17 марта 2026 года зафиксированы два инцидента с суммарным ущербом около $237 тыс. Команда АМЛ-аналитиков КоинКит провела расследование случаев фишинга и классической ошибке в протоколе.
Отравление адреса — $143k
Ход инцидента
TX: 0x967cbd6d1f954bbd68132ab14c3917c42309d920b55125a68cbe106906fc0eec
Злоумышленник заранее сгенерировал адрес, визуально похожий на реальный: первые и последние символы совпадают.
Жертва (0x904522a74dcb3f05ace6606a2f9aca14de8211db) ранее выполняла перевод 50,000 USDT на верный адрес 0x24ee04bf83ce9bd43ecf587fc5c2c46ca09d3544. Вслед за этим на адрес жертвы поступила почти нулевая транзакция с поддельного адреса 0x24ee1718f8dfce6ec10681b1d996b9c4c59d3544 — он попал в историю рядом с реальным.
Жертва скопировала адрес из истории и отправила 143,129.83 USDT на поддельный адрес.
Почему это стало возможным
Атака на отравление адреса эксплуатирует поведенческий паттерн: перед отправкой крупной суммы пользователь обычно копирует адрес из истории, а не набирает его вручную. Злоумышленник знает это и заранее помещает поддельный адрес в историю транзакций жертвы.
Движение средств
Средства были обменяны на ETH и отправлены на адрес 0xd1C713315792a0eDd94d45025eF27a0E78C5c961, где остаются на момент расследования.
KEOM Protocol — $94k
Ход инцидента
TX: 0x4ccde7fc6b240397228c1a740d15a149d2062ae0c11336ff81ad394603d9dfd8
Атакующий внёс в KEOM очень небольшую сумму, получил немного kToken и вызвал вывод почти всех средств из рынка. Протокол посчитал вывод так, как будто у атакующего было намного больше kToken, чем на самом деле, и отдал почти весь доступный кэш пула.
Почему это стало возможным
KEOM сначала уменьшает общий totalSupply рынка на большое расчётное значение, а уже потом ограничивает списание kToken реальным балансом атакующего. Итог: рынок списывает много, а атакующему сжигают мало. Протокол выводит атакующему больше underlying, чем позволяет честный баланс.
Движение средств
Средства были переброшены в сеть Ethereum на адрес 0xB343Fe12F86f785A88918599b29B690c4A5dA6d5, оттуда ушли на 0x994296B3c2eEe4a1D508559832FC93CB37989De5, где остаются на момент расследования.
Заключение
Все три инцидента произошли в один день и демонстрируют разные по уровню сложности атаки. Фишинг Permit не требует технической подготовки — только одна подпись. Атака на отравление адреса требует терпения и подготовки, но не требует никаких технических навыков от атакующего. Ошибка в редемпшн-логике KEOM — уже уязвимость уровня кода, но её природа та же: пользователь не может её заметить невооружённым взглядом.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
