Rhea Finance потеряла 7,6 миллиона долларов в результате атаки на оракул в сети NEAR

7,6 миллиона долларов были украдены в результате одной операции – USDC, USDT, ZEC и NEAR были одновременно выведены со счетов – более 95 % общей заблокированной стоимости (TVL) DeFi в сети NEAR Protocol были сосредоточены в одном протоколе – вывод средств был приостановлен без предварительного объявления – и вектор атаки был задокументирован на протяжении многих лет в литературе по безопасности блокчейна. 16 апреля 2026 года Rhea Finance, ведущий DeFi-хаб в сети NEAR, подвергся манипуляции с оракулом, выполненной с хирургической точностью, которая не только выявила архитектурные недостатки протокола, но и поставила под сомнение зрелость децентрализованной инфраструктуры в сети NEAR. Является ли это изолированным инцидентом, который протокол преодолеет, восстановив свою ликвидность, или мы являемся свидетелями структурной проблемы экосистемы, которая слишком быстро росла на недостаточно проверенных основах безопасности?

Протокол в центре NEAR – и уязвимость, столь же старая, как и сама DeFi

Эпоха, когда децентрализованные финансы могли хвастаться решением проблемы оракулов, окончательно прошла. С первых задокументированных манипуляций с ценами на платформе Compound в 2019 году до масштабных эксплойтов Mango Markets в 2022 году и Euler Finance в 2023 году, уязвимость ончейн-данных о ценах является одним из наиболее хорошо задокументированных – и при этом систематически недооцениваемых – рисков всей экосистемы DeFi. Тот факт, что эта угроза поразила Rhea Finance, самый важный протокол в экосистеме NEAR Protocol, не является случайностью: это логическое следствие экстремальной концентрации активов в сочетании с недостаточной проверкой данных о ценах.

Rhea Finance была создана в начале 2025 года в результате слияния двух исторических протоколов в сети NEAR: Ref Finance, ведущей децентрализованной биржи, и Burrow Finance, децентрализованного протокола кредитования. Это слияние было воспринято как долгожданная оптимизация фрагментированной экосистемы, позволяющая консолидировать ликвидность и поток пользователей в едином интерфейсе. В результате Rhea Finance быстро захватила более 95 % общей TVL DeFi в сети NEAR, достигнув, по данным DeFiLlama, пикового значения в 145 миллионов долларов накануне инцидента – что составляет примерно 95 % из 152 миллионов долларов общей TVL сети.

Эта концентрация, представленная как преимущество глубокой ликвидности, оказалась именно тем фактором, который усилил атаку. Когда один протокол владеет почти всеми активами экосистемы, компрометация этого протокола означает компрометацию всей DeFi в этой сети. Как злоумышленник действовал, и какую конкретную архитектурную уязвимость он использовал, чтобы вывести 7,6 миллиона долларов, не вызвав при этом срабатывание систем оповещения в режиме реального времени?

Анатомия сигнала – что манипуляции с поддельными пулами ликвидности раскрывают о структурных уязвимостях оракулов DeFi.

Чтобы понять истинный масштаб этого сигнала, необходимо разобраться в механизме его работы. Оракул цен, по своей сути, является механизмом, который передает смарт-контракту информацию о рыночной стоимости актива. Без оракула протокол кредитования или свопа не может знать, сколько стоит залог, который ему предоставляется, или рассчитать пороговые значения ликвидации. Надежность этого оракула напрямую определяет платежеспособность всего протокола. Основная проблема заключается в том, что если оракул может быть обманут относительно стоимости актива, вся система кредитования и обеспечения рухнет.

В случае с Rhea Finance компания по безопасности блокчейна CertiK точно воссоздала вектор атаки. Злоумышленник сначала развернул поддельные контракты токенов – токены, созданные из ничего, без какой-либо внутренней стоимости или истории торгов. Затем он создал новые пулы ликвидности на протоколе, искусственно добавляя в них ликвидность, увеличивая видимые резервы этих пулов, чтобы придать им видимость легитимности. По мнению CertiK, «злоумышленник создал поддельные контракты токенов и добавил ликвидность в новые пулы, вероятно, вводя в заблуждение оракул и слой проверки».

