Найбільші події у сфері безпеки та ризиків у криптовалютах: маніпулювання ринком PIPPIN, вразливості смартконтрактів і ризики зберігання активів на біржах.

Маніпуляції з PIPPIN: 26 пов'язаних адрес вивели $96 мільйонів з централізованих бірж

У 2025 році група з 26 адрес, що мають відношення до PIPPIN, здійснила узгоджене виведення $96 мільйонів з централізованих бірж. Такий масовий відплив капіталу одразу привернув увагу аналітиків та регуляторів.

Синхронність дій за багатьма адресами свідчить про цілеспрямовану координацію, а не про типову поведінку користувачів. Аналіз блокчейну показує взаємопов’язані історії транзакцій цих адрес, що вказує на їх контроль або узгоджене управління. Час та масштаб операцій відповідають підозрілим схемам маніпулювання ринком для штучного впливу на ціну PIPPIN.

SEC розпочала розслідування щодо підозрілих торгових дій, перевіряючи, чи є узгоджені відпливи з бірж ознакою ринкової маніпуляції. Високий рейтинг PIPPIN (#5 у SymSense) забезпечує стабільну увагу регуляторів. Факти свідчать про координацію кластерів адрес, які штучно збільшують обсяги торгів і впливають на цінові рухи, що потребує особливої уваги з боку комплаєнс-фахівців та інвесторів.

Вразливості смартконтрактів та атаки повторного входу: кейс Penpie і експлойт на $27 мільйонів

У вересні 2024 року протокол Penpie був скомпрометований і втратив $27 мільйонів через критичні недоліки смартконтракту. Атака використала reentrancy у функції _harvestBatchMarketRewards контракту PendleStaking, яка не мала захисту від повторного входу.

Атакуючий застосував redeemRewards() для виклику claimRewards() у вибраних маркетах і здійснив рекурсивне виконання до завершення оновлення стану. Через підроблені SY токени й внесення значущих PENDLE-LPT, зловмисник маніпулював розподілом винагород. Відсутність перевірки надійності маркету дозволила систематичний експлойт.

Інцидент показав, що смартконтракт Penpie мав недостатні обмеження доступу та недосконалі механізми перевірки. Атакуючий вносив LPT токени, які помилково визнавалися протоколом як легітимні винагороди, і отримував надмірний баланс без належної верифікації. Після виявлення експлойту команди призупинили операції. Однак було виявлено ще одну спробу атаки на залишкові $105 мільйонів активів протоколу.

Злам Penpie показав, що одна вразливість reentrancy може призвести до серйозних фінансових втрат. Кейс підкреслює необхідність впровадження reentrancy guard, валідації стану й повного аудиту смартконтрактів до запуску в основній мережі, щоб захистити екосистему DeFi.

Ризики кастодіального зберігання: концентрація внутрішнього контролю на рівні 80–90% токенів ставить під загрозу безпеку інвесторів

Зберігання криптоактивів на біржах створює ризики концентрації, що суттєво загрожують захисту інвесторів. Аналіз PIPPIN показує: внутрішні адреси контролюють близько 80% обігу токена, тобто приблизно $380 мільйонів у межах однієї організації.

SEC у своїх останніх рекомендаціях наголошує: концентрація внутрішнього контролю створює системні ризики, що перевищують стандартні біржові загрози. При домінуванні внутрішніх адрес кастодіальні моделі руйнуються — інвестори не можуть підтвердити ліквідність чи реальні механізми ціноутворення. Відсутність позабіржових мереж та протоколів сегрегованого зберігання робить кошти користувачів вразливими до внутрішніх порушень.

Провідні криптобіржі впроваджують мультивеню ліквідності й інтегровані кастодіальні рішення для мінімізації ризиків. Інвесторам варто перевіряти, чи біржа веде прозорі реєстри володіння, використовує cold storage для основних активів та забезпечує реальне розділення коштів. Без таких механізмів захист депозитів залишається лише теоретичним.