На новый сайт Уже видели новый BestChange? Приглашаем оценить!
Всего курсов:
1164909
Обменников:
626
Обновление:
17:05:08

Атака повторного входа: громкие взломы и уроки для криптоиндустрии

Уязвимости блокчейна несут серьезную угрозу, поскольку могут привести к краже криптовалюты на миллионы долларов, огромным убыткам инвесторов и, как результат, краху криптопроекта.

Одной из потенциальных угроз для блокчейн-проектов является атака повторного входа.

Что такое атака повторного входа и как она работает?

В любой цифровой системе есть операции, которые запускаются по запросу пользователя или другого сервиса. Например, это может быть отправка письма, банковский перевод или запрос к серверу.

Обычно такая операция проходит несколько этапов: сначала она запускается, затем выполняется, а после этого завершается. Если система неправильно контролирует порядок этих этапов, злоумышленник может вмешаться в процесс и запустить ту же операцию повторно до того, как первая операция будет завершена.

Так работает атака повторного входа (re-entrancy attack). Система еще не успела зафиксировать результат первой операции, а злоумышленник уже повторно вызывает ее и получает возможность выполнить действие несколько раз.

Например, если при банковском переводе баланс проверяется только в самом начале операции, злоумышленник может попытаться запустить несколько переводов подряд до того, как система обновит остаток на счете. В результате средства могут быть списаны некорректно или в большем объеме, чем это должно быть возможно.

На рынке криптовалют перед атакой повторного входа могут быть уязвимы блокчейны, работающие на базе смарт-контрактов (умных контрактов), например, Ethereum, Solana, TRON, Toncoin и им подобные.

Какие проекты пострадали от атаки повторного входа?

На рынке криптовалют первым проектом, который подвергся атаке повторного входа, стал печально известный децентрализованный протокол The DAO на базе блокчейна Ethereum.

The DAO стал первым децентрализованным фондом, которому удалось собрать около $150 млн. инвестиций. Однако в 2016 году злоумышленники смогли обнаружить в смарт-контракте (умном контракте) The DAO уязвимость, которая позволила им осуществить атаку повторного входа и вывести из протокола криптовалюту ETH на сумму около $70 млн.

Атаке повторного входа также подверглись пулы со стейблкоинами (стабильными монетами) одной из крупнейших децентрализованных бирж Curve Finance. Затронутые пулы Curve Finance работали на смарт-контрактах (умных контрактах), созданных с помощью уязвимых версий языка программирования Vyper. Из-за ошибки в этих версиях встроенная защита от атаки повторного входа работала неправильно. Злоумышленники воспользовались этой уязвимостью и смогли атаковать пулы.

В результате атаки повторного входа на пулы Curve Finance хакеры смогли вывести порядка $47 млн в криптовалютах. По данным Ancilia, уязвимую версию языка программирования Vyper использовали более 200 смарт-контрактов (умных контрактов). Все они были потенциально подвержены атаке повторного входа, поэтому разработчикам пришлось срочно обновить их до безопасной версии.

Также существуют примеры межсетевой атаки повторного входа, от которой, в частности, пострадал известный мост* Wintermute. Хакерам удалось перехватить подпись от перевода между сетями Ethereum и OP Mainnet (бывший Optimism).

* Мост — это специальный протокол, который позволяет передавать криптоактивы и данные между разными блокчейнами. Поскольку блокчейны не могут напрямую взаимодействовать друг с другом, мост выступает посредником: он подтверждает перевод в одной сети и обеспечивает выпуск или разблокировку соответствующих активов в другой.

В результате этой атаки повторного входа злоумышленникам удалось развернуть контракт в сети Optimism, получить контроль над адресом и вывести 20 млн токенов (цифровых активов) OP.

Последствия атак повторного входа для криптоиндустрии

В криптоиндустрии уязвимости смарт-контрактов (умных контрактов) в период с 2016 по 2021 год привели к ущербу на сумму свыше $1 млрд. По данным исследования Gate, большая часть инцидентов пришлась именно на атаки повторного входа.

Ситуация с The DAO в 2016 году наглядно показала, какую опасность для отдельных проектов несут уязвимости, приводящие к атаке повторного входа.

В результате атаки повторного входа на The DAO был не только нанесен финансовый ущерб инвесторам, но и пострадала вся экосистема Ethereum. Атака повторного входа на The DAO привела к расколу в сообществе и экстренному выпуску хардфорка* — нового блокчейна, на котором сейчас функционирует Ethereum.

* Хардфорк — это изменение правил работы блокчейна, которое несовместимо с предыдущей версией протокола. После такого обновления все участники сети должны перейти на новые правила. Если часть сообщества продолжает использовать старую версию программного обеспечения, блокчейн разделяется на две независимые сети с общей историей до момента разделения, но разным дальнейшим развитием.

Еще одно важное последствие атак повторного входа — развитие рынка bug bounty (поиска уязвимостей). Криптопроекты стали активнее платить независимым исследователям за найденные уязвимости, поскольку это дешевле, чем потерять средства пользователей после взлома. По данным Immunefi, в 2025 году проекты все чаще раскрывали критические уязвимости через специализированные платформы, а сами bug bounty (программы поиска уязвимостей) стали одним из ключевых элементов безопасности блокчейн-инфраструктуры.

Как защититься от атаки повторного входа?

К сожалению, стопроцентной гарантии защиты от атаки повторного входа не сможет предоставить ни один проект, даже если его смарт-контракты (умные контракты) проходят регулярный аудит.

Существуют специальные сервисы, такие как CertiK Skynet, которые ведут рейтинг безопасности криптовалютных проектов и предоставляют отчеты о пройденных аудитах безопасности — с ними может ознакомиться любой пользователь.

Современные атаки повторного входа значительно сложнее классической схемы, известной по инциденту с The DAO. Сегодня исследователи информационной безопасности выделяют несколько основных разновидностей таких атак:

  • Межконтрактные (cross-contract) — атака повторного входа осуществляется через взаимодействие нескольких смарт-контрактов (умных контрактов).
  • Межфункциональные (cross-function) — злоумышленник использует повторный вызов различных функций одного смарт-контракта (умного контракта).
  • Межсетевые (cross-chain) — атака повторного входа затрагивает взаимодействие между различными блокчейнами через мосты и другие решения.
  • Атаки только на чтение данных (read-only reentrancy) — позволяют злоумышленнику манипулировать логикой работы протокола без изменения состояния смарт-контракта (умного контракта), используя некорректные промежуточные данные.

По этой причине разработчикам важно проверять не только отдельные функции смарт-контракта (умного контракта), но и все возможные сценарии его взаимодействия с другими контрактами и протоколами, поскольку именно сложные цепочки вызовов все чаще становятся причиной успешных атак повторного входа.

В целом, чтобы снизить риски атаки повторного входа, не следует вкладывать все средства в пулы только одного протокола, так как в случае его взлома активы могут быть потеряны безвозвратно. Поэтому с целью повышения безопасности необходимо следовать правилам финансовой диверсификации и распределять средства между различными протоколами.

Чтобы обеспечить дополнительную защиту от атаки повторного входа, нужно проявлять осторожность при использовании новых протоколов, особенно если они еще не прошли аудиты безопасности. Рациональней использовать проверенные протоколы, например, такие как Uniswap, Balancer, Aave и другие, вероятность взлома которых меньше.

© BestChange.ru – , обновлено 03.07.2026
Перепечатка материалов сайта возможна только с разрешения администрации BestChange

Смотрите также