Взлом BarnBridge: governance-атака и кража $776 тыс.

Как злоумышленник захватил управление BarnBridge, использовал старые approvals и вывел 776 600 USDC. Разбор атаки и движения похищенных средств.
Получить консультацию экспертов AML Crypto
15 июля 2026 года DeFi-протокол BarnBridge подвергся атаке на систему управления. Злоумышленник получил контроль над голосованием DAO, провёл вредоносное предложение и заменил один из контрактов SMART Yield на свою версию. После этого он использовал ранее выданные пользователями разрешения на операции с USDC и вывел около 776 тысяч долларов. Украденные средства затем обменяли примерно на 415 ETH и перевели на другой адрес. Иными словами, это был не обычный взлом из-за ошибки в коде, а захват управления слабо контролируемым протоколом.

Команда AML Crypto воссоздала движение похищенных средств в инструменте Bholder:

Сводка об инциденте

  • Потерпевший:
    протокол BarnBridge SMART Yield (cUSDC) и около 50 пользователей с активными разрешениями на списание USDC.
  • Дата инцидента:
    15 июля 2026 года
  • Сумма потерь:
    776 600 USDC

Что именно произошло

15 июля 2026 года система мониторинга BlockSec зафиксировала подозрительные транзакции, связанные с продуктом BarnBridge SMART Yield cUSDC в сети Ethereum. По предварительным оценкам, злоумышленник вывел около 776 тысяч USDC. Инцидент классифицировали как атаку на механизм управления протоколом — governance attack.

BarnBridge управлялся через DAO: участники системы могли голосовать за обновления и изменения в работе смарт-контрактов. Злоумышленнику удалось получить права, позволявшие выполнять такие решения. Пока публично не установлено, каким именно способом он получил контроль: через захват ключей, манипуляцию голосованием или использование старого предложения DAO.

Получив необходимые полномочия, атакующий обновил прокси-контракт SmartYield/controller. Прокси можно представить как постоянный адрес, за которым находится изменяемая программная логика. При нормальной работе DAO использует такую возможность для официальных обновлений. В данном случае адрес протокола остался прежним, но вместо безопасной версии контракта к нему подключили вредоносную реализацию.

После обновления вредоносный контракт получил доступ к привилегированной функции _takeUnderlying в компоненте CompoundProvider. Эта функция позволяла работать с базовым активом — в данном случае с USDC. Затем через функцию transferFees средства были собраны и переведены на адрес злоумышленника.

Ключевую роль сыграли старые разрешения — token approvals. Когда пользователи ранее взаимодействовали с BarnBridge, они разрешали связанным контрактам списывать определённое количество USDC со своих кошельков. Такие разрешения не отменяются автоматически после завершения операции и могут оставаться активными годами.
Token approval — это стандартная транзакция-разрешение, с помощью которой пользователь позволяет смарт-контракту сервиса тратить определённый токен со своего адреса. Такое разрешение необходимо для взаимодействия с децентрализованными биржами, кредитными протоколами и другими DeFi-приложениями. При этом сервис не получает доступ ко всему кошельку — он может работать только с указанным токеном и в пределах установленного лимита.

Некоторые приложения предлагают выдать неограниченное разрешение — unlimited approval. Это удобнее, поскольку пользователю не нужно повторно подтверждать доступ при каждой следующей операции. Однако такое разрешение может оставаться активным годами. Если смарт-контракт будет взломан, обновлён злоумышленником или получит вредоносную логику, средства пользователя могут оказаться под угрозой.

Поэтому безопаснее разрешать трату только того количества токенов, которое требуется для конкретной операции, а не устанавливать бесконечный лимит. Также рекомендуется периодически проверять активные approvals и отзывать разрешения у сервисов, которыми вы больше не пользуетесь.
Атакующий воспользовался сохранившимися разрешениями примерно 50 пользовательских адресов. Поэтому речь шла не только о выводе средств из одного хранилища протокола: вредоносный контракт смог списать USDC непосредственно с кошельков пользователей, которые когда-то предоставили BarnBridge соответствующий доступ. Владельцам кошельков не требовалось подтверждать новые транзакции — старого разрешения оказалось достаточно.

