Крипто загуби над 35 милиона USD в жестока седмица от атаки срещу DeFi
Първата пълна седмица на юли беше един от най-тежките периоди за крипто сигурността тази година. Три големи атаки срещу протоколи, пропуск в портфейли и поредица от по-малки кражби изтласкаха потвърдените загуби над 35 милиона USD само за седем дни.
Най-големият удар удари BonkDAO, общностната хазна зад мемкойна BONK в мрежата Solana, и не включваше нито един ред счупен код. Беше враждебно превземане на собствената система за гласуване на проекта и показва къде днес се крие истинският риск в крипто.
Съдържание
Атака срещу управлението за 20 милиона USD
В продължение на няколко дни нападателят тихо купи BONK за около 4 милиона USD през борсови портфейли, натрупа доминиращ дял от гласоподавателната сила, а след това прокара злонамерено предложение през токен-претегленото управление на DAO. Според съобщенията предложението стоеше активно шест дни без нито едно оспорване.
Когато гласуването приключи, портфейлите, свързани с нападателя, контролираха около 99,878 процента от подадените гласове, въпреки че гласуваха само седем адреса от над 18 000 допустими портфейла. Около 4,4 трилиона BONK на стойност около 20 милиона USD изтекоха от хазната, а нападателят дори преименува DAO. Изследователите го определиха по-скоро като превземане, дължащо се на слаби правила и почти нулева активност, отколкото като хак.
BONK падна с над 8 процента след новината, задълбочавайки спад от над 80 процента през последната година, а борси, включително Upbit, Bithumb и Kraken, спряха депозитите и тегленията на BONK, докато проследяваха средствата. Екипът заявява, че е уведомил правоохранителните органи и работи с борсите и фондацията Solana Foundation.
Флаш заеми и фалшива цена от oracle
Другите две атаки бяха по-технически. В същия ден мултичейн протоколът Summer.fi загуби близо 6 милиона USD при флаш-loan експлойт, при който нападателят взе назаем около 65 милиона USD в една транзакция, за да манипулира цените. Екипът спря трезорите си, а разследващите по-късно проследиха пропуска до остатъчни токени от несвързан колапс на протокол миналия ноември.
След това, за да затвори седмицата, най-големият кредитор в мрежата Hedera, Bonzo Lend, беше източен за около 9 милиона USD, като 5,25 милиона бяха прехвърлени към Ethereum. Нападателят подаде на протокола фалшива цена за един токен, надувайки стойността му огромно, след което използва няколко долара от него като обезпечение, за да заеме милиони. Друг портфейл, който взе назаем по време на срива, по-късно се определи като white hat и обеща да върне средствата.
И портфейлите не бяха в безопасност. Новоразкрит пропуск в начина, по който някои по-стари портфейли генерираха фрази за възстановяване, наречен Ill Bloom, вече е свързан с кражби за над 5 милиона USD, напомняне, че най-слабото звено често е инструментът, който държи ключовете ви, а не самият блокчейн.
Какво трябва да запомнят инвеститорите
Погледнато отдалеч, моделът е ясен. Според фирмата за сигурност CertiK Web3 е загубил над 1,31 милиарда USD в 344 инцидента през първата половина на 2026 г., като най-големите източници на загуби вече са компрометирането на портфейли и фишингът, а не грешките в смарт договорите. Повърхността на атаката се измества нагоре, към управлението, инфраструктурата и човешките одобрения.
За обикновените притежатели поуките са практични. Третирайте governance токените и малките DeFi платформи като високорискови, бъдете много внимателни какво подписвате и дръжте дългосрочните спестявания в самостоятелно съхранение на проверен хардуер, а не в горещи портфейли. Точно затова си струва да разгледате най-добрите крипто портфейли и да преместите сериозните средства извън борсите и приложенията, на които търгувате.
Нищо от това не означава, че DeFi е счупен, но показва, че през 2026 г. най-големите заплахи рядко са самият код. Те са правилата, тръбопроводът и светкавичните одобрения, които го заобикалят.
Поуката за 2026 г. е неприятна, но проста: в крипто сигурността днес зависи толкова от това колко внимателно се държите, колкото и от това колко добре е написан кодът.