безопасности.
Новые хранилища остаются в безопасности
IPOR подчеркнула, что все хранилища, развёрнутые после первой партии, имеют явную проверку «предохранителей», что предотвращает произвольное исполнение кода во время операций вывода средств.
Компрометированный контракт делегата EIP-7702 использовался в качестве утилиты для агрегирования начисления вознаграждений ровно в двух хранилищах; только эксплуатируемое устаревшее хранилище не имело строгих мер защиты, которые стали стандартом в последующих развёртываниях.
Протокол подтвердил, что никакие другие хранилища Fusion не сталкиваются с аналогичными уязвимостями благодаря обновлённой архитектуре безопасности, которая реализует комплексную верификацию «предохранителей».
IPOR DAO покроет дефицит в $336 000 за счёт резервов казны, одновременно сотрудничая с фирмой по блокчейн-безопасности SEAL и соответствующими органами для отслеживания и возврата украденных средств посредством криминалистического анализа и сотрудничества с биржами.
Рост изощрённости эксплойтов, несмотря на декабрьское снижение
Инцидент с IPOR пополняет список проблем безопасности в начале января после снижения на 60% ежемесячных потерь от крипто-взломов в декабре до $76 миллионов (по сравнению с $194,2 миллиона в ноябре), согласно данным фирмы по блокчейн-безопасности PeckShield.
Фирма зафиксировала 26 крупных эксплойтов в декабре, включая мошенничество с отравлением адресов на $50 миллионов, когда жертвы по ошибке скопировали мошеннические адреса, и утечку приватного ключа на $27,3 миллиона, нацеленную на мультиподписные кошельки.
Кроссчейн-атаки усилились в начале 2026 года: исследователь блокчейна ZachXBT недавно сообщил о скоординированных эксплойтах, опустошивших сотни EVM-совместимых кошельков, что привело к потерям, как правило, менее $2000 на адрес, но общей суммой свыше $107 000.
В то время эксперты по безопасности предупреждали, что активность выглядит автоматизированной, и настоятельно советовали пользователям отзывать одобрения смарт-контрактов и внимательно следить за транзакциями на предмет несанкционированных попыток доступа.
Ещё одним недавним критическим взломом стало нарушение работы Trust Wallet в Рождество, которое скомпрометировало около 2 596 кошельков через атаку цепочки поставок, нацеленную на пакеты npm, используемые крипторазработчиками.
Инцидент возник из-за утечки секретов GitHub, позволившей злоумышленникам загрузить вредоносные версии расширений для браузеров, которые извлекали мнемонические фразы, что привело к потерям на сумму около $7 миллионов в сетях Ethereum, Bitcoin и Solana, при этом были обойдены проверки безопасности Chrome Web Store.
Буквально вчера произошла серия взломов, нацеленных на пользователей, многие из которых, вероятно, стали результатом утечки данных Ledger, раскрывшей основную информацию о пользователях, что спровоцировало массовые кампании фишинга и социальной инженерии, на которые некоторые пользователи попались.
По мере того как криптовалюты продолжают проникать в мейнстрим, Митчелл Амадор, генеральный директор платформы безопасности Immunefi, предупредил, что злоумышленники всё чаще нацеливаются на операционные уязвимости, а не на код смарт-контрактов.
«Ландшафт угроз смещается от уязвимостей кода в блокчейне к операционной безопасности и атакам на уровне казначейства», — заявил Амадор. «По мере ужесточения кода атакующие нацеливаются на человеческий фактор».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 7/8
Bayan-score: 0.746669948
Автор – cryptonews.com
