Протоколы RWA потеряли $14,6 млн в первой половине 2025: рекорд взломов

«Токенизация реальных активов — это будущее финансов. Но если мы не построим безопасную инфраструктуру, это будущее будет построено на песке.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В первой половине 2025 года сектор токенизированных реальных активов (RWA) столкнулся с беспрецедентным ростом кибератак: хакеры похитили более $14,6 миллиона из различных протоколов, что уже превышает общий ущерб за весь 2024 год. Этот тревожный тренд демонстрирует, что, несмотря на впечатляющий рост интереса со стороны банков, фондов и регуляторов, инфраструктура RWA остаётся одной из самых уязвимых в экосистеме Web3.

Согласно отчёту аналитической компании Cyvers, за шесть месяцев 2025 года было зафиксировано 17 инцидентов, связанных с RWA-протоколами, включая эксплойты смарт-контрактов, атаки на оракулы и кражи через вредоносные расширения. При этом объём убытков вырос на 124% по сравнению с H1 2024, что свидетельствует о том, что хакеры всё чаще выбирают RWA как свою главную мишень.

Этот рост совпадает с бумом в секторе: по данным DeFiLlama, общий объём заблокированных средств (TVL) в RWA-протоколах превысил $12,8 миллиарда к июлю 2025 года, что на 68% больше, чем годом ранее. Чем больше капитала вливается в сектор, тем привлекательнее он становится для злоумышленников.

💥 Крупнейшие взломы RWA в 2025 году

Вот наиболее значимые инциденты первой половины 2025 года, которые привели к утечке $14,6 млн:

🏦 Exploiter похитил $6,8 млн из Ondo Finance

В марте 2025 года протокол Ondo Finance, один из лидеров в токенизации казначейских облигаций США, стал жертвой эксплойта. Хакер использовал уязвимость в механизме сброса прав (rights revocation) в одном из смарт-контрактов, что позволило ему обойти проверки и вывести 6,8 млн USDC. Компания заявила, что средства были застрахованы, и пострадавшие инвесторы получили компенсацию.

📉 Атака на оракул: $4,2 млн с Protocol XYZ

В мае 2025 года протокол, специализирующийся на токенизации европейских облигаций, потерял $4,2 миллиона после атаки на цепочку поставки данных. Злоумышленник скомпрометировал один из внешних оракулов, который передавал ложную цену на токенизированный актив, что позволило атакующему взять огромные займы с низким обеспечением. Инцидент стал одним из первых случаев, когда оракульная атака была применена к RWA-протоколу.

🧩 Вредоносное расширение: $3,6 млн с DeFi-платформы

В июне 2025 года пользователи DeFi-платформы, интегрированной с RWA-пools, стали жертвами поддельного расширения для VS Code под названием "rwa-helper.sol". Оно имитировало легитимный инструмент для разработчиков, но считывало приватные ключи из файлов .env. В результате было похищено 3,6 млн USDT с кошельков пользователей, участвовавших в пулах ликвидности RWA.

🔍 Почему RWA стал главной мишенью хакеров?

Раньше основными целями для кибератак были DEX, мосты и мем-коины. Сегодня фокус сместился на RWA. Причины этого сдвига очевидны:

💰 Высокая концентрация капитала

Протоколы RWA хранят миллионы долларов в виде токенизированных облигаций, депозитов и недвижимости. Это делает их привлекательнее, чем пулы с низколиквидными токенами.

🧪 Относительная новизна и нестабильность

Многие RWA-проекты находятся на ранней стадии. Их код ещё не прошёл многолетнюю проверку, как у Ethereum или Bitcoin. Новые протоколы часто привлекают инвестиции до того, как пройдут полный аудит.

🔗 Сложная архитектура

RWA-протоколы зависят от множества компонентов: смарт-контрактов, оракулов, централизованных эмитентов, банковских интеграций. Каждое звено — это потенциальная точка отказа.

🛡️ Слабая культура безопасности

Многие команды RWA состоят из финансистов и юристов, а не из опытных разработчиков Web3. Это приводит к игнорированию лучших практик безопасности.

Как сказал аналитик Chainalysis: «RWA — это молоко в Web3. Сладкое, ценное и привлекательное для всех, кто ищет лёгкую добычу.»

🔐 Основные векторы атак на RWA-протоколы

Хакеры используют несколько ключевых методов для взлома RWA-инфраструктуры:

💻 Эксплойты смарт-контрактов

Наиболее распространённый способ. Уязвимости в логике контрактов (например, в механизмах синтеза, сброса прав или управления ликвидностью) позволяют злоумышленникам обходить проверки и выводить средства.

