Есть проекты, по которым с первого взгляда видно, где проблема: цена, активность сообщества, объёмы торгов — всё это работает как подсказки. Но $NEWT сильнее всего меня пугает именно то, что находится в невидимом каркасе на нижнем уровне.

Прошлой ночью я читал документацию до глубокой ночи — чем дальше, тем яснее становилось. @NewtonProtocol Упаковать себя в набор верифицируемых автоматизированных протоколов — звучит довольно внушительно. Три уровня архитектуры разложены по полкам, перечислены шесть ключевых смарт-контрактов: второй уровень управляет исполнением, контракт стейкинга блокирует активы, прокси-регистрация отмечает личность, zkPermission задаёт права доступа, контракт штрафов фиксирует правила, governance-контракт настраивает параметры. Каждый модуль по отдельности можно описать как тему для технической статьи, но вместе они превращаются в кашу из всего подряд.

Я не сомневаюсь в технологических амбициях команды, но проблема в том, что амбиции слишком велики. Когда Ethereum запускал смарт‑контракты, цель была — ясно прописать логику и сделать выполнение прозрачным. А в Newton всё наоборот: простые вещи они запихнули в сложную конструкцию. Пользователю, чтобы выполнить автоматизированную сделку, в бэкэнде должны одновременно проснуться минимум три модуля: модуль прав сначала предварительно проверяет личность, реестр потом ещё раз проверяет агентские отношения, модуль стейкинга дополнительно подтверждает, хватает ли активов. А между всем этим ещё вставляют логику штрафов — с возможностью в любой момент списать деньги. Когда по этому процессу всё доходит до конца, и если в каком-то участке кода логика даже чуть-чуть отклонится, то ломается весь конвейер целиком.

Многие думают, что больше контрактов — значит безопаснее. Это иллюзия. Больше контрактов означает больше поверхность атаки, но не говорит о том, что линии защиты толще. Хакер смотрит на систему снаружи — и видит одни входы. Контракты второго слоя бьют, контракт со стейкингом тоже бьётся, а связка zkPermission — вообще зона повышенного риска. ZK‑доказательства: в академической среде их ещё не до конца освоили, а инженерная реализация — это тяжёлый очаг уязвимостей. Втиснуть такую технологию, которая ещё в фазе исследования, в основной маршрут управления активами — это то же самое, что построить арсенал на вершине вулкана.

Давай поговорим об аудите. Я специально сходил на сторонние платформы и всё там пересмотрел: в разделе со статусом аудита у Newton пусто. Со стороны CertiK оценка настолько низкая, что это примерно 50; в нашем кругу это число почти равносильно тому, что всем прямо сообщают: в коде, скорее всего, есть серьёзные изъяны. Видел много проектов, но если уж что-то реально гоняют в основной сети, то хотя бы аудитный отчёт вывешивают как витрину. Newton же поленился даже витрину — просто оставил всё пустым. У тебя в управлении общий объём 1 млрд токенов, пользователи заводят туда активы по-настоящему, а в итоге код не проходил даже базовую независимую верификацию.

Кто-то скажет: отсутствие аудита кода не значит, что обязательно есть проблемы. Эту логику я слышал бесчисленное количество раз — и каждый раз ею утешаются проекты, которые потом «взрываются». Код The DAO тоже тогда считали нормальным — а в итоге одна уязвимость для повторного входа просто испарила 60 миллионов долларов. В ончейн‑экосистеме это не единичный случай: раз в несколько недель история повторяется. Чем выше сложность контрактов, тем глубже вложена логика и тем сложнее обнаружить скрытые уязвимости. Архитектура Newton построена так, что шесть контрактов вызывают друг друга, цепочка вызовов разрастается как лабиринт: обычному разработчику тяжело один раз прочитать документацию, не говоря уже о том, чтобы глазами находить уязвимости.

В отчёте Binance Research упоминалось, что Keystore у Newton — это специализированный Rollup. Сам Rollup по определению должен обрабатывать кроссчейн‑мосты и верификацию состояний — а эти два модуля исторически являются любимой целью хакеров. Сколько проектов за последние пару лет «сносили» мосты? И каждый раз — то внезапная потеря на десятки миллионов долларов. Разместить такой ключевой модуль управления правами на Rollup — всё равно что накинуть ещё один слой потенциально проблемной оболочки поверх и без того сложной системы.

Меня ещё и GitHub-данные заставляют напрячься. За три месяца — всего около сотни коммитов. Для проекта, который вышел в онлайн лишь год назад, да ещё и с таким количеством контрактов, темп разработки явно слишком медленный. Без частых итераций нет способности быстро исправлять уязвимости. И самое главное: по тем записям непонятно, сколько из них реально закрывали дырки безопасности — посторонним это никак не видно. Потому что нет отчёта аудита и нет верификации третьей стороной. Даже сама команда, возможно, не до конца понимает, где ещё могут таиться мины.

Цена уже упала до 0.05: с пика 0.86 она покатилась вниз, а капитализация сократилась до 11 млн. Многие говорят, что виновато плохое рыночное настроение, мол, рынок в целом плох. Но в той же самой среде проекты с аудиторским подтверждением и лаконичными контрактами всё равно удерживаются на плаву. Рынок не дурак, а деньги тем более. Все видят, как эти шесть контрактов переплетены, все видят пустоту в разделе аудита, как чистый лист, все видят оценку, которую вообще невозможно нормально объяснить. Разобрались — естественно, ушли.

Я не «гашу» этот проект и не отрицаю техническое направление. У трека верифицируемой автоматизации действительно есть простор для воображения: ончейн‑операции становятся всё сложнее, и автоматизированное исполнение — вопрос времени. Но путь — это путь, а исполнение — это исполнение. Ты берёшь набор сложных контрактов без аудита и поручаешь им делегирование пользовательских активов — по сути, ты играешь в удачу. Играешь, что хакер ещё не заметил это место. Играешь, что в коде ещё никто не обнаружил уязвимости. Играешь, что рынок ещё даст время. Такой расклад не по силам рознице, а институционалам тоже не хочется рисковать.

Система безопасна или нет — дело не в том, сколько контрактов, и не в том, насколько красиво написан whitepaper. Важно, выдерживает ли она многократные допросы со стороны третьих лиц. Состояние Newton сейчас похоже на дом, где целую стену сделали из замков: снаружи кажется, что всё под защитой, но ключи от каждой «двери» висят снаружи. Хакеру не нужно ломиться. Ему достаточно наугад выбрать любой замок и проверить.

Когда уязвимость в одном контракте способна обнулить всё, слова «ещё не взломали» никак не являются утешением. Это лишь значит, что атакующий пока не сделал ход, но это не означает, что стены достаточно толстые. Осмелишься ли ты доверить ключевые позиции системе, у которой даже нет аудиторского отчёта? Ответ давно уже написан на том самом графике K-линии — она продолжает уверенно идти вниз. Рынок никогда не врёт: он просто видит правду раньше нас.