Механизм манипуляции основан на классической, но чрезвычайно эффективной уязвимости: оракул Rhea Finance рассчитывал цены, используя логику типа TWAP (Time-Weighted Average Price), но не применял проверку возраста пулов. При отсутствии контроля над возрастом пула – обычно пулы, возраст которых менее одного часа, должны быть проигнорированы или взвешены с нулевым коэффициентом – оракул принял данные о ценах, сгенерированные злоумышленником, как действительные. Таким образом, токены, не имеющие реальной стоимости, были представлены системе как ликвидные активы, что позволило злоумышленнику использовать их в качестве залога для получения реальных активов: 2,1 миллиона долларов в USDC, 1,8 миллиона долларов в USDT, 1,2 миллиона долларов в токенах NEAR и эквивалент 2,5 миллиона долларов в ZEC (Zcash).

Эта последовательность – создание поддельных токенов, искусственное добавление ликвидности, манипулирование ценовыми потоками, заимствование реальных активов – является именно той схемой, которую можно было наблюдать во время взлома Mango Markets в октябре 2022 года, когда злоумышленник Авраам Эйзенберг манипулировал ценой токена MNGO, чтобы получить 117 миллионов долларов. Разница в масштабах не должна скрывать идентичность вектора атаки. Как мы анализировали в связи с крупнейшими взломами криптовалют и структурными уроками, которые они преподают, манипулирование залогом через оракулы, не устойчивые к неликвидным активам, остается одним из самых распространенных видов атак во всей экосистеме DeFi. Реакция команды была немедленной – приостановка вывода средств, развертывание исправления, основанного на медиане, взвешенной по объему, 16 апреля 2026 года в 16:00 UTC, но ущерб уже был нанесен.

Сигнал для отрасли – что взлом Rhea Finance показывает о концентрации рисков в развивающихся экосистемах DeFi

Ирония горька: оракулы, предназначенные для привязки протоколов DeFi к реалиям рынков и предотвращения внутренних манипуляций ценами, с 2021 года стали основным вектором атак в децентрализованных финансах. По данным аналитиков Messari, атаки на оракулы и манипуляции ценами составляют 18% всех взломов DeFi в 2026 году, что привело к общим потерям в размере 450 миллионов долларов только за первый квартал. Эта цифра звучит особенно болезненно, учитывая, что технические решения существуют: децентрализованные оракулы с несколькими источниками, проверки TWAP на длинных периодах, минимальные требования к сроку существования пулов, механизмы автоматической остановки. Вопрос не в том, известны ли эти защиты – они известны уже много лет, а в том, почему они не применяются систематически.

Для экосистемы NEAR Protocol этот инцидент выявил уязвимость, которую предыдущий случай с Burrow Finance – прямым предшественником Rhea, ставшего жертвой аналогичной атаки с использованием флэш-займов в 2024 году, – должен был заставить рассматривать как приоритетную при создании нового протокола. Тот факт, что слой проверки был введен в заблуждение пулами без истории, является не только технической ошибкой, но и сигналом о безопасности в системе управления. Вадим Закодил, бывший ведущий разработчик NEAR, подтвердил эту информацию 16 апреля 2026 года и призвал к бдительности, подчеркнув срочность отслеживания ситуации.

