
8 июля 2026 года владелец кошелька потерял $1 млн в USDT — и для этого злоумышленнику понадобилась всего одна подпись жертвы. Не взлом, не уязвимость в протоколе — просто один клик не там.
Введение
USDT — самый популярный стейблкоин в крипте, цифровой доллар. Хранится на кошельках как обычный токен стандарта ERC-20. У этого стандарта есть встроенная функция approve («одобрить»): владелец токенов может дать другому адресу разрешение тратить свои токены. Это удобно для работы с биржами и протоколами — один раз одобряешь, и больше не нужно подтверждать каждую операцию отдельно.
Обратная сторона: если одобрение получил злоумышленник, он может в любой момент вывести средства жертвы — без каких-либо дополнительных действий с её стороны.
Ход инцидента
1️⃣ Фишинговая подпись. Владелец адреса 0x8c949361b49320c48a51f4b1c6f9f83862530f89 подписал вредоносный запрос — скорее всего, через поддельный сайт или фальшивое приложение, имитирующее легитимный сервис. Интерфейс кошелька запросил подтверждение — жертва нажала «одобрить», не вникая в детали. Этого оказалось достаточно.
2️⃣ Мгновенный вывод через Multicall. Получив разрешение, злоумышленник воспользовался контрактом Multicall — это инструмент, позволяющий выполнить несколько операций в рамках одной транзакции. В одном действии были проведены два одновременных перевода:
— 360 000 USDT на адрес 0xf84c62572eeafc90c0bce3fb6c85bcb573e68d93
— 640 000 USDT на адрес 0xc508a8c01bc3835be67e0e5554b7d91a1bb70da1
Всё произошло мгновенно — жертва не успела бы ничего отменить даже при желании.
Движение средств
После получения средств злоумышленник консолидировал их на одном адресе, а затем разделил на два потока.
Основной поток (~$800 тыс.):
360 000 USDT поступили на адрес 0xf84c62572eEaFC90C0BCE3Fb6c85bCB573E68d93. Оттуда 160 000 USDT были переведены на адрес 0xc508a8C01bc3835BE67e0e5554B7D91A1bb70Da1, куда уже пришли и 640 000 USDT напрямую с кошелька жертвы. Итого на этом адресе собралось около 800 000 USDT, которые были обменяны на ETH через Uniswap (децентрализованную биржу). Средства остаются на этом адресе на момент расследования.
Второй поток (~$200 тыс.):
Оставшиеся 200 000 USDT остались на адресе 0xf84c62572eEaFC90C0BCE3Fb6c85bCB573E68d93 и были обменяны через цепочку промежуточных операций в различные токены, а затем конвертированы в ETH. Средства также остаются на этом адресе без движения.
Основная транзакция: 0x6e882fd802e96c51521869e9f433fec00aac5403d39356820d14e8a3f2e6ffb9
Почему это стало возможным
Стандарт ERC-20 позволяет делегировать право тратить токены другому адресу — это базовая функция экосистемы. Проблема не в стандарте, а в том, что жертва не разобралась, что именно она подписывает.
Фишинговые атаки такого типа давно стали одним из самых распространённых способов кражи в крипте — именно потому, что они не требуют взлома кода. Достаточно убедить человека нажать кнопку.
Несколько правил, которые помогают защититься:
— Никогда не подписывать транзакции на незнакомых сайтах, даже если они выглядят как настоящие.
— Перед подтверждением проверять, что именно запрашивает кошелёк: approve на конкретную сумму или на неограниченное количество токенов — это принципиально разные вещи.
— Периодически проверять и отзывать неиспользуемые разрешения через сервисы вроде Revoke.cash — там можно увидеть все выданные approve и отменить лишние.
Заключение
$1 млн USDT ушёл за одну транзакцию — и всё, что для этого потребовалось, это одна подпись жертвы. Злоумышленник не взламывал контракты и не искал уязвимости: он воспользовался тем, что пользователь не проверил, что именно одобряет.
На момент расследования средства в виде ETH остаются на двух адресах злоумышленника без движения. Команда «КоинКит» продолжает отслеживать ситуацию.


