15 июня 2026 года жертва потеряла $1,65 млн через схему, которая не требует ни взлома кода, ни уязвимостей в смарт-контрактах. Злоумышленнику было достаточно одной подписи — обычного подтверждения, которое пользователь сам нажал на своём устройстве.
Введение
Этот инцидент относится к категории wallet drainer — атак, при которых злоумышленник опустошает кошелёк через так называемое разрешение на распоряжение средствами (approve/permit). Это не взлом в привычном понимании: жертва сама, своей подписью, выдаёт злоумышленнику право управлять своими токенами — просто не понимая, что именно она подписывает.
Особенность этого случая в том, что кошелёк жертвы был создан буквально за пару часов до атаки, и на него успели консолидировать крупную сумму — 1,401 млн USDC и 138,99 ETH, — прежде чем средства были выведены.
Ход инцидента
1️⃣ Подготовка кошелька. На свежесозданный кошелёк жертвы поступили активы: 1,401 млн USDC и 138,99 ETH.
2️⃣ Получение разрешения. Каким-то образом злоумышленник получил от владельца кошелька подпись, дающую право распоряжаться этими токенами. Подобные разрешения обычно получают через поддельные сайты или фальшивые приложения, имитирующие легитимные сервисы — пользователь подтверждает операцию, не вникая в её реальное содержание.
3️⃣ Вывод средств. Получив такое разрешение, злоумышленник через адрес-инициатор 0x6fd47FcFBE734fd67718cFB60B47FB07CF5472e0 вывел с кошелька жертвы все средства — без необходимости в каких-либо дальнейших действиях со стороны владельца.
Почему это стало возможным
Механизм approve/permit в блокчейне создан для удобства: он позволяет один раз подписать разрешение, а не подтверждать каждую операцию отдельно. Проблема в том, что эта же функция становится оружием в руках злоумышленников, если жертва подписывает разрешение, не понимая его сути.
На практике это часто выглядит как обычное действие — подключение кошелька к сайту, подтверждение транзакции в приложении. Жертва видит знакомый интерфейс кошелька (MetaMask, Trust Wallet и подобные) и не замечает, что одобряет полный доступ к своим токенам, а не безопасную операцию.
После получения такой подписи злоумышленнику не нужно ничего взламывать — у него уже есть легальное (с точки зрения блокчейна) право переместить средства жертвы на свой адрес.
Детали расследования: движение средств
Движение ETH
Похищенные ETH поступили на контракт 0x79ce19700462350cE0187df4bEE4Ea5DBCBaB1Db, откуда около 139 ETH были переведены через адрес 0x6fd47FcFBE734fd67718cFB60B47FB07CF5472e0 на адрес 0xC0Eae515554D579460feDBc6401D5fCF0e7cE5bc. На этом этапе средства смешались с поступлениями из других источников, что усложняет дальнейшее отслеживание именно этой суммы.
Позже около 111 ETH были направлены на адрес 0x5d7070A558b9c68ABb8d7Bae52A71516fc983c5e. Из них 100 ETH прошли через адрес 0xf7198BcdD2EE6aEC3f8D13A8E08D2Eb9a8821836, а ещё 11 ETH — напрямую, после чего обе суммы были объединены на адресе 0xB7c8b578ba91Dd740016F41136322Dd635B361D4.
Движение USDC
Похищенные USDC (около 1,4 млн) поступили на адрес 0x04Ab59FC9Da5e10EE3268199B49fD2b0F819Aa2e. Из них:
— около 280 000 USDC переведены на адрес 0xCc007529B5558BD07922eB407f08Fe4FA5b1aD24 и обменяны на ETH; на момент расследования остаются там
— 1 120 800 USDC отправлены на адрес 0x5d7070a558b9c68abb8d7bae52a71516fc983c5e, далее распределены по нескольким направлениям:
— 100 USDC остались на адресе 0xe37672840822fe764c9c7d080910f509133f4a79
— около 820 000 USDC поступили на адрес 0x21f2b935ddc91d9c3a131572b63578450138dd43, после чего были разделены между адресом 0x7f7137128eb3633598b66791c5d755989ed2615f (с последующим выводом на криптобиржу HitBTC) и адресом 0xb7c8b578ba91dd740016f41136322dd635b361d4
Средства, оставшиеся на адресе 0xb7c8b578ba91dd740016f41136322dd635b361d4, были конвертированы в ETH. Часть прошла через протоколы Across, 1inch и Uniswap, а часть была выведена на платформу Hyperliquid и обменяна на Monero (XMR) — криптовалюту с повышенной анонимностью транзакций, которую значительно сложнее отследить, чем обычный Bitcoin или Ethereum.
Заключение
Этот случай — напоминание о том, что самая распространённая угроза в крипте сегодня связана не с уязвимостями в коде, а с человеческим фактором. Жертва сама подписала разрешение, которое дало злоумышленнику доступ к средствам.
Часть похищенных активов уже выведена через биржу HitBTC и обменяна на Monero, что значительно затрудняет дальнейшее отслеживание. Команда «КоинКит» продолжает анализ оставшихся маршрутов движения средств.