Незадолго до подтверждения атаки Blockaid предупреждала о рисках, связанных со старыми предложениями BarnBridge Smart Yield под номерами 14 и 15. Одно из них уже можно было исполнить, а второе находилось в очереди. Исследователи отмечали, что при вредоносном исполнении или обновлении эти предложения могли поставить под угрозу старые разрешения на USDC, DAI, USDT, GUSD и RAI. При этом открытые источники пока не подтверждают, какое именно предложение было непосредственно использовано во время кражи.
Атака произошла не через классический баг в смарт-контракте, а через захват управления DAO. Злоумышленник купил токены BOND, получил достаточный объём голосующей силы и внёс предложение, которое выглядело как обычное обновление proxy-контракта. После одобрения пропозала контроль над авторизованным контроллером был передан контракту атакующего, а затем код протокола заменили на версию, позволявшую выводить USDC.

Новый контроллер воспользовался старыми разрешениями approve, которые пользователи когда-то выдали BarnBridge и не отозвали после закрытия проекта. Благодаря этим разрешениям контракт всё ещё мог списывать USDC с кошельков — без новых подписей со стороны владельцев. В результате злоумышленник вывел около $776 тысяч с десятков адресов.

Особенно примечательна стоимость захвата управления. Атакующий потратил 0,335 ETH и получил примерно 32 795 BOND, из которых 32 000 были заблокированы для получения голосующей силы. Фактическая стоимость покупки составляла около $596–598, а с учётом комиссий — примерно $600. Поэтому встречающаяся в публикациях сумма $625 является допустимым округлением, но точнее говорить, что контроль над DAO удалось получить примерно за $600.

Иными словами, несколько сотен долларов позволили атакующему легитимно провести вредоносное предложение через почти неактивное DAO, обновить критический контракт и воспользоваться разрешениями, которые пользователи оставили действующими на протяжении нескольких лет.
После получения USDC злоумышленник обменял украденные активы на ETH. Было получено около 415 ETH, которые затем отправили на отдельный адрес. На момент публикации сообщения средства на нём оставались без движения.

Таким образом, основной причиной инцидента стала не обычная ошибка вроде неверного расчёта или сбоя цены. Атакующий использовал административные возможности DAO, подменил программную логику протокола и превратил ранее выданные пользователями разрешения в механизм вывода средств. Это показывает, что опасность могут представлять не только активные DeFi-позиции, но и старые approvals, оставшиеся после взаимодействия с протоколом.

Хронология развития событий

с 2026-07-05 15:43:11 UTC по 2026-07-05 18:26:35 UTC
с 2026-07-05 15:43:11 UTC по 2026-07-05 18:26:35 UTC
предполагаемый злоумышленник профинансировал адрес-эксплойтер 0xdaa037f99d168b552c0c61b7fb64cf7819d78310 токенами ETH из Tornado Cash для осуществления дальнейших транзакций
2026-07-15 02:39:47 UTC
2026-07-15 02:39:47 UTC
предполагаемый злоумышленник осуществляет governance attack на Barn Bridge в рамках которого получает 776 600 USDC от адресов жертв на адрес 0xf908610e9174c7cd6e9dfd371e238be4511297a1
2026-07-15 02:52:35 UTC
2026-07-15 02:52:35 UTC
предполагаемый злоумышленник обменивает похищенные токены USDC на ETH через сервис Uniswap
2026-07-15 06:45:47 UTC
2026-07-15 06:45:47 UTC
предполагаемый злоумышленник выводит ETH на адрес 0x2c4c1848e22006d63ebb732b61edc871af30ef16, на котором средства хранятся на момент написания отчета

Заметки аналитика

Подозреваемый №1

Одной из ключевых зацепок стала связь адреса, использованного в атаке на BarnBridge, с сервисом Tornado Cash. Первое взаимодействие с миксером было зафиксировано 5 июля 2026 года в 15:43:11 UTC, то есть примерно за десять дней до инцидента.

Такая временная последовательность может указывать на предварительную подготовку инфраструктуры и финансирование адреса, который впоследствии использовался для проведения governance-атаки. При этом сама по себе связь с Tornado Cash не является прямым доказательством причастности конкретного лица и должна рассматриваться в совокупности с другими ончейн- и OSINT-данными.

Команда AML Crypto провела анализ депозитов и выводов Tornado Cash, чтобы выявить возможные совпадения по суммам, времени и характеру транзакций. В результате был установлен адрес:
0xef58f7b86ffa88faad4d45bc6435f984ad493595
По предварительной оценке, он мог выступать источником средств, использованных для финансирования и развёртывания инфраструктуры предполагаемого эксплойтера.
Как была установлена предполагаемая связь

Адрес 0xef58f7b86ffa88faad4d45bc6435f984ad493595 совершил ровно четыре транзакции в Tornado Cash. Перед этим средства поступили на него из другой сети через сервис Relay Link, что могло использоваться как дополнительный уровень сокрытия происхождения активов.

