Исследователи Halborn: протокол BetterBank на базе Pulsechain потерял $5 млн из-за взлома

В августе 2025 года кредитный протокол BetterBank, работающий на сети Pulsechain, подвергся крупной атаке. Подробности нападения рассказали специалисты компании Halborn. Хакеры использовали уязвимость в системе начисления бонусов, что позволило им вывести средства на сумму $5 млн. Инцидент стал одним из крупнейших для экосистемы и вновь показал слабые места в управлении логикой вознаграждений в DeFi-протоколах.

Механизм атаки основывался на создании поддельных торговых пар. Злоумышленники сформировали пары из токена FAVOR и собственного бесполезного актива. При совершении массовых сделок система начисляла им огромные бонусы в ESTEEM-криптовалютах. Дополнительно проблему усугубляло то, что налоговые правила протокола применялись только к официальным парам. В итоге хакеры смогли обойти оплату комиссионных и эффективно обнулить защитные механизмы.

После обнаружения атаки команда BetterBank остановила торговлю и заявила, что сумела договориться с хакером. В результате около 550 млн pDAI было возвращено на смарт-контракт. Однако ущерб в $5 млн потряс экспертов, а доверие пользователей к платформе оказалось серьезно подорвано.

Особое внимание привлек тот факт, что уязвимость ранее была зафиксирована во время аудита. Эксперты безопасности описали сценарий атаки, но использовали в примере тестовый эфир вместо неликвидного токена. По этой причине разработчики посчитали атаку финансово нереализуемой и понизили ее статус с «критического» до «низкого». Патч, предложенный аудиторами, внедрен не был.

Таким образом, ситуация с BetterBank показала, что даже наличие аудита не гарантирует безопасность протокола, если выводы специалистов интерпретируются неправильно. Неполное понимание рисков и снижение их приоритета в итоге стоили протоколу миллионов долларов. Инцидент стал наглядным примером, как недооцененные предупреждения могут обернуться катастрофическими последствиями.

Автор

Петр Иванов