«Не лезь, оно тебя сожрет»

Личная, но характерная история одной из множества неудач в DeFi

Постоянный читатель ForkLog и опытный участник крипторынка — о том, как потерял средства и заодно надежду их вернуть.

Мы часто повторяем как мантру: «Даже самые опытные криптоинвесторы не застрахованы от ошибок». Что, разумеется, чистая правда. Однако нормально ли это, если индустрия претендует на массовое принятие в качестве альтернативы традиционным финансам?

Отрицательно на этот вопрос отвечает постоянный читатель и автор ForkLog, сегодня пожелавший сохранить анонимность.

«Извините, ничем не можем помочь»

У меня украли существенную сумму в стейблкоинах из кошельков после взлома Aperture Finance. Через этот ресурс я добавлял ликвидность на PancakeSwap, что требовало одобрить неограниченное расходование USDT. Хакер смог найти уязвимость в контрактах и через разрешение вывести все токены с кошельков пользователей. Здесь и здесь есть технические разборы инцидента

Попытавшись найти помощь в возврате средств хотя бы у кого-то, я понял, что индустрия до сих пор просто не способна бороться с хакерами. Спустя столько времени после создания биткоина, Ethereum, 20 000 L2-решений, 30 000 платформ для смарт-контрактов разработчики не научились главному — защищать своих пользователей.

Сразу после кражи я обратился в Tether за помощью, ведь они являются эмитентом USDT. Мы каждый день видим новости о блокировках токенов, связанных с кражами, взломами и незаконной деятельностью, но, по всей видимости, они не касаются стандартных инцидентов вроде моего. Я получил такой ответ:

Окей, я знаю, кто выпускает. Обратился к бирже. У них же наверняка есть софты для отслеживания транзакций, подумал я. Наверняка там используются все существующие в мире инструменты. Можно создать кластер связанных адресов, отследить куда ушли украденные токены, найти выход на централизованную площадку с KYC. Хакеру же нужно будет когда-то обналичить средства? Затем отправить на платформу запрос на заморозку аккаунта. Есть все доказательства кражи.

Конечно не дошли. Они до сих пор лежат на кошельке хакера. Просить их блокировать USDT на адресе не стал, ответ был бы очевидным.

Обратился к властям, поскольку ранее слышал о существовании киберполиции, которую ведущие фирмы по блокчейн-безопасности обучали отслеживать транзакции. Там ребята сначала записывали адреса хакера на листе бумаги (хеши транзакций почему-то уже не стали). Потом нужно было три раза объяснить разным людям, что случилось. В итоге они сказали:

Разработчики Aperture Finance молчат две недели. Они сообщили, что их взломали, и после этого тишина. Полагаю, у них нет средств для возмещения убытков пострадавшим.

Как результат, после взлома Aperture Finance (если это был взлом, а не оставленный самой командой бэкдор и последующая кража) и двухнедельного игнора все указывает на то, что проект прекратил свое развитие и существование, украдены несколько миллионов у разных людей, а хакер доволен собой и ушел нетронутым.

Все видят адреса, на которых лежат токены, и никто ничего не может сделать. Нет органа, который бы помог, да и никому это не интересно.

Не твои ключи — не твои монеты

Мы, криптопользователи, декларируем в качестве самого важного преимущества индустрии полное владение своими средствами. Но оно же — главный бич цифровых активов. Как индустрия собирается добиться массового принятия, если любой может найти уязвимость в трех строчках кода, украсть средства прямо с кошельков и ему ничего за это не будет?

Это даже хуже телефонных мошенников. Там от жертв требуются действия — продать квартиру, отправить средства, предоставить CVV-код. В крипте же токены уйдут, пока вы спите, из-за разрешений трехлетней давности, потому что в старых контрактах нашлась новая уязвимость.

Да, я понимаю, что каждый сам ответственен за безопасность своих средств. Мы все знаем правила, которым обязаны следовать:

1. Регулярно делайте отзывы разрешений.
2. Меняйте кошельки. 
3. Не пользуйтесь непроверенными сервисами. 
4. Не переходите по ссылкам из Google. 
5. Не копируйте адрес из истории транзакций. 
6. Не ведитесь на аферы из X в стиле «Илон Маск дарит 1 BTC, просто отправь на этот кошелек 0,1 BTC».

И так далее, и так далее, и так далее. Не слишком ли их много? Индустрия обещает людям децентрализованные финансы, в которых «ты сам владеешь своими активами». А предлагает ли должного уровня защиту?

Почему нельзя создать инструменты для возврата средств после кражи? Для ее предотвращения? Подал запрос нодам о мошенничестве —> привел пруфы —> они проголосовали за заморозку —> потом по решению децентрализованного суда деньги вернули

Только в январе 2026 года хакеры взломали 16 проектов и украли $86,01 млн.

Кому криптовалюты станут интересны, если здесь столько неизвестных? Вы попробуйте предложить своему другу положить USDT на Aave вместо долларов в банке и опишите все риски:

• USDT могут заморозить (но только не когда у тебя их украли);
• Aave могут взломать и все украсть;
• ты можешь случайно нажать не на ту ссылку и у тебя выведут вообще все;
• USDT может депегнуться.

Сэндвич-атаки, мошеннические токены, накрутки объемов для создания видимости привлекательности токена. Все это наши реалии, с которыми мы живем и делаем вид, будто все нормально.

А еще же есть поддельные USDT. Вы можете продать, например, Telegram-канал, а вам скинут не настоящие стейблкоины, а мошеннические. Нужно уметь их проверять по адресу контракта.

Кто захочет пользоваться цифровыми активами, узнав все это?

Когда меня друзья просят научить зарабатывать на фарминге (потому что видят человека, который три кнопки на ноуте нажал и денег заработал, пока в фифу играет), всегда хочется дать лишь один совет: не лезь, оно тебя сожрет.

Вся индустрия DeFi как была пять-шесть лет назад, так и осталась сложной, неудобной, небезопасной и неинтересной масс-маркету. Опытный криптан, может, и найдет здесь рыночные неэффективности и возможности для заработка, но для абсолютного большинства это далеко не «банк у каждого в кармане».

Наиболее безопасным был и остается единственный вариант использования криптовалют — покупаешь биткоин, кладешь на аппаратный кошелек и никуда не лезешь. Как только начинаешь подумывать про то, что «они просто лежат без дела, нужно заложить/переложить и зарабатывать», запускается бомба замедленного действия. Рано или поздно ошибка настигнет.