<b>5 типовых паттернов эксплойтов smart-contracts, которые повторяются снова и снова</b>
Чаще всего атака не выглядит «сложной»: контракт просто доверяет тому, чему доверять нельзя. Базовый чек-лист риска — внешние вызовы без защиты reentrancy, неверные проверки прав доступа, полагание на один источник цены, плохая работа с округлением и переполнением, а также ошибки в логике пауз и апгрейдов.
1) Reentrancy: контракт отправляет средства до обновления баланса.
2) Access control: функция открыта не тем ролям или проверка стоит не в том месте.
3) Oracle risk: цена берётся из тонкого рынка, манипулируется через крупную сделку или flash loan.
4) Math/precision: округление, деление на ноль, неверные decimals, потеря долей при расчётах.
Отдельная группа — ошибки интеграций: несовместимость с токенами, неожиданные callback-функции, неправильная обработка transfer/approve, а также «сломанные» предположения о том, что токен ведёт себя как стандартный ERC-20. Для DeFi это частая точка входа: один модуль безопасен сам по себе, но в связке даёт дыру.
Полезная привычка: перед деплоем прогонять аудит не только по коду, но и по допущениям. Если функция зависит от цены, ролей, времени или внешнего вызова — пометь её как критичную и тестируй сценарии, где эти условия ломаются.
Главное правило простое: если контракт принимает решения на доверии, атакующий первым проверит именно это доверие.
Crypta Сводка — новости криптовалют и регуляции
@CryptASvodka
<b>5 типовых паттернов эксплойтов smart-contracts, которые повторяются снова и снова</b>
Этот пост опубликован в Telegram-канале Crypta Сводка — новости криптовалют и регуляции. Подписаться можно по ссылке: @CryptASvodka.