#ARB
Как Arbitrum технически заморозил ETH хакера

Механика была не в том, что кто-то получил приватный ключ хакера. Arbitrum Security Council временно обновил контракт Inbox в Ethereum, через который проходят сообщения между Ethereum и Arbitrum, и добавил в него специальную функцию sendUnsignedTransactionOverride.

Дальше совет безопасности собрал межсетевую транзакцию, которая имитировала отправителя, то есть выглядела так, будто ее инициировал сам адрес эксплойтера. Этой транзакцией 30 765,6675 ETH перевели на адрес заморозки 0x0000000000000000000000000000000000000DA0.

После перевода контракт Inbox сразу вернули к исходной реализации. Вся операция прошла в одном атомарном действии:
— временный апгрейд Inbox
— создание override-транзакции
— перевод средств
— откат контракта к обычной версии

На этом фоне в криптосообществе начался спор о децентрализации Arbitrum. Сама заморозка помогла остановить крупную сумму, но одновременно показала, что Security Council может в экстренном порядке изменить ключевой контракт моста и принудительно переместить активы. Именно этот момент и стал главным предметом дискуссии: где проходит граница между защитой пользователей и слишком большим ручным контролем над сетью.

#RWA
35% инвесторов заходят в токенизацию активов

Около 35% инвесторов уже инвестируют или планируют увеличить долю в токенизированных активах. Еще 37% заявили, что пока не заходили, но рассматривают такую возможность.

Среди ключевых сегментов:
— частные рынки (private equity) — интерес у 58% опрошенных
— недвижимость — около 52%
— фонды и долговые инструменты — более 40%

При этом около 60% институциональных участников считают токенизацию одним из ключевых трендов на ближайшие годы.

Рынок RWA продолжает расти: по оценкам, объем токенизированных активов уже превышает $10 млрд и может достигнуть $16 трлн к 2030 году.

После взлома KelpDAO часть средств уже начали перегонять в биткоин

По ончейн-данным, связанным с атакой на KelpDAO / LayerZero, с Ethereum mainnet уже начали отмывать средства: около $1,5 млн провели через THORChain в сторону Bitcoin, еще примерно $78 тыс. — через Umbra.

Масштаб пока небольшой относительно всего взлома, но сам маршрут показательный:
— THORChain используют для межсетевого вывода
— Umbra — как слой дополнительной маскировки
— дальше средства уводят в BTC, где отслеживание цепочки становится сложнее

#Инвестиции
Bybit инвестировал $8 млн в Hata

Криптокомпания Hata привлекла $8 млн в раунде Series A, который возглавила Bybit.

Hata — это провайдер инфраструктуры для криптоплатежей и переводов, работающий на рынках Юго-Восточной Азии. Компания развивает решения для бизнеса:
— прием платежей в криптовалюте
— трансграничные переводы
— конвертация между фиатом и криптоактивами

Привлеченные $8 млн направят на масштабирование продукта, расширение географии и развитие платежной инфраструктуры.

#STRK
Starknet добавил базу для приватных транзакций

Starknet выпустил обновление v0.14.2. Главный апдейт — в сеть встроили нативную проверку доказательств, которая открывает путь к приватным переводам и скрытым балансам.

Что изменилось технически:
— в формат Invoke V3 добавили поля proof и proof_facts
— проверка STARK-доказательств теперь идет на уровне протокола
— смарт-контрактам больше не нужно самим проверять громоздкие доказательства

Это важно, потому что такие доказательства могут содержать десятки тысяч field elements. Раньше их пришлось бы разбивать на несколько транзакций, теперь эту нагрузку берет на себя сама сеть.

Практический результат — пользователь может подтвердить, что у него есть нужный баланс или право на перевод, не раскрывая весь кошелек и историю операций. На этой базе Starknet запускает STRK20 для приватного использования токенов и strkBTC как первый актив в новой модели. Для strkBTC отдельно указано, что ключ просмотра будет у аудиторской фирмы для возможных регуляторных запросов

На GitHub нашли целый рынок накрутки “звезд”

Исследование CMU / NCSU / Socket, представленное на ICSE 2026, выявило около 6 млн подозрительных звезд у 18 617 репозиториев. Их поставили примерно 301 тыс. аккаунтов. Анализ охватил 20 ТБ данных, 6,7 млрд событий и 326 млн звезд за 2019–2024 годы.

Что особенно интересно:
— к июлю 2024 года в накрутке уже участвовали 16,66% всех репозиториев с 50+ звездами
— у 90,42% отмеченных репозиториев и 57,07% аккаунтов были удаления к январю 2025 года
— 78 репозиториев с накруткой успели попасть в GitHub Trending

Сам рынок тоже выглядит уже вполне оформленным:
— звезда стоит от $0,03 до $0,90
— на Fiverr нашли 24 активных предложения
— аккаунты GitHub с историей коммитов на 5 лет продаются примерно по $5 тыс.
— один из сервисов заявляет о 3,1 млн доставленных звезд для 53 тыс.+ клиентов

Отдельно показательно, как это завязано на венчурные деньги. У Redpoint медиана GitHub-звезд на стадии seed составляет 2 850, на стадии Series A — 4 980. Авторы прямо отмечают: за $85–285 можно докупить уровень seed, а за $990–4 500 — дойти до метрик Series A.