Исходным адресом до межсетевого перевода был:
0x535d261b36fd33759feeb7698fd6c82a4734debf
Он находился в сети Base. Между операциями исходного адреса, переводом через Relay Link и внесением средств в Tornado Cash прошло около десяти минут. Такая близость по времени позволяет рассматривать эти транзакции как элементы одной последовательной цепочки движения средств.

После внесения активов в Tornado Cash средства оставались внутри миксера приблизительно десять часов. Затем они были выведены на адрес, который впоследствии использовался для проведения governance-атаки на BarnBridge.

Таким образом, предполагаемый маршрут средств выглядит следующим образом:
адрес в сети Base → Relay Link → 0xef58...3595 → Tornado Cash → адрес эксплойтера BarnBridge
Связь с адресом Baodegit

Дополнительный анализ адреса 0x535d261b36fd33759feeb7698fd6c82a4734debf в сети Base показал, что он активно использовался для обмена токенов и взаимодействовал с рядом централизованных сервисов.

Кроме того, была выявлена транзакционная связь с EOA-адресом:
0x411c15706a74723c7d6752e6fafeda2b19016b3d
В исследуемых данных этот адрес обозначен именем Baodegit.

На графе зелёным цветом отмечена нода Baodegit.

Между адресом, рассматриваемым как возможный первоначальный источник средств, и адресом Baodegit была совершена прямая транзакция на сумму 0,1 ETH в сети Base.

Небольшой размер перевода и отсутствие очевидного коммерческого контекста позволяют рассматривать версию о том, что оба адреса могли находиться под контролем одной сущности либо принадлежать связанным между собой лицам.
Результаты OSINT-анализа

В ходе OSINT-исследования был обнаружен публичный профиль GitHub с именем Baodegit:
https://github.com/Baodegit
В профиле были найдены два репозитория, отмеченные пользователем звёздами. Оба связаны с разработкой смарт-контрактов.

Один из репозиториев представляет собой учебный набор материалов по Solidity, включая примеры развёртывания смарт-контрактов, подключения кошельков, работы с прокси-контрактами, governance-механизмами и контролем доступа.

Второй репозиторий является фреймворком для создания конфиденциальных смарт-контрактов и включает инструменты для программирования правил доступа к зашифрованным данным.

Эти данные могут свидетельствовать об интересе владельца профиля к разработке смарт-контрактов и механизмам управления доступом.
Предварительная оценка

Совокупность выявленных признаков позволяет сформировать следующую рабочую гипотезу:
средства могли первоначально поступить с адреса 0x535d...ebf в сети Base;
далее они были переведены через Relay Link на адрес 0xef58...3595;
после этого активы были внесены в Tornado Cash;
приблизительно через десять часов средства были выведены на адрес, использованный при атаке на BarnBridge;
исходный адрес в сети Base имеет прямую транзакционную связь с адресом, обозначенным как Baodegit;
публичный GitHub-профиль Baodegit демонстрирует интерес к смарт-контрактам, governance-механизмам и контролю доступа.
Эта последовательность формирует основание для дальнейшего расследования, но пока не позволяет однозначно утверждать, что Baodegit является владельцем адреса эксплойтера или непосредственно участвовал в атаке.

Подозреваемый №2

Была выявлена дополнительная связь адреса
0xa8ce49a57400445c6a4118ae3460ed4e46c815b8
с атакой на BarnBridge. Этот адрес сыграл существенную роль в продвижении DAO-предложения, связанного с инцидентом. В частности, он предоставил необходимую поддержку при голосовании, позволив провести предложение через механизм управления BarnBridge. Впоследствии это предложение дало возможность выполнить административные изменения, использованные для компрометации протокола.

На основании выявленной governance-активности можно предположить, что данный адрес был аффилирован со злоумышленником либо являлся частью инфраструктуры, задействованной при проведении атаки.

Этот же адрес получил финансирование в размере около 1 ETH, выведенного из Tornado Cash. Предположительно, средства использовались для развёртывания контрактов и оплаты последующих транзакций. Анализ соответствующей активности в Tornado Cash позволил выявить дополнительный адрес:
0xb604ce319449ed30af81da7321cc32e70152d8d8
Согласно текущей рабочей гипотезе, этот адрес мог выступать источником средств для финансирования части инфраструктуры, использованной при атаке на BarnBridge. В рамках дальнейшего расследования он обозначен как Подозреваемый №2.

