За последние недели криптосектор столкнулся с несколькими нарушениями безопасности, от эксплойтов чеканки токенов до компрометации административных ключей и атак на цепочку поставок.

Протокол Echo (Monad)

Формально оценённый в $76 M, фактический убыток по инциденту составил около $816 K после действий по устранению уязвимости со стороны команды.

Злоумышленник скомпрометировал административный ключ контракта $eBTC и чеканил 1 000 $eBTC (≈$76.6 M), после чего начал отмывать средства через Curvance, Ethereum и Tornado Cash.

Проект восстановил контроль над ключами и сжёг 955 $eBTC, возвращённых от злоумышленника; токен $ECHO упал на 11%.

Сам Monad избежал повреждения протокола, но команды приостановили кросс‑чейн операции и заморозили несколько мостов и кредитных продуктов на Aptos в качестве предосторожности.

Мост Verus–Ethereum

Мост понёс отток средств на сумму примерно $12 M после того, как резервы были выпущены без проверки он‑чейн обеспечения на стороне Verus.

Злоумышленник вывел 1.625 ETH, 103 tBTC и 147 K USDC, воспользовавшись логической уязвимостью, а не компрометацией ключей.

THORChain

Последовал ещё один кросс‑чейн убыток общим объёмом около $10 M, подробности которого всё ещё уточняются, но он показывает схожую модель с резервами мостов.

Мосты остаются одной из основных причин: в восьми крупных инцидентах с начала 2026 года отрасль зафиксировала суммарные потери в размере $328.6 M, не считая новых случаев.

TrustedVolumes (07.05.2026)

Протокол потерял около $5.87 M после того, как публичная функция авторизации в кастомном RFQ‑прокси позволила любому адресу зарегистрироваться как разрешённый подписант заказа.

Поскольку контракт проверял разрешение получателя злоумышленника, а не реального владельца ликвидности, одна транзакция опустошила 1.291 WETH, 206.282 USDT, 16.939 WBTC и 1.268.771 USDC.

Команда, молчавшая более года, вернулась в X с публичным уведомлением об эксплойте после инцидента.

Wasabi Protocol

Ошибок смарт‑контрактов не было; злоумышленник получил приватный ключ единственного EOA‑администратора и использовал его для выполнения апгрейдов и вывода средств.

Кошелёк wasabideployer.eth имел неограниченную роль ADMIN_ROLE в апгрейдабельных хранилищах без мультиподписей, таймлоков или управленческих защит, что позволило быстро их опустошить.

Более десятка хранилищ в сетях Ethereum, Base, Berachain и Blast были опустошены, при этом в одной транзакции перемещено 840.9 WETH.

Компрометация цепочки поставок npm‑экосистемы (11.05.2026)

Злоумышленники скомпрометировали более 170 npm‑пакетов с общим числом загрузок в 518 миллионов, затронув проекты, включая TanStack и пакеты, связанные с Mistral AI, UiPath и Guardrails AI.

Вредоносный хук, вставленный в .claude/settings.json, выполнялся при открытии репозиториев в Claude Code и сохранялся после удаления пакета и повторной загрузки.

OpenAI подтвердила компрометацию двух корпоративных устройств и подписных сертификатов для macOS, iOS и Windows, использованных в инциденте.

Контекст и перспективы

Майские инциденты подчёркивают повторяющиеся векторы угроз: компрометацию административных ключей, ошибки в логике авторизации смарт‑контрактов и риски цепочки поставок инструментов разработки, приводящие к значительным денежным потерям.