📡 Атаки на оракулы

Поскольку RWA-токены привязаны к реальным активам, их цена зависит от внешних данных. Если хакер скомпрометирует оракул, он может ввести ложную цену и обмануть протокол.

🔄 Уязвимости в мостах и интеграциях

Многие RWA-протоколы используют кросс-чейн мосты для передачи активов. Эти мосты часто становятся слабым звеном, как в случае с Harmony и Wormhole.

🕵️‍♂️ Социальная инженерия и вредоносные расширения

Как показал случай с rwa-helper.sol, хакеры всё чаще атакуют не сам протокол, а его пользователей и разработчиков через фишинг и вредоносное ПО.

🛡️ Как защищают RWA: текущие меры и их недостатки

Некоторые проекты уже внедряют меры защиты, но их недостаточно для полной безопасности.

🔬 Предварительные аудиты

Компании вроде Ondo и Maple Finance проводят аудиты у CertiK, OpenZeppelin, Zellic. Однако аудит не гарантирует отсутствие уязвимостей — он проверяет только код на момент проверки.

💼 Страхование активов

Некоторые протоколы работают с Nexus Mutual, InsurAce, Bridge Mutual для страхования средств. Но покрытие часто ограничено, а выплаты могут задерживаться.

🌐 Децентрализация оракулов

Использование мульти-оракульных решений (Chainlink, Pyth) снижает риск атаки на один источник данных.

🔐 Мультиподпись и DAO

Ключевые изменения в протоколе требуют одобрения комитета или голосования сообщества, что замедляет атаку.

Однако, как отметил Хакан Унал из Cyvers: «Безопасность RWA — это не просто код. Это и юридические соглашения, и физическая безопасность, и доверие к эмитенту.»

⚖️ Последствия для индустрии и инвесторов

Рост числа взломов уже оказывает влияние на весь сектор:

• Потеря доверия — институциональные инвесторы начинают задавать более жёсткие вопросы о безопасности.
• Замедление внедрения — банки и фонды откладывают интеграцию RWA из-за рисков.
• Рост стоимости аудитов и страхования — спрос на услуги кибербезопасности растёт, что увеличивает расходы протоколов.
• Усиление регуляторного давления — организации вроде SEC и ESMA могут ввести более строгие правила для RWA-эмитентов.

При этом большинство пострадавших инвесторов — это не крупные фонды, а розничные пользователи, которые вложили сбережения, ожидая стабильного дохода.

🔮 Будущее безопасности RWA: пути решения

Чтобы остановить рост взломов, индустрия должна перейти от реактивной к проактивной безопасности.

🧠 Обучение команд

Разработчикам RWA необходимо глубокое понимание кибербезопасности Web3. Курсы от Secureum, Immunefi, Trail of Bits должны стать обязательными.

📊 Ончейн-мониторинг в реальном времени

Системы вроде Cyvers, Chainalysis, TRM Labs должны отслеживать подозрительные транзакции и паттерны поведения.

🛡️ Стандартизация безопасности

Необходимы общие стандарты для RWA-протоколов, как это сделано для смарт-контрактов (например, ERC-20). Организации вроде OpenZeppelin и ConsenSys уже работают над этим.

💸 Программы вознаграждений за уязвимости (bug bounty)

Протоколы должны предлагать щедрые награды white-hat хакерам за обнаружение уязвимостей. Призовой фонд должен составлять не менее 10–15% от TVL.

🏗️ Построение децентрализованной инфраструктуры

Снижение зависимости от централизованных эмитентов и банковских интеграций. Развитие децентрализованных оракулов и юридических рамок для DAO.

✅ Выводы: безопасность — ключ к успеху RWA

Токенизация реальных активов — одна из самых перспективных тенденций в Web3. По прогнозам Boston Consulting Group, к 2030 году рынок RWA может достичь $16 триллионов. Однако этот потенциал может быть уничтожен, если безопасность останется на втором плане.

Ключевые выводы:

• Успех RWA зависит не только от капитала, но и от доверия.
• Рост числа взломов — не случайность, а закономерность, вызванная высокой концентрацией активов и слабой защитой.
• Безопасность должна быть встроена в протокол с самого начала, а не добавлена как опция.
• Инвесторам нужно тщательно проверять не только доходность, но и уровень безопасности протокола.

Как сказал Чарльз Гильем из Ledger: «В Web3 деньги — это код. А код без безопасности — это дырявый кошелёк.»

Будущее финансов может быть токенизированным, но только в том случае, если оно будет построено на надёжном фундаменте. Пока RWA остаётся уязвимым, каждый новый миллиард, вложенный в сектор, — это и возможность, и риск.