СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#ИБ

Взлом BetterBank на PulseChain: похищено около 5 млн долларов

Взлом BetterBank на PulseChain: похищено около 5 млн долларов

Источник: securelist.com

В августе 2025 года децентрализованный финансовый протокол BetterBank на платформе PulseChain стал жертвой масштабного взлома — злоумышленники вывели цифровые активы примерно на 5 миллионов долларов. Инцидент выявил сочетание уязвимой логики в смарт‑контрактах, недостаточного реагирования после аудита и проблем с сетевой криминалистикой в экосистеме PulseChain.

Кратко: что случилось

  • Дата атаки: август 2025
  • Цель: протокол BetterBank (DeFi) на PulseChain
  • Потери: около $5 млн; среди выведенных активов — 891 миллион токенов DAI и более 16 миллиардов токенов PLSX и WPLS
  • Ключевая уязвимость: функция swapExactTokensForFavorAndTrackBonus в системе бонусного вознаграждения
  • Предыстория: июль 2025 — аудит Zokyo, в котором находка была помечена как «Информационная» и «Устраненная»

Как работал эксплойт

Атака опиралась на логическую ошибку в механизме начисления бонусов: функция swapExactTokensForFavorAndTrackBonus должна была чеканить вознаграждающие токены ESTEEM при обменах, использующих токены FAVOR. Однако в ней отсутствовала обязательная проверка того, что обмены происходят через легитимные пулы ликвидности, внесённые в белый список.

Ключевые элементы эксплуатации:

  • Злоумышленник создал или использовал поддельные пулы ликвидности, чтобы искусственно сымитировать законные обмены и получить бонусы.
  • В основе эксплойта лежала логика контракта favorPLS.sol, а именно функция logBuy(), которая неверно интерпретировала события покупки и начисляла вознаграждения.
  • Для получения необходимого капитала и эффективного манипулирования ликвидностью атакующий использовал серию тщательно скоординированных операций с применением срочного кредита (flash‑loan/срочный кредит), что позволило временно привлечь большие суммы.
  • В результате активы были выведены из пулов ликвидности BetterBank, включая 891 млн DAI и свыше 16 млрд PLSX/WPLS.

Почему інцидент стал возможен: проблемы в аудите и управлении рисками

В июле 2025 года аудит безопасности, проведённый компанией Zokyo, выявил критическую уязвимость в системе бонусного вознаграждения — способность злоумышленников получать бонусы с помощью поддельных токенов. Тем не менее эта находка была классифицирована как «Информационная» и помечена как «Устраненная», что привело к недостаточному устранению проблемы со стороны команды BetterBank. Такое снижение приоритета позволило оставшейся опасной логике сохраниться в продакшн‑контрактах.

Аудит Zokyo: классификация уязвимости — «Информационная», статус — «Устраненная».

Трудности расследования и роль аналитических инструментов

Инцидент выявил проблему с сетевой криминалистикой в экосистеме PulseChain: ограниченный доступ к публичным аналитикам блокчейнов затруднил отслеживание маршрутов похищенных средств. В таких условиях на первый план вышли open‑source системы аналитики, в частности Blockscout, которые оказались незаменимыми для реконструкции потока транзакций и выявления адресов, участвовавших в атаке.

Выводы и рекомендации

На основе произошедшего можно сформулировать несколько практических выводов для команд DeFi, аудиторов и экосистем блокчейнов:

  • Для смарт‑контрактов, начисляющих вознаграждения, обязательна проверка происхождения ликвидности: все обмены, дающие бонусы, должны происходить только через заранее верифицированные (whitelisted) пулы.
  • Аудиторы не должны понижать приоритет уязвимостей, связанных с возможность манипуляции экономикой протокола — даже если уязвимость кажется сложной для эксплойта, её необходимо корректно закрыть и верифицировать исправление.
  • Команды должны проводить ретесты и верификацию исправлений в условиях, максимально приближённых к производственным, и документировать изменения публично.
  • Мониторинг использования срочных кредитов (flash loans) и реализация защитных механизмов (проверки цен, лимиты на объемы операций, мультиподписи для критичных функций, timelock и emergency pause) снижают риск мгновенных манипуляций ликвидностью.
  • Экосистемам нужно улучшать доступность аналитических инструментов: публичные explorers и open‑source решения упрощают криминалистику и увеличивают шансы на оперативную реакцию на инциденты.

Инцидент BetterBank демонстрирует, что даже относительно «информационные» замечания аудиторов могут привести к серьёзным потерям, если исправления выполняются поверхностно. Комплексный подход — надёжная верификация, прозрачность исправлений и усиленная аналитика — остаются ключевыми элементами безопасности в DeFi.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: