Как криптобизнес теряет деньги из-за ошибок в настройках

26 февраля 2026 года из протокола Ploutos Money на Ethereum было выведено около 388 000 долларов. Это был не классический эксплойт. Смарт-контракт не был переписан. Не был нарушен контроль доступа. Проблема заключалась в ошибке в настройках.

Для криптобизнеса это уже не частный эпизод, а симптом. Индустрия теряет средства не из-за «гениальных» взломов, а из-за управленческих просчетов. Потери все чаще возникают там, где протокол формально работает корректно, но опирается на искаженные входные данные. Это другой тип риска — менее заметный, но не менее разрушительный.

Что произошло

В случае Ploutos Money USDC в системе был привязан к неверному источнику цен. В результате протокол переоценил стоимость залога. Это изменило эффективную возможность заимствования: пользователи могли получить больше ликвидности, чем позволял их реальный залог. Алгоритм работал в соответствии с заложенным в него сценарием — он просто опирался на неправильно настроенные входные данные.

Вся атака была проведена с помощью одной транзакции. 

Никаких сложных цепочек эксплойтов. Никаких технических прорывов. Возможность была использована из-за того, что был неверно настроен один из ключевых параметров.

За десять дней до этого, 15 февраля, аналогичная проблема с настройкой оракула привела к убыткам в Moonwell. Некоторые из задействованных адресов совпадают. Это важно. Это говорит о том, что речь идет не об эксперименте, а о повторении. Как только обнаруживается механизм неверной оценки, его тестируют на других платформах.

Это свидетельствует об изменении структуры рисков.

Почему децентролизованные финансы под прицелом

Исторически убытки в DeFi были связаны с уязвимостями в коде — ошибками, допускающими повторное выполнение, арифметическими ошибками, несовершенством контроля доступа. Сегодня все чаще уязвимости обнаруживаются в управлении параметрами. Протоколы зависят от ценовых источников, коэффициентов залогового обеспечения, пороговых значений для ликвидации и лимитов на заимствование. Эти переменные определяют экономический баланс системы.

Если они настроены неправильно, протокол все равно работает «корректно», но на основе искаженных предположений.

Аудит кода не гарантирует, что параметры конфигурации отражают рыночную реальность. TVL не гарантирует соблюдение операционной дисциплины. Инвесторов теперь интересует не только безопасность кода, но и то, как контролируются изменения критически важных параметров.

• Кто может обновлять источник данных для оракула?
• Проводится ли независимая проверка?
• Осуществляется ли мониторинг отклонений цен?
• Влияют ли изменения параметров на работу системы в течение какого-то времени или вступают в силу немедленно?

В традиционных финансах неправильно настроенные модели оценки рисков приводят к системным рискам. В DeFi неправильно настроенные параметры приводят к немедленному изъятию средств. Обратного пути нет.

По мере усложнения протоколов их конфигурация становится такой же важной, как и сам код. Следующая волна убытков вряд ли будет вызвана какими-то масштабными эксплойтами. Она будет связана с экономическими несоответствиями, заложенными в настройках системы.

И эти проблемы связаны с менеджментом, а не с технологиями.