10–13 апреля 2026 года АМЛ-аналитики КоинКит зафиксировали шесть инцидентов в разных блокчейн-сетях с суммарным ущербом свыше $780 тыс. Причины — самые разные: ошибки в коде протоколов, поддельное приложение в App Store и уязвимость в системе управления правами.
Поддельное приложение Ledger — $420 тыс. (5.9 BTC)
Дата: 11 апреля 2026. Сеть: Bitcoin.
TX: 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf
Музыкант Гарретт Даттон, известный как G. Love, публично сообщил о краже всех своих биткоинов.
При переносе криптокошелька Ledger на новый компьютер он случайно скачал из Apple Store поддельное приложение под названием «ledger app». Это приложение не настоящее — оно создано мошенниками специально для кражи. Когда пользователь вводит в него свою секретную фразу восстановления (набор из 12–24 слов, который даёт полный доступ к кошельку), эта фраза немедленно уходит злоумышленникам. После этого они получают полный контроль над кошельком и могут вывести все средства.
Именно это и произошло: 5.9 BTC (~$420 тыс.) были украдены, после чего по цепочке адресов ушли на биржу KuCoin.
Этот случай — напоминание о базовом правиле: приложение Ledger нужно скачивать только с официального сайта ledger.com. Никогда не вводить seed-фразу (секретные слова) ни в какое приложение и ни на каком сайте — ни настоящий Ledger, ни любой другой легитимный сервис никогда её не запрашивает.
Hyperbridge — $236 тыс.
Дата: 13 апреля 2026. Сеть: Ethereum.
TX: 0x240aeb9a8b2aabf64ed8e1e480d3e7be140cf530dc1e5606cb16671029401109
Hyperbridge — это протокол для передачи сообщений между разными блокчейнами. В рамках него существует «обёрнутый» токен DOT (криптовалюта сети Polkadot) на Ethereum — он называется bridged DOT.
Злоумышленник в одной транзакции подменил администратора этого токена на свой адрес, после чего выпустил себе 1 млрд bridged DOT и немедленно продал их через торговые площадки. На выходе он получил 108 ETH (~$236 тыс.).
Почему это стало возможным: система приняла поддельное сообщение из другого блокчейна как настоящее. При этом защитная пауза после получения такого сообщения была установлена равной нулю — то есть подтверждённое сообщение можно было использовать немедленно, без какого-либо времени на проверку. Именно это позволило атакующему действовать мгновенно.
На момент расследования средства остаются на адресе злоумышленника 0xC513E4f5D7a93A1Dd5B7C4D9f6cC2F52d2F1F8E7.
SubQuery Network — $80 тыс. (реально выведено $41 тыс.)
Дата: 12 апреля 2026. Сеть: Base.
TX: 0xd063b3848a6b8c67f46990ab166665d454147855819acb60c083c0aea0180b2d
SubQuery Network — это блокчейн-инфраструктурный проект. У него есть стейкинг-контракт: пользователи вносят туда токены SQT и получают вознаграждение.
Злоумышленник обнаружил, что в старой версии вспомогательного контракта (он отвечал за хранение адресов всех частей системы) функции смены адресов были открыты для всех — то есть любой желающий мог подменить любой системный адрес на свой. Именно это он и сделал: подменил адреса так, что стейкинг-контракт принял его контракт за свой и позволил вывести 218 млн токенов SQT (~$80 тыс. по номиналу).
Однако при попытке продать такой большой объём токенов цена резко упала, и реально атакующий вывел через мост Across Protocol в сеть Ethereum лишь около $41 тыс. После атаки проект обновил контракт: теперь менять системные адреса может только владелец.
Valas Finance — $30 тыс.
Дата: 12 апреля 2026. Сеть: BNB Smart Chain.
TX: 0xfc9cbf93d76e5deed330bc4e790cd9e3fd2dfdda124deb658b495eccffef0938
Valas Finance — это DeFi-протокол на BNB Smart Chain, где пользователи могут размещать средства и получать вознаграждения за стейкинг (блокировку токенов).
Атакующий взял мгновенный займ (flash loan — кредит, который нужно вернуть в рамках одной транзакции), завёл большую сумму в протокол и сразу запросил вывод накопленных наград. Проблема была в том, что система распределяла награды исходя из текущего баланса пользователя, а не из того, сколько времени он реально провёл в стейкинге. Это позволило атакующему, пришедшему буквально секунду назад, забрать часть наград, которые накопились у других пользователей задолго до него. Итог — 52.98 WBNB (~$30 тыс.).
Средства переведены в сеть Ethereum и на момент расследования остаются на адресе атакующего в виде DAI.
ThresholdCycleVault — $10.8 тыс.
Дата: 11 апреля 2026. Сеть: BNB Smart Chain.
TX: 0x5d1c90e4adbcadf395fcada03a7d2020536dca9e0cfacbcb20f3f7b4dc10b586
Атакующий обнаружил, что протокол выплачивает дивиденды (часть накопленного BNB) любому, у кого на балансе есть минимальное количество токенов — и при этом не проверяет, не получал ли этот адрес выплату уже раньше.
Схема была простая: создать несколько вспомогательных адресов, передавать один и тот же пакет токенов с адреса на адрес, и каждый раз запрашивать выплату дивидендов. Каждый новый адрес воспринимался системой как новый получатель с нулевой историей выплат — и протокол снова и снова отдавал BNB. Итого вывели 17.98 BNB (~$10.8 тыс.).
Средства остаются на адресе 0x1f31a60274F68dE18e8AEe265957b0E97D85e233 на момент расследования.
PiPiCoin + MEER — $5.9 тыс. суммарно
Дата: 10 апреля 2026. Сети: Ethereum и BNB Smart Chain.
Oба инцидента выполнены с одного адреса 0x739003c4ed2AAF8AD0c800e31F4B11121302CA49, что указывает на одного атакующего, действовавшего в двух сетях одновременно.
PiPiCoin (Ethereum, ~$2.25 тыс.):
TX 0x68600c3917649fa3d41835b070da943f8629662b5f68b7214d885dea8d7fe999
В токене PiPiCoin была функция, которая позволяла любому желающему уменьшить баланс чужого адреса. Она должна была быть закрытой — доступной только внутри самого контракта — но по ошибке оказалась открытой для всех. Атакующий воспользовался ею, чтобы уменьшить баланс торгового пула, после чего пул стал отдавать слишком много ETH. Итог — около $2.25 тыс.
MEER (BNB Smart Chain, ~$3.6 тыс.):
TX 0x6762ab396fcfc0c119b679ed9cee663bf4b2e8fb2a7cc891a6863993d987f8d3
В протоколе стейкинга формула расчёта выпускаемых токенов была устроена так, что чем меньше вносишь — тем больше токенов получаешь. Атакующий внёс минимальную сумму, получил огромный объём токенов MEER и тут же обменял их обратно. Итог — около $3.6 тыс.
Оба набора средств смешаны и направлены в протокол приватности Railgun.
Заключение
Шесть инцидентов за три дня демонстрируют, насколько разнообразными могут быть векторы атак: от поддельного приложения в официальном магазине до ошибки в одной строке кода контракта. Особняком стоит история G. Love — это не технический взлом, а классический фишинг, жертвой которого может стать любой пользователь независимо от опыта.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