Если смотреть на признаки накрутки, один из самых простых индикаторов — fork-to-star ratio. У органических проектов средний уровень около 0,160, у подозрительных блокчейн-репозиториев — 0,053, а в крайних случаях падает до 0,020. Авторы советуют отдельно проверять проекты с 10 тыс.+ звезд и коэффициентом ниже 0,05.

#M
У Memecore снова вопросы к реальному free float

По данным, которые разбирал ZachXBT, у M при капитализации около $6 млрд почти весь объем может оставаться под контролем ранних кошельков и связанных кластеров. Речь идет о 225,37 млн M, или примерно 98% предложения, которое, как утверждается, находится вне реального свободного обращения.

Что показывают кластеры:
• Cluster 1: 15 кошельков, накопление через PancakeSwap через посредников, около 39,87 млн M на $140 млн, средняя цена входа около $0,05, текущий результат около +7 000%
• Cluster 2: 18 кошельков, накопление через Kraken, около $11,82 млн или $41,6 млн, средняя цена входа около $0,593, результат около +500%

Главный вопрос здесь не только в оценке, а в структуре владения. Небольшое число ранних кошельков держит почти все предложение актива с капитализацией в $6 млрд, при этом на сети почти не видно сильной органической активности. Именно поэтому рынок снова спорит, насколько эта оценка вообще отражает реальный спрос.

#Макро
Ликвидность в США резко растет

На этой неделе рынок ждет сразу несколько вливаний ликвидности:
— $5,058 млрд выкупа векселей ФРС
— еще операции ФРС на $5–7,5 млрд за раз
— около $90 млрд высвобождения через TGA
— $15 млрд обратного выкупа долга Минфином США, это крупнейший buyback в истории
— суммарные покупки ФРС за неделю могут превысить $40 млрд

Именно баланс ФРС был одним из главных драйверов прошлых альтсезонов. Сейчас он впервые за несколько лет снова разворачивается вверх, а значит на рынок возвращается долларовая ликвидность.

Главный тезис у быков простой:
QT заканчивается, баланс ФРС растет, аппетит к риску возвращается.
Если этот разворот сохранится, рынок может снова начать закладывать более сильное движение по рисковым активам.

#Регуляции
Великобритания готовит правила для стейблкоинов и токенизированных депозитов

Регулятор предлагает распространить существующие платежные правила на новые цифровые инструменты:
— стейблкоины будут рассматриваться как средство платежа
— токенизированные банковские депозиты — как часть банковской системы
— операторы должны будут соответствовать требованиям по резервам и защите клиентов

Цель — встроить криптоинструменты в традиционную финансовую инфраструктуру, а не создавать отдельный режим.

Подход делает акцент на том, что цифровые активы должны регулироваться по тем же принципам, что и классические платежные инструменты.

ТРАМП: МЫ ПОЛНОСТЬЮ ВЫИГРАЛИ ВОЙНУ

ТРАМП: Я БЫ ОЧЕНЬ БЫСТРО ПОБЕДИЛ В ВЬЕТНАМЕ

ТРАМП: 'У МЕНЯ ЕСТЬ ВСЕ ВРЕМЯ В МИРЕ' ДЛЯ СДЕЛКИ

#ATOM
0-day в Cosmos: узлы могут зависать при синхронизации

В слое консенсуса CometBFT (Cosmos) раскрыта уязвимость уровня CVSS 7.1 (High). Она не позволяет украсть средства, но может останавливать ноды во время block sync, что критично для сети с TVL более $8 млрд.

Как работает атака:
— уязвимость активируется при перезапуске ноды
— в фазе синхронизации атакующий узел может вызвать deadlock
— нода не может вернуться в консенсус и фактически выпадает из сети

Важно:
— ноды, уже находящиеся в консенсусе, продолжают работать
— риск возникает именно при block sync после рестарта

Рекомендация валидаторам до выхода патча:
— не перезапускать ноды без необходимости
— избегать подключения к неизвестным пирами

Отдельный конфликт: исследователь утверждает, что команда Cosmos
— назвала атаку «неосуществимой»
— понизила похожую уязвимость до Informational
— отклонила отчеты (включая один через HackerOne)

После более чем 1 месяца без ответа уязвимость была раскрыта публично.

#Регуляции
Госдума одобрила в первом чтении закон о легальном крипторынке

Госдума приняла в первом чтении законопроект «О цифровой валюте и цифровых правах». Документ создает правовую базу для легального обращения криптовалют в России.