Данная классификация основана на аналитической оценке времени проведения транзакций, их сумм, количества, структуры и выявленных инфраструктурных связей. Сама по себе она не устанавливает личность владельца адреса и не доказывает его непосредственное участие в атаке.
Как была установлена предполагаемая связь

Анализ блокчейн-активности показал, что адрес Подозреваемого №2
0xb604ce319449ed30af81da7321cc32e70152d8d8
совершил пять депозитных транзакций в Tornado Cash в течение одной минуты — в период с 3 июля 2026 года, 22:24:47 UTC, по 3 июля 2026 года, 22:25:47 UTC, приблизительно за двенадцать дней до инцидента с BarnBridge.

Депозиты включали:
  • одну транзакцию на 1 ETH;
  • четыре транзакции по 0,1 ETH каждая.

Депозит на 1 ETH соответствует номиналу, который позднее использовался для финансирования адреса, участвовавшего в продвижении DAO-предложения BarnBridge. Четыре депозита по 0,1 ETH соответствуют схеме финансирования основного адреса-эксплойтера и могли быть предназначены для оплаты его операционных транзакций.

Временная последовательность также подтверждает возможную связь. Основной адрес-эксплойтер получил финансирование из Tornado Cash 5 июля 2026 года в 15:43:11 UTC, приблизительно через два дня после внесения предполагаемым источником соответствующих активов в миксер.

Несмотря на то что Tornado Cash разрывает прямую ончейн-связь между депозитами и выводами, относительно небольшой временной интервал, совпадающие номиналы, количество операций и сходная структура транзакций позволяют рассматривать эту активность как потенциально связанную.

Дополнительное сходство было выявлено в способе формирования выводов из Tornado Cash. Во всех исследуемых случаях расходы, связанные с выводом средств, удерживались из выводимой суммы. В результате адрес-получатель получал номинальную сумму за вычетом комиссии релеера или расходов на выполнение транзакции, а не полный номинал с отдельно оплаченной комиссией.

Повторение такой модели финансирования как для governance-адреса, так и для основного адреса-эксплойтера усиливает гипотезу о том, что операции могли быть скоординированы, выполнены одной сущностью либо связанными между собой лицами.
Связь с KuCoin

Также была выявлена связь адреса Подозреваемого №2 с горячим кошельком централизованной биржи KuCoin. Эта связь создаёт возможность для дальнейшей атрибуции посредством направления официального запроса в адрес биржи.

При наличии соответствующих правовых оснований могут быть запрошены следующие сведения:
  • данные владельца аккаунта и результаты KYC-проверки;
  • история депозитов и выводов;
  • связанные криптовалютные адреса;
  • IP-адреса авторизаций;
  • сведения об устройствах и пользовательских сессиях;
  • внутренние идентификаторы транзакций;
  • связанные аккаунты и источники финансирования.

Сопоставление информации, полученной от KuCoin, с выявленной ончейн-активностью может помочь подтвердить либо опровергнуть предполагаемую связь между адресом 0xb604...8d8, депозитами в Tornado Cash и инфраструктурой, использованной при атаке на BarnBridge.
Активность в Polygon и связь с Rabby Wallet

Адрес Подозреваемого №2 также проявлял активность в сети Polygon, где было выявлено взаимодействие с инфраструктурой, обозначенной как Rabby Wallet fee.

Такая активность может указывать на то, что адрес использовался через интерфейс Rabby Wallet. Однако наличие транзакции, связанной с комиссией Rabby Wallet, следует рассматривать только как индикатор возможного использования данного приложения, а не как окончательное доказательство того, что конкретное лицо управляло адресом через Rabby.

Официальный запрос соответствующему поставщику услуг может помочь установить, сохраняются ли технические данные, связанные с исследуемой активностью, включая:
  • цифровые отпечатки устройства или браузера;
  • временные метки пользовательских сессий;
  • IP-адреса;
  • телеметрические данные приложения;
  • метаданные подключения кошелька;
  • другие технические идентификаторы.

