<b>Reentrancy, oracle manipulation и access control: 4 паттерна эксплойтов в DeFi</b>

<b>Reentrancy, oracle manipulation и access control: 4 паттерна эксплойтов в DeFi</b>

Большая часть взломов smart-contracts повторяет одни и те же ошибки. Меняются протоколы, сети и объёмы ликвидности — но паттерны остаются похожими.

— <b>Reentrancy</b>. Контракт отправляет средства до обновления внутреннего баланса. Атакующий вызывает функцию повторно через fallback и забирает активы несколько раз. Базовая защита: <code>checks-effects-interactions</code>, mutex и минимизация внешних вызовов.

— <b>Манипуляция oracle</b>. Особенно частая проблема в low-liquidity пулах. Если протокол берёт цену из одного DEX-пула без TWAP или внешней валидации, цену можно сдвинуть флеш-лоаном и использовать для залога, ликвидаций или минта.

— <b>Ошибки access control</b>. Функция admin-only случайно остаётся публичной, multisig имеет избыточные права, upgradeable proxy не инициализирован. Такие баги часто выглядят как «не эксплойт, а misconfiguration», но последствия те же.

— <b>Arithmetic и decimal mismatch</b>. Неверная работа с precision токенов, rounding и overflow после кастомной логики расчётов. Особенно опасно при интеграции нескольких токен-стандартов и bridge-механик.

Отдельая проблема — скорость интеграций. Чем больше внешних зависимостей: bridge, oracle, staking-модуль, router, vault — тем шире поверхность атаки. ⚠️

Минимальный чек-лист перед деплоем: unit-тесты на edge cases, fuzzing, timelock для admin-функций, независимый audit и pause-механизм на критические операции. Даже базовая дисциплина закрывает значительную часть типовых сценариев атак.