Главные события, связанные с безопасностью и рисками в криптовалютной сфере: рыночные манипуляции PIPPIN, уязвимости смарт-контрактов и риски хранения активов на биржах — разъяснение

Манипуляции на рынке PIPPIN: как 26 связанных адресов вывели $96 млн с централизованных бирж

В 2025 году скоординированные действия 26 адресов, связанных с PIPPIN, вызвали серьезную тревогу на рынке. Владельцы этих кошельков единовременно вывели $96 млн с централизованных бирж, что стало заметным перемещением капитала и немедленно привлекло внимание аналитиков и регуляторов.

Единый характер выводов с разных адресов указывает на осознанную координацию, а не на типичное поведение пользователей. Анализ on-chain подтверждает, что адреса имеют связанные истории транзакций и, вероятно, контролируются или управляются централизованно. Время и масштаб транзакций соответствуют подозреваемым схемам манипуляции, нацеленным на искусственное изменение стоимости PIPPIN.

SEC инициировала расследование подозрительной торговой активности, оценивая, может ли массовый вывод с бирж быть признаком манипуляции рынком. Высокий рейтинг PIPPIN (#5 по SymSense) свидетельствует о постоянном внимании регуляторов. Имеются признаки координации между группами адресов, направленной на искусственное увеличение объема торгов и воздействие на цену, что требует особого внимания со стороны комплаенс-специалистов и инвесторов.

Уязвимости смарт-контрактов и атаки на повторный вход: кейс взлома Penpie на $27 млн

В сентябре 2024 года в протоколе Penpie произошла крупная атака, приведшая к потере $27 млн и выявившая критические проблемы в архитектуре смарт-контрактов. Злоумышленник использовал уязвимость повторного входа в функции _harvestBatchMarketRewards контракта PendleStaking, где отсутствовали базовые меры защиты, включая reentrancy guards.

Метод атаки заключался в запуске функции redeemRewards(), которая вызывала claimRewards() для отдельных рынков, позволяя рекурсивное выполнение до обновления состояния. Через выпуск фиктивных токенов SY и депозит крупных PENDLE-LPT токенов злоумышленник смог изменить механизм распределения наград. Недостаточная проверка надежности рынка в протоколе усугубила уязвимость и позволила провести серию атак.

Инцидент показал, что смарт-контракт Penpie имел слабые механизмы контроля доступа и проверки. Атакующий депонировал LPT-токены рынка, которые ошибочно считались легитимными наградами, искусственно увеличивая баланс без должной проверки. После обнаружения атаки команда заморозила операции для предотвращения дальнейших потерь, но повторное развертывание вредоносного контракта показало, что злоумышленник нацелился на оставшиеся $105 млн активов протокола.

Случай Penpie демонстрирует, как одна незащищенная уязвимость повторного входа способна привести к масштабным финансовым потерям. Этот пример подчеркивает важность внедрения комплексных мер безопасности, таких как reentrancy guards, проверка состояния и тщательный аудит смарт-контрактов до выхода в основной сети для защиты DeFi-экосистемы.

Риски кастодиального хранения: концентрация внутреннего контроля до 80–90% токенов угрожает безопасности инвесторов

Кастодиальное хранение криптовалюты на бирже создает значительные риски концентрации, серьезно угрожающие защите инвесторов. Анализ PIPPIN особенно ярко демонстрирует эти уязвимости: внутренние адреса контролируют примерно 80% эмиссии, что составляет около $380 млн под управлением одной структуры.

Последние рекомендации SEC отмечают, что высокая концентрация внутренних адресов создает системные риски, выходящие за пределы стандартных биржевых угроз. При контроле подавляющей части обращения кастодиальные механизмы теряют силу — инвесторы не могут проверить реальную ликвидность и цену. Отсутствие внебиржевых расчетных сетей и протоколов сегрегированного хранения делает пользовательские средства уязвимыми к внутреннему контролю.

Крупнейшие криптовалютные платформы внедряют мультибиржевой доступ к ликвидности и интегрированные решения для хранения, чтобы снизить риски концентрации. Инвесторам следует проверять, применяет ли их кастодиан прозрачные реестры владения, хранит ли большую часть активов в холодном хранилище и обеспечивает ли реальное разделение средств. Без таких мер безопасность депозитов остается формальной, а не гарантированной.