При наличии таких данных и возможности их законного получения они могут быть сопоставлены с информацией от централизованных бирж и других сервисов для проверки текущей гипотезы атрибуции.
Предварительная оценка

Совокупность выявленных признаков позволяет сформировать следующую рабочую гипотезу:
Подозреваемый №2 внёс в Tornado Cash один депозит на 1 ETH и четыре депозита по 0,1 ETH приблизительно за двенадцать дней до атаки на BarnBridge;
указанные номиналы соответствуют последующему финансированию governance-адреса и основного адреса-эксплойтера;
основной адрес-эксплойтер получил средства из Tornado Cash приблизительно через два дня после предполагаемых исходных депозитов;
количество, номиналы, временная последовательность и структура комиссий исследуемых транзакций демонстрируют существенное сходство;
governance-адрес помог продвинуть DAO-предложение, связанное с вредоносными изменениями в работе протокола;
у адреса Подозреваемого №2 выявлены дополнительные связи с горячим кошельком KuCoin и возможным использованием Rabby Wallet.
В совокупности эти признаки создают основания для дальнейшего расследования адреса
0xb604ce319449ed30af81da7321cc32e70152d8d8
как возможного источника средств, использованных для финансирования инфраструктуры атаки на BarnBridge.

Вместе с тем имеющиеся доказательства остаются косвенными. Tornado Cash специально предназначен для сокрытия прямой связи между депозитами и выводами, поэтому совпадение временных интервалов, сумм и поведенческих характеристик само по себе не позволяет достоверно установить общего владельца адресов или доказать непосредственное участие Подозреваемого №2 в атаке.

Рекомендуемые дальнейшие действия

Для проверки сформированных рабочих гипотез целесообразно направить официальные запросы в централизованные сервисы Binance, Bitget и KuCoin, с которыми взаимодействовали адреса, рассматриваемые как возможные источники финансирования инфраструктуры атаки.

Запросы в Binance и Bitget могут помочь установить владельцев аккаунтов, связанных с предполагаемым первоначальным источником средств в сети Base, а также проверить возможную связь между этим адресом, адресом Baodegit, последующим переводом активов через Relay Link и их внесением в Tornado Cash.

Отдельный запрос в KuCoin рекомендуется направить в связи с выявленным взаимодействием адреса Подозреваемого №2
0xb604ce319449ed30af81da7321cc32e70152d8d8
с горячим кошельком биржи. Полученные сведения могут помочь установить владельца связанного аккаунта и проверить гипотезу о том, что данный адрес выступал источником средств, использованных для финансирования governance-адреса и основного адреса-эксплойтера через Tornado Cash.

В рамках официальных запросов целесообразно запросить:
  • сведения о владельцах связанных аккаунтов и прохождении KYC;
  • историю депозитов, внутренних переводов и выводов;
  • источники поступления средств и адреса назначения;
  • связанные криптовалютные адреса и аккаунты;
  • IP-адреса авторизаций и выполнения операций;
  • сведения об устройствах, браузерах и пользовательских сессиях;
  • внутренние идентификаторы транзакций;
  • данные о связанных или совместно используемых аккаунтах.
Дополнительно рекомендуется направить запрос в адрес Rabby Wallet либо соответствующего поставщика инфраструктуры в связи с выявленной активностью Подозреваемого №2 в сети Polygon и взаимодействием, обозначенным как Rabby Wallet fee.

При наличии и возможности законного предоставления такие данные могут включать временные метки сессий, IP-адреса, цифровые отпечатки браузеров и устройств, метаданные подключения кошелька и другую техническую телеметрию. Сам факт взаимодействия с Rabby-связанной инфраструктурой не доказывает использование кошелька конкретным лицом, однако может служить основанием для дополнительной проверки.

Сопоставление полученных данных с ончейн-активностью позволит проверить две основные линии расследования:
1
предполагаемую связь между Baodegit, адресом в сети Base, переводом через Relay Link, депозитами в Tornado Cash и финансированием основного адреса-эксплойтера;
2
предполагаемую связь между Подозреваемым №2, серией депозитов на 1 ETH и по 0,1 ETH в Tornado Cash, финансированием governance-адреса 0xa8ce...15b8 и обеспечением операционных расходов основного адреса-эксплойтера.
Также рекомендуется провести углублённое сопоставление временных интервалов, номиналов, комиссионных моделей, используемых релееров и последовательности депозитов и выводов из Tornado Cash. Особое внимание следует уделить возможным повторяющимся поведенческим признакам, включая одинаковый способ удержания комиссии из суммы вывода, близкие временные интервалы и последовательное финансирование связанных адресов.

Полученные от сервисов сведения необходимо рассматривать совместно с ончейн- и OSINT-данными. Это позволит подтвердить либо опровергнуть предполагаемые связи между Baodegit, Подозреваемым №2, источниками финансирования Tornado Cash, governance-адресом и основным адресом, использованным при атаке на BarnBridge.

До получения дополнительных данных обе линии атрибуции следует рассматривать как рабочие гипотезы, основанные на совокупности косвенных признаков, а не как окончательно установленную причастность конкретных лиц к атаке.
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Смотрите также