Это типичная история не про «гениальный взлом блокчейна», а про дыру в конкретном смарт-контракте. В токене или связанном с ним контракте оказалась уязвимость, которая позволила атакующему буквально из воздуха создать гигантский объём монет — тот самый «миллиард DOT». Речь, конечно, не о настоящем Polkadot, а о токене внутри экосистемы Ethereum, у которого, по всей видимости, была сломана логика эмиссии или проверки прав доступа. Иначе говоря, злоумышленник не украл уже существующие токены, а просто «нарисовал» себе новые.
Дальше сработала механика пула ликвидности. Для пула не существует здравого смысла, он не умеет понимать, насколько «честные» токены ему приносят. Он видит только баланс и выполняет формулу обмена: если в него заносят много одного актива, он выдаёт другой. Хакер воспользовался этим предельно цинично. Сначала он создал себе огромный объём бесполезных фантиков, а потом тут же отправил их в пул и забрал оттуда всё, что имело реальную ценность, — 108,2 ETH, то есть примерно 237 тысяч долларов на тот момент. По сути, он обменял ноль на живые деньги.
Самое показательное в таких историях — скорость. Всё можно сделать одной транзакцией: напечатать токены, закинуть их в пул, обменять на эфир и вывести прибыль. Никакой долгой атаки, никакого «хакер сидел неделями в системе». Если уязвимость позволяет эмиссию из воздуха, пул ликвидности превращается в кассу самообслуживания, из которой можно вынести всё за один клик. Именно поэтому такие выносы выглядят так эффектно: со стороны кажется, будто человек мгновенно «выдоил» весь пул до копейки, а взамен оставил только мусор, который уже ничего не стоит.
В этом и состоит суть подобных DeFi-катастроф. Люди думают, что держат ликвидность в какой-то автоматизированной и потому надёжной системе, но на деле вся конструкция держится на качестве кода. Если разработчики допустили фатальную ошибку, никакая децентрализация не спасает. Блокчейн честно исполняет правила, которые в него заложили, даже если эти правила позволяют мошеннику напечатать миллиард токенов и забрать настоящий эфир. Поэтому такие случаи особенно болезненны: никто не «отменит» сделку, никто автоматически не вернёт деньги, а пострадавшие участники пула остаются с активом, который после атаки фактически обнуляется.
Если говорить совсем просто, это выглядело так: в проекте забыли запереть печатный станок, злоумышленник включил его на полную мощность и тут же обменял свежеотпечатанную бумагу на наличные из кассы. Именно поэтому такие истории всегда хорошее напоминание о том, что в DeFi главная угроза — не только злой умысел, но и кривой код.
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций