Одна забытая подпись обошлась пользователю в $1 млн
10.07.2026 | CoinKyt Company

8 июля 2026 года владелец кошелька потерял $1 млн в USDT — и для этого злоумышленнику понадобилась всего одна подпись жертвы. Не взлом, не уязвимость в протоколе — просто один клик не там.

 


Введение


USDT — самый популярный стейблкоин в крипте, цифровой доллар. Хранится на кошельках как обычный токен стандарта ERC-20. У этого стандарта есть встроенная функция approve («одобрить»): владелец токенов может дать другому адресу разрешение тратить свои токены. Это удобно для работы с биржами и протоколами — один раз одобряешь, и больше не нужно подтверждать каждую операцию отдельно.


Обратная сторона: если одобрение получил злоумышленник, он может в любой момент вывести средства жертвы — без каких-либо дополнительных действий с её стороны.

 


Ход инцидента


1️⃣ Фишинговая подпись. Владелец адреса 0x8c949361b49320c48a51f4b1c6f9f83862530f89 подписал вредоносный запрос — скорее всего, через поддельный сайт или фальшивое приложение, имитирующее легитимный сервис. Интерфейс кошелька запросил подтверждение — жертва нажала «одобрить», не вникая в детали. Этого оказалось достаточно.


2️⃣ Мгновенный вывод через Multicall. Получив разрешение, злоумышленник воспользовался контрактом Multicall — это инструмент, позволяющий выполнить несколько операций в рамках одной транзакции. В одном действии были проведены два одновременных перевода:


— 360 000 USDT на адрес 0xf84c62572eeafc90c0bce3fb6c85bcb573e68d93

— 640 000 USDT на адрес 0xc508a8c01bc3835be67e0e5554b7d91a1bb70da1


Всё произошло мгновенно — жертва не успела бы ничего отменить даже при желании.

 


Движение средств


После получения средств злоумышленник консолидировал их на одном адресе, а затем разделил на два потока.


Основной поток (~$800 тыс.):


360 000 USDT поступили на адрес 0xf84c62572eEaFC90C0BCE3Fb6c85bCB573E68d93. Оттуда 160 000 USDT были переведены на адрес 0xc508a8C01bc3835BE67e0e5554B7D91A1bb70Da1, куда уже пришли и 640 000 USDT напрямую с кошелька жертвы. Итого на этом адресе собралось около 800 000 USDT, которые были обменяны на ETH через Uniswap (децентрализованную биржу). Средства остаются на этом адресе на момент расследования.


Второй поток (~$200 тыс.):


Оставшиеся 200 000 USDT остались на адресе 0xf84c62572eEaFC90C0BCE3Fb6c85bCB573E68d93 и были обменяны через цепочку промежуточных операций в различные токены, а затем конвертированы в ETH. Средства также остаются на этом адресе без движения.


Основная транзакция: 0x6e882fd802e96c51521869e9f433fec00aac5403d39356820d14e8a3f2e6ffb9

 


Почему это стало возможным


Стандарт ERC-20 позволяет делегировать право тратить токены другому адресу — это базовая функция экосистемы. Проблема не в стандарте, а в том, что жертва не разобралась, что именно она подписывает.


Фишинговые атаки такого типа давно стали одним из самых распространённых способов кражи в крипте — именно потому, что они не требуют взлома кода. Достаточно убедить человека нажать кнопку.


Несколько правил, которые помогают защититься:


— Никогда не подписывать транзакции на незнакомых сайтах, даже если они выглядят как настоящие.


— Перед подтверждением проверять, что именно запрашивает кошелёк: approve на конкретную сумму или на неограниченное количество токенов — это принципиально разные вещи.


— Периодически проверять и отзывать неиспользуемые разрешения через сервисы вроде Revoke.cash — там можно увидеть все выданные approve и отменить лишние.

 


Заключение


$1 млн USDT ушёл за одну транзакцию — и всё, что для этого потребовалось, это одна подпись жертвы. Злоумышленник не взламывал контракты и не искал уязвимости: он воспользовался тем, что пользователь не проверил, что именно одобряет.


На момент расследования средства в виде ETH остаются на двух адресах злоумышленника без движения. Команда «КоинКит» продолжает отслеживать ситуацию.