Одна неделя — четыре уязвимости на $2,68 млн
03.03.2026 | CoinKyt Company

В период с 25 февраля по 2 марта 2026 года зафиксирована серия инцидентов различной природы: манипуляция курсом доходного токена в LlamaLend, фишинговые списания через Permit/Approve, логическая ошибка в стейкинге HedgePay, а также критическая уязвимость в zk-верификаторе FOOM Lottery.

Объединяет эти кейсы то, что во всех случаях атаки были реализованы в пределах одной или нескольких транзакций, с быстрым выводом средств и последующей консолидацией в ETH либо выводом в миксеры и кроссчейн-инфраструктуру.

Команда КоинКит провела анализ механики атак и маршрутов движения активов.



Инцидент 1. LlamaLend (Curve) / sDOLA


Тип: манипуляция курса sDOLA (donation attack)

Сеть: Ethereum

Дата: 2 марта 2026


Что произошло


В одной транзакции злоумышленник привлёк краткосрочный заём без обеспечения (flash-loan) через протокол Morpho на сумму:

— 10 миллионов USDC (стейблкоин, привязанный к доллару США);

— 15 986 WETH (обёрнутый эфир, токенизированная версия ETH).

Используя эти средства, он искусственно изменил внутренний расчётный курс токена sDOLA — примерно с 1,19 до 1,35 DOLA за 1 sDOLA.


sDOLA — это доходный токен, курс которого меняется в зависимости от накопленного дохода. Он обменивается на DOLA по плавающему коэффициенту. Резкое изменение этого коэффициента в пределах одного блока сети исказило оценку залога в протоколе LlamaLend.


В результате произошли непредвиденные ликвидации пользовательских позиций, а совокупный экономический ущерб составил около 239 тысяч долларов.

 


Побочный эффект


LlamaLend (LLAMMA) оказался чувствителен к столь резкому изменению параметров залога. В результате произошли непредвиденные ликвидации пользовательских позиций. Таким образом, помимо арбитражной составляющей атака вызвала вторичный системный эффект.


Движение средств


После получения прибыли адрес 0x33A0aAb2642c78729873786e5903CC30F9a94be2

обменял все активы в ETH и направил средства в миксер Tornado Cash.



Инцидент 2. Кража $177 тыс. 


Тип: фишинговые разрешения (Permit + Approve)

Сети: Ethereum, BNB Smart Chain

Дата: 28 февраля 2026


Жертва:  0xBDD7b9B6608757600b8b67A0945119c870977B2a


Что произошло

Жертва подписала поддельные транзакции, которые выглядели как обычное подтверждение операции. На самом деле это были разрешения (Permit и Approve), дающие третьему лицу право распоряжаться её токенами без дополнительного подтверждения.

После получения этих прав адрес 0xAfb2423F447D3e16931164C9970B9741aAb1723E
вызвал функцию multicall — это способ объединить несколько операций в одну транзакцию — и списал активы со счета жертвы.


В сети Ethereum были списаны токены wstETH (обернутый staked-ETH, доходная версия эфира) и отправлены на два адреса:

0xF06b3310486F872AB6808f6602aF65a0ef0F48f8

0x4C733Bea44076f49082a7EE63dEf8cc1d987076F


В сети BNB Smart Chain жертва ранее выдала так называемое unlimited approve на токен SolvBTC — то есть разрешила неограниченное списание. Этим разрешением злоумышленник воспользовался, списал токены и также перевёл их на те же два адреса.


Фактически пользователь сам предоставил злоумышленнику техническое право управлять своими активами, после чего списание произошло без дополнительного участия жертвы.

 

Движение средств


Ethereum

~8.45 wstETH, поступившие на 0xF06b..., были обменяны на ETH и остались на балансе.


~33.82 wstETH, поступившие на 0x4C733..., были обменяны на ~41 ETH и через цепочку адресов отправлены в сеть Bitcoin с использованием DEX NEAR intents.


Средства вышли на промежуточный адреса в размере ~1.19 BTC. Далее большая часть была отправлена через THORChain в сеть XRP Ledger.

