Начало 2026 года для крипторынка ознаменовалось серией инцидентов, затронувших сразу несколько уровней экосистемы: смарт-контракты, автоматизированные стратегии, ликвидность токенов, пользовательские кошельки и инфраструктуру разрешений. Команда КоинКит проанализировала пять ключевых кейсов января, которые на первый взгляд выглядят разрозненными, но в совокупности демонстрируют устойчивую тенденцию — большинство потерь стало возможным не из-за сложных эксплойтов, а из-за ошибок логики, устаревших механизмов и неконтролируемых прав доступа.
Общая сумма ущерба из-за атак составляет по приблизительным оценкам — $7,55 млн
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кейс 1. $NYC (New York City Token): ликвидность, pre-launch и резкий ценовой обвал
Тип: Liquidity extraction / one-sided LP cycling
Сеть: Solana
Период: 12–13 января 2026
Инцидент с токеном $NYC стал одним из самых публичных событий января. После активного промо через аккаунты бывшего мэра Нью-Йорка Эрика Адамса токен за короткое время достиг рыночной капитализации порядка $580–600 млн, после чего в течение часов потерял более 60–80% стоимости.
On-chain-анализ показывает, что на ценовом пике из пулов ликвидности было выведено около $2,5 млн USDC. Это стало возможным из-за использования механизма односторонней ликвидности (single-sided LP) на Meteora: по мере того как участники рынка покупали токен $NYC и вносили USDC в пул, контракт автоматически перераспределял стейблкоины в пользу LP-кошелька. Таким образом, USDC извлекались из пула синхронно с ростом спроса, без необходимости продавать токены на рынке и без немедленного давления на цену
Отдельного внимания заслуживает эпизод pre-launch: примерно за 4 часа до официального релиза был создан другой токен с тем же тикером $NYC. В него внесли одностороннюю ликвидность и сняли её примерно через 2 секунды, извлекая около $700 тыс. Далее средства были обменяны и переведены в сеть TRON, после чего зафиксированы депозиты на OKX.
Часть участников рынка трактует произошедшее как «управление ликвидностью», а не классический rug-pull. Однако для трейдеров результат оказался одинаковым — резкое падение цены и существенные убытки.
Кейс 2. FutureswapX (Arbitrum): два взлома за несколько дней
Тип: Accounting bug + reentrancy
Сеть: Arbitrum One
Период: 10–14 января 2026
Совокупный ущерб: ≈ $469 тыс.
Протокол FutureswapX столкнулся сразу с двумя независимыми инцидентами.
Первый эпизод (10 января).
В смарт-контракте FutureswapX была ошибка в логике учёта позиций. Протокол некорректно пересчитывал баланс при изменении позиции, из-за чего внутренние значения «баланса пользователя» переставали соответствовать реальному объёму залога в USDC.e. Злоумышленник воспользовался мгновенным кредитом (flash loan), провёл серию операций изменения позиции в одной транзакции и искусственно «нарисовал» себе избыточный внутренний баланс. После этого он вывел реальные USDC.e из протокола, вернул flash-loan и зафиксировал чистую прибыль около $395 тыс. — без необходимости оставлять средства в контракте.
Второй эпизод (11–14 января).
Во втором случае уязвимость возникла при добавлении ликвидности. Из-за отсутствия защиты от повторного входа (reentrancy) протокол позволил злоумышленнику несколько раз вызвать функцию выпуска LP-токенов до того, как контракт успевал обновить внутренний учёт. В результате хакер получил LP-токены в объёме, значительно превышающем его реальный вклад. После обязательного периода ожидания (cooldown) эти «лишние» LP-токены были сожжены, а соответствующие базовые активы выведены из протокола, что принесло злоумышленнику около $75 тыс.
Оба случая указывают на отсутствие жёстких инвариантов и недостаточную защиту крайних сценариев в логике протокола.
Кейс 3. YO / Yield: $3,7 млн потерь из-за ошибочной автоматизации
Тип: Операционная ошибка / bad swap
Дата: 12 января 2026
Инцидент с YO Protocol / Yield не является классическим взломом. Автоматизированный компонент протокола (harvester) выполнил обмен 3,84 млн stkGHO всего на 112 тыс. USDC, что привело к дефициту хранилища yoUSD примерно на $3,73 млн.
Ключевая причина — отсутствие полноценной проверки стартовой котировки перед крупным свапом. Slippage-защита контролировала движение цены в процессе исполнения, но не оценивала экономическую адекватность самой сделки. В результате автоматизация «сделала ровно то, что ей было разрешено».
Важно отметить, что дефицит был полностью покрыт казначейством, пользователи не пострадали, однако инцидент наглядно показал риск автоматизированных стратегий без единых guardrails для разных объёмов операций.
Кейс 4. SHIB / PEIPEI: approval abuse на Ethereum
Тип: Кража через approvals и transferFrom
Сеть: Ethereum Mainnet
Дата: 14 января 2026
Ущерб: ≈ $60 тыс.
В данном кейсе жертва взаимодействовала с контрактом, ранее помеченным как фишинговый. В результате были выданы неограниченные allowances на токены SHIB и PEIPEI. После этого злоумышленник без дополнительных подтверждений инициировал списание активов через transferFrom, распределив средства на два контролируемых адреса.
Схема является классическим примером approval abuse — одной из самых распространённых, но до сих пор недооценённых угроз для пользователей Ethereum.
Кейс 5. ETF-токены на BNB Smart Chain: массовое списание через unlimited approvals
Тип: Approval Abuse
Сеть: BNB Smart Chain
Дата: 2 января 2026
Ущерб: ≈ $93 тыс.
После атак на Trust Wallet и Truebit AML-офицеры КоинКит зафиксировали новый инцидент — массовую кражу ETF-токенов через ранее выданные unlimited approvals.
Пострадавшие заранее выдали неограниченные разрешения сторонним контрактам. Злоумышленник использовал эти права, передал в calldata список адресов жертв и инициировал transferFrom() без какого-либо взаимодействия с кошельками. Похищенные ETF были проданы через DEX и конвертированы в стейблкоины. Итоговая выручка составила около $93 тыс., часть средств была направлена в обменники и миксеры.
Итог: почему январь 2026 стал показательным
Пять инцидентов января демонстрируют единый паттерн: большинство потерь произошло не из-за сложных криптографических атак, а из-за разрешённых сценариев, которые никто не считал опасными. Устаревшие контракты, сложные LP-механики, автоматизация без ограничений и выданные «на всякий случай» unlimited approvals стали точками входа для злоумышленников.
Для рынка это означает смещение фокуса безопасности — от защиты «от взлома» к контролю логики, прав доступа и поведения протоколов после запуска. Именно на этом уровне сегодня формируются ключевые риски.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
