7 и 9 апреля 2026 года зафиксированы два инцидента с общим ущербом около $580 тыс. Оба случая объединяет одно: никакого технического взлома не было. В первом случае злоумышленник воспользовался ошибкой в логике протокола, во втором — обманул человека, подсунув ему поддельный адрес.
Отравление адреса — $386 тыс.
Как работает эта схема
Криптовалютный адрес — это длинная строка из букв и цифр, например 0xb302f812...89ecf88. Люди, как правило, не запоминают адрес целиком, а ориентируются на первые и последние несколько символов. Злоумышленники это знают и пользуются.
Схема «отравление адреса» работает так: мошенник создаёт адрес, у которого первые и последние символы совпадают с адресом жертвы. Затем отправляет с него на кошелёк жертвы почти нулевую транзакцию — буквально копейки. Цель — чтобы этот поддельный адрес появился в истории переводов жертвы.
Когда жертва в следующий раз хочет сделать перевод, она открывает историю, видит знакомые первые и последние символы — и копирует адрес. Но копирует поддельный.
Что произошло
Дата: 9 апреля 2026. Сеть: Ethereum.
Жертва (0x3061f83cd3041a94f38901a2f5e51794904c9421) незадолго до этого переводила 5 USDT на верный адрес 0xb302f812d87e9fe1fa351f3909319e45189ecf88. Злоумышленник создал похожий адрес 0xb302c7160e9a659b2887b8ffe5108473d669cf88 — начало и конец совпадают — и «подложил» его в историю транзакций жертвы микроплатежом.
При следующем переводе жертва скопировала адрес из истории, не заметив подмены, и отправила 354,287.79 USDT на поддельный адрес.
Движение средств
Все средства ушли на адрес 0x226ddc6cb69bf81752201e55962b82f0e17cb976, где были обменяны на ETH и остаются на балансе на момент расследования. С высокой вероятностью средства в дальнейшем направятся в миксер Tornado Cash — с этого адреса ранее уже были депозиты на этот сервис.
Манипуляция ценой в протоколе HB — ~$193 тыс.
Как работает эта схема
На децентрализованных биржах цена токена определяется не из внешнего источника, а исходя из того, сколько токенов находится в торговом пуле прямо сейчас. Если в пуле резко становится меньше одного токена, цена другого резко растёт. Этим и пользуются атакующие.
В данном случае протокол сам же менял состав своего пула — сжигал токены прямо из него в рамках своей внутренней логики. После этого он должен был обновить цену. Но вместо этого он сразу же использовал новую, уже изменённую цену для расчётов. Злоумышленник провернул всё это внутри одной транзакции.
Что произошло
Дата: 7 апреля 2026. Сеть: BNB Smart Chain.
TX: 0x19671f5781acc3f5e3a869491a880aa9ee894911f4898a43254fa942d71594ed
1️⃣ Атакующий взял крупный заём в криптовалюте — так называемый flash loan (мгновенный кредит, который нужно вернуть в рамках той же транзакции).
2️⃣ На занятые деньги купил большое количество токенов HB. Это резко изменило соотношение токенов в пуле и завысило их цену.
3️⃣ Протокол в этот момент сам запустил сжигание части токенов HB из пула — и сразу же пересчитал цену по новым, уже искажённым данным.
4️⃣ Атакующий воспользовался этой завышенной ценой и получил из протокола 193,936 BSC-USD — значительно больше, чем должен был.
5️⃣ Мгновенный кредит возвращён. Чистый результат — ~$193 тыс. на адресе злоумышленника.
Проблема была в том, что протокол доверял цене, которую сам же только что изменил. Это классическая ошибка: нельзя использовать текущую рыночную цену для расчётов в той же транзакции, в которой эта цена была искусственно сдвинута.
Движение средств
Все BSC-USD были обменяны на BNB и отправлены в миксер Tornado Cash с адреса 0x2E358F7E323b9E615231873F17b099b833163F23.
Заключение
Оба инцидента показывают разные грани того, как теряют деньги в крипте. Первый — это не взлом, а обман: жертва сама перевела деньги не туда. Второй — ошибка в логике протокола, которая позволила использовать искажённую цену как настоящую.
Оба случая предотвратимы: в первом достаточно проверять адрес полностью перед отправкой, во втором — использовать цену из надёжного внешнего источника, а не из пула, состояние которого только что изменилось.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
