Пользователь Goldfinch Finance deltatiger.eth взломан, украдено $330 тыс.

По данным платформы безопасности блокчейна PeckShield,dentпользователь DeFi платформы Goldfinch Finance на базе Ethereumстал жертвой эксплойта, который привел к убыткам в размере около 330 000 долларов США.

Во вторник PeckShieldAlert сообщил, что злоумышленник пользователя Goldfinch deltatiger.eth отправил около 118 ETH на Tornado Cash после взлома старого смарт-tracна Ethereum.

Скомпрометированныйtrac,dentкак 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, позволил злоумышленнику взять под контроль кошелек deltatiger и украсть средства.

#PeckShieldAlert @goldfinch_fiПользователь @deltatigernz подвергся атаке, в результате чего был нанесен ущерб примерно на 330 000 долларов.

Хакер перевел 118 $ETH из украденных средств в #TornadoCash.

🚨Пожалуйста, *отзовите* разрешение на этот контрактtrac:… pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2 декабря 2025 г.

Уязвимость заключалась в функции collectInterestRepayment()trac, которая может переводить USDC с любого адреса, дающего одобрение. Сообщается, что злоумышленник внес 1000 USDC и неоднократно выводил средства, искусственно завысив цену акций.

Компания PeckShield предупредила пользователей о необходимости «немедленно отозвать все подтверждения по контрактуtrac, чтобы предотвратить кражу хакером новых токенов, поскольку он продолжал использовать криптомикшер Tornado Cash для отмывания украденных средств. 

Пока что никаких обновлений от deltatiger и Goldfinch не поступало, и ни одна из сторон не раскрыла, связывался ли с ними злоумышленник после атаки, которая произошла сегодня около 9:30 утра по UTC.

Децентрализованный метод кредитования Goldfinch Finance оказался неэффективным

Goldfinch Finance — это протокол децентрализованного финансирования (DeFi), поддерживаемый крупнейшими игроками криптоиндустрии, включая a16z Crypto и Coinbase Ventures. 

В отличие от большинства платформ криптокредитования, Goldfinch не требует от заёмщиков предоставления залога. Вместо этого они могут подавать заявки на рассмотрение спонсорам и аудиторам, которые затем выдают кредит, если заявки получают достаточную поддержку. Поставщики ликвидности, спонсоры и аудиторы получают проценты в качестве вознаграждения, в то время как заёмщики получают доступ к капиталу без предоставления залога. 

Протокол был запущен на Ethereum в феврале 2021 года, первоначально выдав займы на сумму 1 миллион долларов. Версия 1.1 была запущена месяц спустя, в марте 2021 года, а ещё через несколько месяцев Goldfinch привлекла финансирование в размере 11 миллионов долларов от Andreessen Horowitz. В октябре 2021 года платформа заключила партнёрское соглашение с Nexus Mutual, что позволило поставщикам ликвидности и спонсорам приобретать страховку по смарт-trac. 

По данным терминала токенов Coingecko, полностью разводненная рыночная капитализация протокола Goldfinch составляет 30,5 млн долларов США, объем торговли токенами за последние 30 дней — 12,4 млн долларов США, а общая сумма активных займов составляет 91,3 млн долларов США.

В 2023 году восточноафриканская компания по финансированию мотоциклов Tugende Kenya допустила дефолт по криптовалютному кредиту на сумму 5 миллионов долларов после того, как, предположительно, предоставила несанкционированный кредит своей материнской компании, базирующейся в Уганде, что нарушило условия кредитования.

Warbler Labs, материнская компания Goldfinch, обнаружила, что Tugende Kenya перевела почти 2 миллиона долларов в свою материнскую компанию. Информация об утечке была раскрыта в декабре того же года, но, согласно данным компании, о ней сообщили на форуме корпоративного управления Goldfinch ещё в феврале 2024 года.

В 2024 году произошёл ещё один дефолт сингапурской частной кредитной компании Lend East, которая заявила, что может погасить лишь около 4,25 млн долларов из кредита в размере 10,15 млн долларов, предоставленного пулом Goldfinch. Эта сумма была на 58% меньше суммы погашения и составляла 7,7% от общего объёма активных кредитов Goldfinch. 

Пул Lend East был заключен на 25 месяцев со сроком погашения 3 апреля 2024 года и предлагал 17% годовых по USDC или 28% годовых по плавающей ставке GFI. Участники сообщества Discord утверждали, что 750 000 долларов США, взятые в долг у Goldfinch, были использованы для погашения задолженности других заемщиков, что является нарушением первоначального кредитного соглашения.

Декабрь приветствует протоколы DeFi , пострадавшие от взломов

как yETH компании Yearn Finance пострадал от взлома, связанного с неограниченным выпуском токенов, в результате которого весь пул yETH был опустошен за одну транзакцию. Согласно Cryptopolitanотчету Cryptopolitan ,злоумышленники сгенерировали практически бесконечное количество токенов yETH,tracCashCash CashCashCashCash CashCash.

yETH — это индексный токен, основанный на нескольких версиях ETH с ликвидным стейкингом, известных как деривативы Ethereum Liquid Staking (LST). Уязвимость была обнаружена пользователем X Togbe, который отметил «крупные транзакции» на LST, включая Yearn, Rocket Pool, Origin и Dinero.

Компания Yearn Finance подтвердилаdent через свой официальный аккаунт X, но заверила пользователей, что хранилища V2 и V3 защищены. Это вторая атака с 2021 года, когда взлом хранилища Yearn yDAI привёл к убыткам в размере 2,8 млн долларов, а в декабре 2023 года из-за сбоя в работе скрипта было потеряно 63% казначейских активов.

Компания CertiK, специализирующаяся на безопасности блокчейна, сообщила в воскресенье, что в ноябре криптоиндустрия понесла убытки в размере около 127 миллионов долларов в результате хакерских атак и эксплойтов . В ежемесячном отчете компании об угрозах отмечается, что фактически пострадавшие средства превысили 172 миллиона долларов, хотя примерно 45 миллионов долларов впоследствии были возвращены.