Концентрация 95% TVL (общей заблокированной стоимости) DeFi на NEAR в одном протоколе также поднимает вопрос системной устойчивости, который немногие эксперты поднимали до инцидента. В таких сетях, как Ethereum или Solana, распределение активов между десятками конкурирующих протоколов механически ограничивает влияние единого взлома. В NEAR слияние Ref и Burrow создало единую точку отказа, влияние которой значительно превышает 7,6 миллиона долларов, непосредственно украденных: падение TVL на 52% после приостановки, с 145 миллионов до примерно 69 миллионов долларов согласно данным DeFiLlama, иллюстрирует хрупкость экосистемы, построенной на такой высокой концентрации ликвидности. Потери DeFi в первом квартале 2026 года уже достигли 169 миллионов долларов, как показано в наших анализах глобальных данных безопасности DeFi за первый квартал 2026 года – и взлом Rhea внес значительный вклад в это.

Изолированный инцидент или системный крах DeFi на NEAR: две противоположные точки зрения

Благоприятный сценарий: Взлом Rhea Finance – это локальный инцидент, вызванный конкретной технической уязвимостью, которая теперь идентифицирована, в молодом протоколе, который еще не успел отработать свои механизмы безопасности после слияния. Исправленное решение, развернутое 16 апреля в 16:00 UTC – использование медианы, взвешенной по объему с минимальным порогом стажа для новых пулов – напрямую устраняет эксплуатируемый вектор. Полный аудит, запланированный с PeckShield к 20 апреля 2026 года, в сочетании с голосованием управления NEAR по созданию фонда безопасности оракулов в размере 2 миллионов долларов, может продемонстрировать быструю институциональную реакцию. Фонд NEAR также выделил вознаграждение в размере 500 000 NEAR за любое восстановление средств с использованием методов "белых шляп". Если значительная часть активов будет восстановлена и выводы для не-ZEC пар возобновятся в ближайшие дни, доверие поставщиков ликвидности может восстановиться быстрее, чем это может показаться на первый взгляд.

Неблагоприятный сценарий: Данные, полученные из блокчейна, показывают, что 30% украденных средств уже прошли через миксер типа Tornado Cash, что делает их возврат маловероятным, а любая частичная реституция – иллюзорной. Обнаруженная уязвимость не является уникальной: она повторяет схему манипуляций с оракулами, задокументированную с 2022 года в аналогичных протоколах, включая сам Burrow Finance до слияния. Отсутствие контроля над возрастом пулов в протоколе, который был оценен компанией CertiK на 85/100 до эксплойта, указывает на опасное доверие к агрегированным метрикам безопасности, которые не отражают риски композиции. Более того, концентрация DeFi на платформе NEAR в одном протоколе превращает каждый будущий эксплойт в системный риск для всей сети – структура рынка, которая отпугивает институциональных инвесторов и профессиональных поставщиков ликвидности от выделения значительных капиталов.

Мы находимся на грани: решающим фактором будет способность компании Rhea Finance опубликовать полный, прозрачный и технически точный отчет об инциденте до 18 апреля, даты публикации финального отчета компании CertiK, и продемонстрировать, что внедленное исправление устойчиво к попыткам манипуляции в условиях adversarial-тестирования. Без этого доказательства надежности приостановка вывода средств не будет воспринята как временная мера защиты, а как симптом неспособности вернуть контроль над ситуацией.

Ключевые индикаторы для оценки ситуации:

