Журнал "Information Security/ Информационная безопасность" #1, 2026

Атаки без капитала отра- жают не столько текущее состояние угроз, сколько потенциальное направление эволюции MEV-экономики. Они выявляют структурные напряжения между предска- зуемостью смарт-контрактов и рыночной природой фор- мирования блоков, однако пока не образуют устойчи- вого и массового вектора компрометации. Минимально подвержены подобным атакам изолиро- ванные контракты с жесткой предварительной валидаци- ей средств, одношаговой логикой и отсутствием зави- симости от внешних цено- вых источников. происходят в одном блоке, этот перевод не существует как самостоятельное событие в истории сети: он либо сраба- тывает вместе со всей атакой, либо не исполняется вовсе. В результате у злоумышлен- ника отсутствует необходи- мость в предварительном финансировании адреса или использовании миксеров. Пример случая атаки без капитала В августе 2025 г. в сети Ethereum неизвестный зло- умышленник реализовал атаку на сумму $7630, не имея ни одного wei (наименьшая едини- ца измерения в сети) на своем балансе до начала операции – целью стал смарт-контракт. Ключевой момент инцидента заключался в том, что вся атака была выполнена в рамках одно- го блока и не оставила следов предварительного финансиро- вания (см. рис.). С позиции внешнего наблю- дателя ситуация выглядела как атака из ниоткуда, однако фак- тический механизм реализации был обусловлен взаимодействи- ем трех ключевых компонен- тов: 1. Уязвимого смарт-контрак- та, содержащего логическую или экономическую лазейку. 2. Атомарной модели испол- нения ETH, которая позволяет транзакциям внутри одного блока выполняться последова- тельно и без промежуточных проверок состояния. 3. Экономически мотивиро- ванного блок-билдера, способ- ного включать транзакции в блок в оптимальной последо- вательности для извлечения прибыли. Атаки без капитала – системная проблема? Атаки без капитала на совре- менном этапе развития блок- чейн-экосистемы целесообраз- но интерпретировать как ограниченно распространенный и во многом эксперименталь- ный класс угроз. Они возникают из-за особенностей исполнения транзакций внутри блока, уси- ливающейся роли блок-билде- ров и высокой взаимосвязан- ности DeFi-протоколов. Однако на практике необходимые усло- вия для такой атаки форми- руются нечасто. В отличие от традиционных векторов эксплуатации, опи- рающихся на флэш-кредиты, манипуляции оракулами или прямые логические дефекты, безкапитальные атаки требуют одновременного совпадения экономических, инфраструк- турных и организационных факторов, что существенно ограничивает их воспроизво- димость. Ландшафт инциден- тов также показывает их эпи- зодический характер. Извест- ные случаи представляют собой уникальные конфигура- ции протокольных дефектов и рыночных условий, а не след- ствие единой системной уязви- мости уровня ETH. Атаки без капитала отражают не столько текущее состояние угроз, сколько потенциальное направление эволюции MEV- экономики. Они выявляют структурные напряжения между предсказуемостью смарт-конт- рактов и рыночной природой формирования блоков, однако пока не образуют устойчивого и массового вектора компро- метации. Границы применимости атак без капитала К первой группе уязвимых приложений относятся децент- рализованные биржи (DEX) и автоматизированные маркет- мейкеры (AMM), на которых цена актива рассчитывается по внутренним формулам на основе текущих резервов пула. Такие механизмы чув- ствительны к резким измене- ниям внутри одного блока транзакций и могут быть экс- плуатированы через последо- вательность обменов, займов и выпусков LP-токенов. Под риском находятся и про- токолы кредитования, а также деривативные платформы, использующие оракулы или усредненные ценовые показа- тели. Если контракт принима- ет решения на основе данных, которые могут быть временно искажены внутри блока, то появляется возможность ини- циировать необеспеченный заем либо принудительную ликвидацию позиций. Напротив, минимально под- вержены подобным атакам изолированные контракты с жесткой предварительной валидацией средств, одноша- говой логикой и отсутствием зависимости от внешних цено- вых источников. Системы, при- меняющие временные задерж- ки, лимиты на изменение состояния в пределах блока и обязательное резервирование активов до начала операции, фактически исключают возмож- ность безкапитального входа. Как обезопаситься? Прежде всего важно осо- знанно выбирать, с какими смарт-контрактами и DeFi- протоколами взаимодейство- вать. Пользователю следует отдавать приоритет приложе- ниям с длительной историей работы, многократными неза- висимыми аудитами и про- зрачной документацией, опи- сывающей экономическую модель протокола. Пользова- тель не должен концентриро- вать значительную долю своих активов в одном конт- ракте или протоколе, особен- но если он зависит от ораку- лов, сложных механизмов ликвидности или внешних источников данных. Для крупных или критически важных операций можно при- менять мультиподписные конт- ракты и временные задержки, что впоследствии затруднит злоумышленнику включение транзакции в блок ради извлечения прибыли. l • 61 КРИПТОГРАФИЯ www.itsec.ru Рис. Схема атаки Ваше мнение и вопросы присылайте по адресу is@groteck.ru