 

На момент расследования средства находятся на адресе, предположительно принадлежащем злоумышленнику.



BNB Smart Chain


Все украденные средства в сети BSC остаются на балансе адресов злоумышленника:


0xF06b3310486F872AB6808f6602aF65a0ef0F48f8
0x4C733Bea44076f49082a7EE63dEf8cc1d987076F



Инцидент 3. HedgePay — кража 26 BNB


Тип: логическая ошибка в forceExit()

Сеть: BNB Smart Chain

Дата: 25 февраля 2026

Что произошло


Злоумышленник внёс в стейкинг около 1,174 млн токенов HPAY — то есть заблокировал их в контракте для получения вознаграждения.

После этого он начал многократно вызывать функцию forceExit() — механизм, который должен возвращать пользователю его токены при выходе из стейкинга.


Проблема заключалась в логике контракта: при выводе токены действительно отправлялись пользователю, но система не уменьшала его внутренний баланс. Для контракта выглядело так, будто средства всё ещё находятся в стейкинге.


Это позволило злоумышленнику повторять вывод снова и снова, как будто он каждый раз забирает один и тот же депозит впервые.


В итоге из контракта было выведено более 57 млн HPAY. Эти токены были проданы через децентрализованную биржу PancakeSwap и конвертированы в 26,014 BNB.


Именно эту сумму в BNB можно считать фактическим ущербом протоколу.

 

Движение средств


После получения прибыли на адрес 0x734e1bDa62e779878f6C6F9F42d793badf247244 все средства были направлены в миксер Tornado Cash.



Инцидент 4. FOOMCASH / FOOM Lottery — $2.26M


Тип: подделка zkSNARK-доказательств (Groth16)

Сети: Base и Ethereum

Дата: 26 февраля 2026

 

Что произошло


В сети Base злоумышленник развернул собственный вспомогательный контракт и начал многократно забирать награды из лотерейного протокола FOOM Lottery.


Протокол использовал систему доказательств с нулевым разглашением (zkSNARK, схема Groth16), которая должна подтверждать право пользователя на получение награды без раскрытия лишних данных. Однако в настройке проверочного ключа была допущена критическая ошибка: два параметра (gamma и delta) оказались равны между собой.


Из-за этой конфигурационной ошибки функция проверки доказательства (verifyProof) фактически перестала корректно различать валидные и поддельные доказательства. Это позволило атакующему подставлять новые значения nullifierHash (идентификатор, который должен предотвращать повторное получение награды) и забирать вознаграждение повторно.


Иными словами, механизм «одно доказательство — одна выплата» перестал работать.


Whitehat-действия


После обнаружения уязвимости в сети Ethereum адрес whitehat-rescue.eth использовал тот же технический механизм, чтобы вывести средства из уязвимого контракта в безопасный адрес и предотвратить дальнейшую кражу.


В одной транзакции было выполнено 30 операций перевода, всего на сумму 19 695 576 757 802.1929 FOOM.


Из них 17 726 019 082 021.973 FOOM были переведены на защищённый адрес
0x442de4B67B9cB75f73b33Df3B11F694C89F811c2.


Whitehat также оставил публичное сообщение в блокчейне о спасении средств, зафиксировав характер действий.

 

Движение средств злоумышленника


Средства с Base были переброшены в Ethereum на тот же адрес атакующего.


Далее произошёл обмен на ~161 ETH, после чего средства были направлены на:

0xA30841846259c02eB540059100B57D87c2384358


На момент анализа средства остаются на данном адресе.



Заключение


Инциденты конца февраля — начала марта 2026 года демонстрируют широкий спектр уязвимостей:

-  манипуляция доходными токенами и чувствительность механизмов залога;

-  фишинговые Permit/Approve с кроссчейн-консолидацией;

-  повторный вывод средств из-за ошибки обновления состояния;

-  критическая конфигурационная ошибка в zk-верификаторе Groth16.


Особое внимание привлекает повторяемость адресов инфраструктуры и использование миксеров, мостов и мультисетевых маршрутов для усложнения трассировки.

 

Команда КоинКит продолжает анализ связей между задействованными адресами и мониторинг дальнейшего движения средств.