RetoSwap, ведущая одноранговая децентрализованная биржа, ориентированная на конфиденциальность, для торговли Monero ($XMR) против фиатных денег и других криптовалют через Tor, временно приостановила всю торговлю после того, как в базовом протоколе Haveno была обнаружена новая уязвимость безопасности.
Сегодня в 18:02 UTC мы получили сообщение о том, что торговый протокол Хавено активно эксплуатируется. Команда немедленно остановила торговлю, установив минимальную версию клиента 2.0.0 с помощью функции фильтра, и заблокировала луковый адрес эксплуататоров.
– RetoSwap (@RetoSwap) 16 июня 2026 г.
Команда RetoSwap получила первый отчет около 18:02 UTC (2:02 утра по пекинскому времени) 16 июня 2026 года. Они быстро отреагировали, подняв минимальную версию клиента до 2.0.0, занеся луковый адрес злоумышленника в черный список (fg2lhfh…2qpad.onion) и остановив торговлю. Торговля будет приостановлена до тех пор, пока не будет разработано, протестировано и выпущено полное исправление безопасности. Это второй крупный инцидент, связанный с протоколом Haveno, за короткий период. В середине мая 2026 года злоумышленники воспользовались уязвимостью в обработке сообщений ACK и выдаче себя за арбитра при создании мультиподписного кошелька, что привело к краже примерно 2,7 миллиона долларов США (около 7000 долларов США XMR). Потери в основном ограничивались крупными сделками между криптовалютами, причем фиатные трейдеры практически не пострадали.
Эксплойт May Haveno произошел в течение месяца, когда в криптосекторе наблюдались повышенные потери. По данным отраслевого отслеживания, только в мае 2026 года криптопроекты потеряли более 84 миллионов долларов из-за 41 инцидента безопасности, что подчеркивает более широкие проблемы, с которыми сталкиваются протокольная безопасность и управление рисками в децентрализованных экосистемах.
Последний июньский эксплойт нацелен на разрешение споров и механизм принудительного арбитража. Согласно обновлениям сообщества и участникам Haveno, злоумышленник (действуя в качестве покупателя) принял предложения о покупке, принудил арбитраж и сумел высвободить $XMR после подтверждений Биткойна (около 30 блоков), не отправляя соответствующие BTC. Примечательно, что этот инцидент, похоже, в некоторых случаях связан с тем, что выглядит как законные обращения арбитров, что отличается от вектора атаки Мэй.
Инцидент также последовал за серией недавних эксплойтов на уровне протокола, затронувших децентрализованные финансовые платформы. Ранее в этом месяце компания Solv Protocol понесла убытки в размере 2,7 миллиона долларов, связанные с уязвимостью смарт-контракта в Bro Vault, что подчеркивает, что слабости как на уровне приложений, так и на уровне протокола продолжают представлять значительные риски для пользователей.
RetoSwap подтвердила, что ее собственная инфраструктура не была взломана. Уязвимость полностью лежит внутри протокола Haveno. Потери в этом новом инциденте пока кажутся ограниченными, поскольку команда действовала быстро, чтобы его сдержать. Ведущий разработчик Haveno Вудзер заявил:
лесник
Советы пользователям
Немедленно отозвать все открытые предложения
Проверьте и создайте резервную копию данных вашего приложения
Избегайте дальнейшей торговли до тех пор, пока не будет установлен патч.
Свяжитесь со службой поддержки через официальную группу SimpleX («чат с администратором»), если вы затронули сделки.
RetoSwap — это активная реализация/ответвление протокола Haveno, предлагающая полностью некастодиальную торговлю P2P Monero на базе Tor с мультиподписным депонированием 2 из 3. Сам Haveno возник как ответвление Bisq с целью обеспечить надежную конфиденциальность и децентрализацию. Однако повторяющиеся проблемы с проверкой сообщений, обработкой адресов и логикой арбитража выявили проблемы в обеспечении безопасности этих сложных децентрализованных систем.
Команды RetoSwap и Haveno работают над проверенным патчем безопасности. Ожидается, что торговля возобновится только после того, как обновление будет тщательно протестировано и выпущено. Команда также оценивает варианты восстановления для всех затронутых пользователей и планирует опубликовать подробный отчет о вскрытии. Эти последовательные инциденты подчеркивают реальные трудности в создании безопасных протоколов одноранговой торговли, особенно для ценных конфиденциальных активов, таких как Monero. Несмотря на то, что основная концепция частной торговли, не связанной с хранением, остается важной в условиях глобального нормативного давления, эти события подчеркивают необходимость тщательного аудита и быстрого реагирования сообщества. Мы продолжим следить за официальными выпусками обновлений, оценками потерь и любыми подробностями о компенсациях от команд.