• TVL (общий объем заблокированных средств) Rhea Finance: критический порог в 100 миллионов долларов, который необходимо восстановить в течение 30 дней после инцидента, согласно данным DeFiLlama. Снижение TVL ниже 60 миллионов долларов будет свидетельствовать о необратимой утечке ликвидности в краткосрочной перспективе. Рост TVL выше 90 миллионов долларов в течение 2 недель укажет на сохранение доверия.
• Возобновление вывода средств: Полное возобновление вывода средств, включая пары ZEC, в настоящее время приостановленные, является самым прямым сигналом о платежеспособности. Любая задержка сверх 20 апреля 2026 года будет негативно воспринята рынком.
• Отчет после инцидента от CertiK: Ожидается 18 апреля 2026 года. Этот документ должен точно определить, существуют ли другие аналогичные уязвимости в исправленной архитектуре. Отсутствие отчета или неполный отчет станет серьезным тревожным сигналом.
• Активность кошельков, связанных с атакующим, в блокчейне: Необходимо отслеживать перемещение средств с идентифицированных адресов, особенно любые переводы на централизованные биржи или кросс-чейн мосты, через обозреватели NEAR Blocks. Любое движение по конвертации в ликвидные стейблкоины до 20 апреля снизит шансы на возмещение.
• Голосование сообщества NEAR по фонду оракулов: Результат голосования о выделении 2 миллионов долларов на безопасность оракулов станет индикатором приверженности институциональных игроков экосистеме. Положительный результат с более чем 60% голосов будет свидетельствовать о скоординированном коллективном ответе; неудача или отсрочка укажет на внутренние разногласия.
• Спреды bid-ask (разница между ценой покупки и продажи) активов, подвергшихся воздействию: Необходимо особенно внимательно следить за спредом по ZEC и NEAR на оставшихся децентрализованных биржах (DEX) экосистемы. Спред, превышающий 2% по основным парам, будет указывать на сохраняющуюся фрагментацию ликвидности и недоверие со стороны маркет-мейкеров.

Перспективы – сценарии для инвесторов, связанных с Rhea Finance и экосистемой NEAR

Оптимистичный сценарий: Инвесторы, сохраняющие позиции в Rhea Finance или токене NEAR, делают ставку на скорость и качество институционального ответа. Если отчет CertiK от 18 апреля подтвердит, что исправление оракулов является структурно надежным, если вывод средств будет полностью возобновлен до 20 апреля, и если голосование сообщества выделит запрошенные средства на безопасность, инцидент может парадоксальным образом укрепить долгосрочную репутацию протокола, как это произошло с Aave после кризисов ликвидности в 2020-2021 годах. В этом сценарии токен NEAR может пережить шок, не превысив обычные уровни коррекции, наблюдаемые при аналогичных эксплойтах в ведущих протоколах экосистемы.

Вниз: Инвесторы, которые сокращают свою экспозицию или временно выходят из экосистемы, утверждают, что структура концентрации DeFi в NEAR – один протокол, 95% активов – не изменилась после инцидента. Пока эта концентрация сохраняется, каждая новая уязвимость, даже незначительная, представляет собой непропорционально высокий системный риск. Тот факт, что 30% украденных средств уже прошли через миксер, снижает перспективы частичного возмещения, подвергая LP постоянным потерям. В этом сценарии, осторожность требует ожидания публикации полного отчета PeckShield, запланированного на 20 апреля 2026 года, прежде чем предпринимать какие-либо изменения, и отслеживать, появятся ли альтернативные протоколы в NEAR для перераспределения сконцентрированной ликвидности. Как мы анализировали в связи с взломом протокола Drift на Solana, восстановление доверия после взлома требует полной и быстрой прозрачности – любые задержки в коммуникации усиливают недоверие рынка.

В этом контексте, когда механизм атаки ясен, но способность к восстановлению остается неопределенной, истина становится очевидной: концентрация 95% DeFi экосистемы в одном протоколе, каким бы эффективным он ни был, равносильна строительству крепости, где достаточно одной плохо запертой двери, чтобы открыть все сокровища. Терпение часто является единственным оружием, которое не дает сбой, – но в этот раз оно должно сопровождаться требованием технических доказательств, а не просто заявлений о добрых намерениях.

На эту тему:

• Самые крупные взломы криптовалют: потери, механизмы и структурные уроки для инвесторов DeFi
• DeFi: потери в 169 миллионов долларов за 1 квартал 2026 года и вопросы безопасности в постквантовую эпоху
• Протокол Drift взломан на 285 миллионов долларов: уроки крупного инцидента в DeFi на Solana

Эта статья не является инвестиционным советом. Криптовалютные активы чрезвычайно волатильны, и инвестиции сопряжены с присущими им рисками потери капитала. Проведите собственные исследования, прежде чем принимать какие-либо финансовые решения.