Włamania do DeFi spadły o 80%, ale luki w wielu łańcuchach stają się nowym zagrożeniem

Zdecentralizowane finanse stały się znacznie bezpieczniejsze w ciągu ostatnich sześciu lat. Nowy przegląd strat protokołów z lat 2020–2025 podaje konkretne liczby potwierdzające to twierdzenie.

Straty DeFi w całej branży osiągnęły szczyt na poziomie 2,62 miliarda dolarów w 2022 roku i spadły o około 80% do 534 milionów dolarów do 2024 roku. Włamania na mosty, które niegdyś generowały nagłówki o miliardowych stratach, stanowią teraz zaledwie niewielką część rocznych sum. Typowy exploit wyrządza dziś około cztery razy mniejsze szkody niż w szczytowym momencie.

Straty spadły pomimo większej liczby łańcuchów i użytkowników

Zachęcającym aspektem danych jest to, że tanie, powtarzalne ataki zostały w większości wyeliminowane. Łączne straty spadły o 80% w ciągu dwóch lat, nawet gdy TVL DeFi nadal rosło. Mediana strat na incydent spadła z 6 milionów dolarów w 2022 roku do 1,5 miliona dolarów w 2025 roku, co stanowi spadek o 75%.

Liczba unikalnych incydentów wzrosła do 83 w 2025 roku. Dochodzi do coraz większej liczby włamań, ale każde z nich wyrządza znacznie mniejsze szkody. To mniej więcej tak wygląda dojrzewające środowisko bezpieczeństwa.

Mosty były kluczową podatnością w latach 2021 i 2022. Tylko w tym drugim roku dziewięć exploitów na mosty spowodowało straty w wysokości 1,9 miliarda dolarów. Sam Ronin Bridge odpowiadał za stratę w wysokości 624 milionów dolarów. Włamania na mosty stanowiły 73% wszystkich strat DeFi w tamtym roku. Do 2025 roku udział mostów spadł do 3%. Ulepszone mechanizmy weryfikacji, zdecentralizowane zestawy walidatorów i przejście w kierunku natywnego przesyłania wiadomości między łańcuchami pomogły zmniejszyć tę kategorię.

Ataki flash-loan podążały tą samą ścieżką w dół. Stanowiły 54% wszystkich strat w 2020 roku. Do 2025 roku odpowiadały za mniej niż 1%. Protokoły przyjęły zabezpieczenia dostosowane do tego ataku: ceny ważone czasowo, integracje wyroczni Chainlink, zabezpieczenia przed reentrancy oraz projekty zakładające, że atakujący może manipulować cenami w ramach jednej atomowej transakcji.

Kompromitacje kluczy prywatnych odnotowały podobny spadek. Spadły z 28,7% strat w 2022 roku do 8,1% w 2025 roku. Każda z tych kategorii zmniejszyła się, ponieważ branża rozpoznała powtarzający się wzorzec i opracowała standardowe odpowiedzi.

To, co pozostało, jest trudniejsze do obrony

Wyeliminowanie ogólnych ataków pozostawiło znacznie trudniejszą kategorię. W 2025 roku 89,1% strat DeFi pochodziło z exploitów logiki protokołu. Są to błędy na poziomie kodu, specyficzne dla sposobu projektowania danej aplikacji. Włamania na mosty wiążą się z rozpoznawalnymi założeniami zaufania. Atak flash-loan należy do znanej rodziny technik. Obu można bronić za pomocą wielokrotnego użytku wzorców.

Błąd logiki protokołu jest z natury indywidualny. Wynika z konkretnej matematyki, kontroli dostępu lub wyborów kompozycyjności pojedynczej bazy kodu. Trudno bronić się przed nim systematycznie, ponieważ każdy przypadek jest własną zagadką.

Wdrożenie wielołańcuchowe zamienia błędy w kryzysy

Wdrożenie wielołańcuchowe zamienia jeden z tych indywidualnych błędów w pełnowymiarowy kryzys. Główne protokoły często wdrażają ten sam kod na Ethereum, Base, Arbitrum, Polygon, OP Mainnet i Sonic. Pojedyncza wada może opróżnić środki w każdej sieci, która go uruchamia, jednocześnie.

Zobaczyliśmy to w listopadzie 2024 roku, gdy Composable Stable Pools V2 Balancera zostały opróżnione z około 128 milionów dolarów w mniej niż pół godziny na sześciu blockchainach jednocześnie. Według Check Point Research atakujący wykorzystał błąd precyzji arytmetycznej w matematyce niezmiennika puli. Przesunął salda tokenów na granicę zaokrąglenia, a następnie połączył wsadowe swapy, aż te drobne błędy narosły do pełnego opróżnienia.

Kontrakty z tą samą podatnością zostały wdrożone na Ethereum, Arbitrum, Base, Polygon, Sonic i OP Mainnet. Exploit dotknął je wszystkie jednocześnie, ponieważ wada była osadzona w samym kodzie, a ten kod został skopiowany wszędzie. Jedenaście oddzielnych audytów nie wykryło go.

Raport ImmuneFi wyraźnie łączy exploit Poly Network wart około 611 milionów dolarów z 2021 roku z Balancerem w 2025 roku. Poly Network był awarią w punkcie połączenia między systemami. Balancer to ta sama logika zawodząca identycznie w sieciach, które współdzielą kod, ścieżki podpisujących i założenia weryfikacyjne.

Mierzenie bezpieczeństwa się zmieniło

Gdy łańcuch staje się częścią domyślnej mapy wdrożeń głównych protokołów, pochłania powierzchnię ryzyka wszystkiego, co hostuje. Raport przypisuje pełną stratę z exploitu wielołańcuchowego każdemu dotkniętemu łańcuchowi. Uczestnicy we wszystkich sześciu sieciach byli narażeni na pełny wpływ.

Dane dotyczące włamań w 2025 roku dla Polygon, OP Mainnet, Base i Sonic są mocno zdominowane przez kaskadę Balancera. Raport całkowicie pomija awarie scentralizowanych giełd. Największa jednorazowa kradzież roku — włamanie na Bybit warte 1,5 miliarda dolarów, które FBI przypisało Korei Północnej — jest traktowana jako awaria przechowywania, a nie protokołu.

Pod względem stosunku strat do TVL, najbezpieczniejszym poziomem wśród głównych ekosystemów było Ethereum z około 0,42%, Solana z 0,42% i BNB Chain z 0,33%. Te trzy największe ekosystemy DeFi sugerują, że skala i bezpieczeństwo poprawiają się razem.

Strata może teraz wystąpić w aplikacji, która niesie wadę zaimportowaną z innego miejsca. Wygoda, która sprawia, że aplikacje wielołańcuchowe są atrakcyjne, jest tym, co sprawia, że ten błąd eskaluje z lokalnego do wspólnego. Kryptowaluty uruchomiły oddzielne łańcuchy częściowo po to, aby uniknąć zależności od jednego systemu. Uruchamianie tej samej garstki popularnych protokołów na wszystkich z nich odbudowało koncentrację, której te łańcuchy miały uniknąć.

Następny duży incydent może wyglądać na mały w dniu, w którym się pojawi — pojedynczy błąd logiczny w szeroko wdrożonym protokole. Jego prawdziwa skala ujawni się dopiero wtedy, gdy ludzie zdadzą sobie sprawę, że ten sam podatny kod znajdował się w pół tuzinie sieci przez cały czas.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.