Кінець січня 2026 року ознаменувався одним із найпомітніших інцидентів у екосистемі Solana: DeFi‑платформа Step Finance повідомила про цілеспрямовану кібератаку, унаслідок якої з treasury‑гаманців було виведено криптоактиви орієнтовною вартістю 40 млн доларів США. Ключовим фактором зламу стала компрометація кінцевих пристроїв топменеджменту проєкту, а не вразливість смарт‑контрактів.
Кібератака на Step Finance: ключові факти та роль платформи в екосистемі Solana
Підозрілу активність було зафіксовано 31 січня 2026 року. Після виявлення інциденту команда Step Finance оперативно залучила правоохоронні органи та зовнішніх фахівців з кібербезпеки, щоб задокументувати подію, оцінити масштаби збитків і спробувати заблокувати частину руху коштів у мережі.
Step Finance позиціонується як аналітичний дашборд і DeFi‑хаб на блокчейні Solana. Платформа дозволяє користувачам візуалізувати портфелі, моніторити позиції, виконувати транзакції, свопи та стейкінг. Сервіс має власний токен $STEP і вважається одним із базових інструментів для управління активами в екосистемі Solana, навіть попри відносно помірні торгові обсяги цього токена.
Компрометація treasury‑гаманців: фокус на атаках через кінцеві пристрої
За офіційною інформацією Step Finance, були скомпрометовані кілька treasury‑гаманців платформи. Зловмисники отримали до них доступ шляхом зламу пристроїв керівників проєкту з використанням «відомого вектора атаки». У практиці кібербезпеки під цим зазвичай мають на увазі фішингові розсилки, встановлення шкідливого ПЗ, експлуатацію вразливостей браузерів та месенджерів або компрометацію хмарних облікових записів з доступом до ключів.
Факт, що атака була спрямована саме на endpoint‑рівень (ноутбуки, смартфони, робочі станції), підкреслює: навіть за наявності добре протестованих смарт‑контрактів, недостатній захист пристроїв осіб із привілейованим доступом може відкрити нападникам шлях до багатомільйонних активів на on‑chain‑гаманцях.
Масштаби збитків: від оцінок CertiK до підтверджених 40 млн доларів
Перший аналіз руху коштів у блокчейні Solana надала компанія CertiK. Її аналітики зафіксували виведення 261 854 SOL, що на момент інциденту відповідало приблизно 28,9 млн доларів США. Після внутрішнього розслідування Step Finance уточнила, що з урахуванням додаткових активів і пов’язаних позицій під контроль зловмисників потрапили ресурси загальною сумою близько 40 млн доларів.
Разом із тим компанії вдалося частково повернути викрадені кошти. Повідомляється про відновлення приблизно 3,7 млн доларів в активах Remora та ще близько 1 млн доларів в інших позиціях. Важливу роль у цьому відіграли можливості стандарту Token22 у мережі Solana, що забезпечує розширений контроль за токенами (обмеження переміщення, заморозка підозрілих активів тощо), а також скоординована взаємодія з галузевими партнерами та сервісами моніторингу блокчейна.
Реакція Step Finance та статус Remora Markets і токена STEP
У відповідь на кібератаку команда Step Finance тимчасово обмежила частину операцій на платформі для проведення технічного аудиту, переоцінки ризиків і впровадження додаткових механізмів захисту. Такий «мороз» операцій — типова практика після значних інцидентів у DeFi, що дозволяє знизити ймовірність повторної атаки та запобігти подальшому відтоку коштів.
Окремо наголошується, що пов’язаний із платформою проєкт Remora Markets був ізольований від наслідків зламу. За заявою Step Finance, усі rTokens повністю забезпечені 1:1, а інфраструктура Remora безпосередньо не постраждала від компрометації treasury‑гаманців. Водночас користувачам рекомендовано утриматися від будь‑яких операцій з токеном STEP до завершення розслідування та презентації плану відновлення. Команда зафіксувала снапшот стану мережі до атаки і працює над механізмом компенсації або іншим рішенням для власників STEP, чиї інтереси могли бути порушені.
Людський фактор, інсайдерські версії та прозорість DeFi‑проєктів
Step Finance поки що не розкриває технічних деталей кібератаки та не називає можливих зловмисників. Видання Bleeping Computer звертає увагу, що обмежена публічна інформація підживлює припущення щодо потенційної інсайдерської участі або навіть інсценування інциденту. Наразі жодна з цих версій не має офіційних підтверджень чи спростувань.
За спостереженнями аналітиків ринку, значна частка інцидентів у DeFi‑секторі так чи інакше пов’язана з людським фактором: помилками в управлінні приватними ключами, зловживаннями привілейованими правами доступу, недостатнім контролем за безпекою пристроїв засновників та C‑level‑команди. Це ще раз підкреслює важливість жорстких політик доступу, багаторівневої автентифікації, обмеження прав на переказ коштів і постійного навчання персоналу протидії фішингу.
Січень 2026 року: ескалація атак на DeFi та уроки для безпеки
Попри масштаб інциденту, втрачені Step Finance 40 млн доларів становлять лише близько 10 % від сукупного збитку криптопроєктів за січень 2026 року. За даними CertiK, лише за перший місяць року внаслідок різних хакерських атак було викрадено близько 398 млн доларів США, при цьому вдалося повернути лише 4,366 млн доларів. Ця статистика підтверджує стійкий тренд: DeFi‑сервіси й блокчейн‑інфраструктура залишаються однією з найпривабливіших цілей для кіберзлочинців.
Кейс Step Finance показує, що компрометація кінцевих пристроїв керівників може призводити до прямих втрат у десятки мільйонів доларів, навіть якщо смарт‑контракти формально захищені. Для DeFi‑проєктів критично важливо будувати багаторівневу модель захисту: використовувати апаратні гаманці та мультипідпис для treasury‑адрес, чітко розмежовувати права доступу, впроваджувати строгі політики безпеки для пристроїв топменеджменту, застосовувати принципи zero trust і регулярно проводити навчання співробітників щодо фішингових та соціоінженерних атак.
Для рядових інвесторів і користувачів DeFi цей інцидент — нагадування, що участь у децентралізованих протоколах завжди пов’язана з інфраструктурними ризиками, які не залежать від конкретного гаманця чи токена. Зменшити їх допомагають диверсифікація платформ, зберігання значної частини активів на особистих апаратних гаманцях, уважне стеження за новинами про кібератаки, а також критична оцінка моделей безпеки обраних сервісів. Чим більше користувачі та команди DeFi розумітимуть реальні вектори атак і типові помилки, тим складніше буде зловмисникам повторювати сценарії, подібні до того, що стався зі Step Finance.