Что меняется:
— криптовалюта признается имуществом
— Банк России получит полномочия по допуску, регулированию и надзору
— торговля будет идти через лицензированных посредников: биржи, брокеров и управляющих
— учет прав на криптоактивы передадут специализированным депозитариям
— появятся легальные криптообменники

Для инвесторов вводят разделение:
— неквалифицированные после теста смогут покупать только самые ликвидные криптовалюты из списка ЦБ и в пределах лимита
— квалифицированные после теста смогут покупать и другие криптовалюты без лимита по объему сделок

Отдельно важно: внутри России криптовалюту можно будет покупать, продавать, давать в заем, использовать в сделках репо и для инвестиций, но не как средство платежа. Для расчетов внутри страны, как и раньше, разрешен только рубль. При этом во внешнеэкономической деятельности криптовалюту можно будет использовать и для расчетов.

#Безопасность
Через Google Ads массово уводят криптокошельки

SEAL сообщает о новой волне вредоносной рекламы в Google Ads, нацеленной на криптосервисы. Только за последние недели команда заблокировала 356 вредоносных рекламных URL, а сама активность, по их данным, держится уже больше года с периодическими всплесками.

Главные цели атак:
— Uniswap
— PancakeSwap
— CoW Swap
— Morpho Finance
— Hyperliquid
— Jupiter, Raydium и Pump.fun

Схема выглядит так: злоумышленники покупают или взламывают верифицированные рекламные аккаунты, а в объявления вставляют убедительные ссылки через sites(.)google(.)com, docs(.)google(.)com и business(.)google(.)com. Дальше жертву ведут на клон сайта, где работают дренеры кошельков или сбор seed-фраз. Чаще всего SEAL видит семейства Inferno Drainer и Vanilla Drainer, которые берут 20% от украденных средств.

Технически атаки тоже стали сложнее. В одном из разобранных кейсов фальшивый фронт весил до 2,9 МБ, а обфусцированные вредоносные скрипты — еще более 2,7 МБ. При этом вредоносный сайт мог показывать обычную страницу всем, кроме целевой жертвы, чтобы обходить проверки. Среди уже подтвержденных потерь SEAL приводит примеры на $179 тыс., $20 тыс., $8,6 тыс. и $2,5 тыс. по отдельным URL.

Главная рекомендация простая: для криптосервисов лучше не использовать Google Search, а заходить только по сохраненным ссылкам и дополнительно проверять адрес сайта перед подключением кошелька.

#Stablecoins
Сразу 4 крупных анонса за день: стейблкоины все глубже заходят в платежи

Сразу несколько компаний сегодня объявили о новых платежных интеграциях со стейблкоинами. География уже не точечная: речь идет о 100+ странах, 44+ развивающихся рынках, выплатах для курьеров и бизнеса, а также оплате через обычные POS-терминалы.

Что вышло:
— Sui x RedotPay: активы сети Sui и USDC-Sui теперь доступны для платежей и выплат в 100+ странах через инфраструктуру RedotPay.
— DoorDash x Tempo: DoorDash запускает глобальные выплаты в стейблкоинах для курьеров и продавцов через блокчейн Tempo.
— iMin x WalletConnect Pay: стейблкоин-платежи приходят на умные POS-терминалы в 100+ странах.
— dLocal: компания запустила решение Stablecoin Full для мерчантов сразу в 44+ развивающихся рынках через единый API.

Главный сдвиг в том, что стейблкоины все чаще заходят не в криптосервисы, а в обычную платежную инфраструктуру: выплаты, эквайринг, кассы и международные расчеты.

Kalshi выходит в крипту и запускает перпетуалы

Kalshi планирует запустить торговлю криптовалютой и бессрочные фьючерсы (perpetual futures). Проект рассматривается как расширение текущего бизнеса прогнозных рынков.

#Регуляции
PACE Act: единый федеральный режим для финтеха и криптоплатежей

В Палате представителей США представили двухпартийный PACE Act. Он предлагает создать единый федеральный режим для платежных провайдеров, включая fintech и crypto-компании.

Суть инициативы:
— компании смогут перейти с десятков лицензий на уровне штатов к единой федеральной модели под OCC
— появляется доступ к части федеральной платежной инфраструктуры
— речь идет об optional framework, а не обязательной замене текущей системы

Ключевые требования:
— 100% резервирование клиентских средств
— хранение средств отдельно от активов компании
— федеральный надзор и контроль
— при банкротстве приоритет возврата средств у клиентов

Отдельно отмечается масштаб проблемы: компании сейчас могут работать через 40+ лицензий money transmitter в разных штатах. Закон позволяет перейти к единому режиму.

Инициативу уже поддержали:
— Financial Technology Association
— Blockchain Association
— The Digital Chamber
— Crypto Council for Innovation

Цель — ускорить платежи, снизить комиссии и упростить доступ бизнеса к платежным рельсам США.