23 и 24 февраля 2026 года произошли два инцидента разной природы. 23 февраля — экономический эксплойт пула STO/WBNB в сети BNB Smart Chain. 24 февраля — кража около $388 тыс. USDT в сети Ethereum через unlimited approve.
В первом случае использовалась логическая ошибка в механике sell-burn. Во втором — пользователь самостоятельно выдал неограниченное разрешение на списание средств.
Команда КоинКит проанализировала транзакции, смарт-контракты и маршруты движения активов.
Инцидент 1
26.571266 BNB из STO/WBNB
Сеть: BNB Smart Chain
Дата: 23 февраля 2026
Тип: логическая ошибка в sell-burn
Что произошло
Адрес
0x622DDba7ddf86d573504a1D6021258884E601c42
развернул два вспомогательных контракта и инициировал атаку в рамках одной транзакции. Для масштабирования был взят flash-loan на 360,894.6441 WBNB у Lista DAO: Moolah.
Далее был выполнен повторяющийся цикл:
1. Продажа STO.
2. Изменение состояния и резервов пула.
3. Повторная продажа STO по уже искажённой формуле.
Ошибка находилась в логике корректировки резерва STO при sell-burn. Резерв пересчитывался некорректно, из-за чего amountOut при каждой следующей продаже увеличивался. AMM-формула фактически работала против пула.
В конце транзакции flash-loan был полностью возвращён. Атака осталась атомарной и не потребовала собственного капитала.
Результат
Было украдено: 26.571266 BNB (~$15,9 тыс.)
Движение средств
- почти вся сумма отправлена в Tornado Cash;
- около 0.77 BNB - в Railgun.
Использование двух инструментов приватности в одной транзакционной цепочке указывает на подготовленную стратегию размывания трассировки.
Инцидент 2
~$388 тыс. USDT через unlimited approve
Сеть: Ethereum
Дата: 24 февраля 2026
Тип: фишинговый unlimited allowance
Что произошло
Жертва вызвала функцию approve в контракте USDT и выдала максимальное разрешение на списание контракту:
0x4BD7b08B155D02a74936b8AA0FD66b0d47F43eAA
После этого злоумышленник вызвал функцию multicall, внутри которой трижды был выполнен transferFrom с адреса жертвы. Средства были распределены на три адреса.
Механика стандартная:
1. Пользователь подписывает unlimited approve.
2. Контракт получает полный доступ к балансу.
3. В рамках одной транзакции выполняется мгновенный дренаж.
Уязвимости в USDT не было. Риск возник из-за выданного разрешения.
Движение средств
После получения USDT активы были обменяны на ETH. На момент анализа средства находятся на адресах:
- 0xf048af325634443777a9c893296d6873f4e58e31
- 0xf06b3310486f872ab6808f6602af65a0ef0f48f8
- 0x6fe314fd4cf845f35fc461ed98e2fb8d9356b566
Адрес 0xf06b...f48f8 ранее фигурировал в других расследованиях. Это может указывать на повторное использование инфраструктуры.
Что объединяет оба инцидента
Это два разных класса риска:
1. Экономическая логика протокола.
Ошибка в порядке изменения резервов + flash-ликвидность → масштабирование без капитального риска.
2. Unlimited allowance.
Отсутствие уязвимости в токене не исключает дренаж, если пользователь выдал неограниченное разрешение.
Вывод
Инциденты 23–24 февраля 2026 года подтвердили системные риски рынка: ошибки в расчёте резервов масштабируются через flash-ликвидность, unlimited approve остаётся точкой мгновенного дренажа, а инфраструктура злоумышленников используется повторно.
Что снижает риск:
- ограничения и sanity-checks в экономической логике протоколов;
- регулярная проверка и отзыв allowance;
- мониторинг повторяющихся адресов.
Команда КоинКит продолжает отслеживать задействованные адреса и анализировать возможные связи с другими инцидентами.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
