Удалось спасти $2,26 млн после эксплойта Foom Cash

Атака на протокол децентрализованной анонимной лотереи Foom Cash завершилась необычным финалом: вместо полной потери средств, 81% украденных активов ($1,84 млн) были возвращены благодаря вмешательству этичного хакера. Инцидент, произошедший в 2026 года, стал ярким примером того, как ответственное сообщество и чёткая политика bug bounty могут обратить катастрофу в победу.

🔍 Как была совершена эксплуатация?

Foom Cash использует zero-knowledge proofs для обеспечения анонимности участников лотереи. В основе лежит протокол Groth16, требующий так называемого «доверенного запуска» (trusted setup). Во время этого процесса генерируются криптографические параметры γ (гамма) и δ (дельта).

Однако разработчики пропустили ключевой этап — внесение уникального вклада от пользователя. В результате оба параметра остались в состоянии по умолчанию (равны генератору G2), что сделало возможным подделку доказательств.

«В криптографии нет мелочей. Один пропущенный шаг — и вся система рушится», — Виталик Бутерин, сооснователь Ethereum.

🦸‍♂️ Вмешательство белой шляпы

Исследователь безопасности Duha обнаружил уязвимость и немедленно действовал:

• Заблокировал средства на сети Base, предотвратив их вывод злоумышленниками
• Связался с командой Foom Cash и координировал восстановление
• Передал управление над активами платформе безопасности Decurity для возврата на Ethereum

За свои действия Duha получил вознаграждение в размере $320 000, а Decurity — $100 000 за техническую поддержку операции.

📉 Контекст: рост роли этичных хакеров

Случай с Foom Cash — не единичный. В экосистеме DeFi всё чаще именно белые шляпы становятся последней линией обороны:

• В августе 2023 года исследователь Samczsun основал альянс SEAL (Security Alliance), который за год провёл более 900 расследований
• В феврале 2026 года Ethereum Foundation запустила инициативу «Trillion Dollar Security» в партнёрстве с SEAL для борьбы с дрейнерами кошельков

Эти усилия меняют парадигму: безопасность теперь — не только про аудиты, но и про оперативную реакцию.

🛠️ Уроки для разработчиков

Инцидент выявил две критические проблемы:

1. Сложность zk-криптографии: даже опытные команды могут ошибиться в настройке доверенного запуска
2. Отсутствие автоматизированных проверок: CI/CD-пайплайны должны включать валидацию параметров Groth16

Как отметил Duha: «Если вы предлагаете bug bounty, вы признаёте, что ошибаетесь. Главное — быть готовым исправить это быстро и честно».

🔮 Будущее: безопасность через сотрудничество

Foom Cash продемонстрировал зрелый подход:

• Быстрое признание проблемы
• Прозрачная коммуникация
• Своевременная выплата вознаграждения

Это укрепляет доверие и показывает, что DeFi может быть не только инновационным, но и ответственным.

✨ Заключение: этика как преимущество

В мире, где хакеры часто действуют быстрее защитников, наличие этичного сообщества — бесценный актив. Случай Foom Cash доказывает: если проект создаёт условия для сотрудничества, даже серьёзная уязвимость не становится приговором.

Потому что в DeFi настоящая безопасность — это не стена, а сообщество, готовое её отстоять.