С 10 по 20 июня 2026 года аналитики «КоинКит» зафиксировали три инцидента с общим ущербом около $13,28 млн. Все три случая разные по природе: в первом злоумышленник подключил поддельную цепочку к мосту и получил токены без обеспечения. Во втором — расставил ловушку для автоматизированного торгового бота. В третьем — использовал механику сжигания токенов, чтобы разбалансировать торговый пул. Каждый случай — отдельная история о том, как доверие к данным без должной проверки оборачивается многомиллионными потерями.
Secret Network / Axelar: поддельный мост и $4,67 млн из резерва
Дата: 10 июня 2026
Сеть: Secret Network, Axelar, Ethereum
Ущерб: ~$4,67 млн
Что произошло
Чтобы понять эту атаку, нужно разобраться, как работает мост между Secret Network и Axelar. Secret Network — это блокчейн с поддержкой приватных транзакций. Axelar — это протокол, который связывает разные блокчейны между собой. Когда пользователь хочет использовать, например, USDT на стороне Secret Network, он отправляет токены через мост: реальные USDT блокируются в резерве Axelar, а на стороне Secret Network выпускается токен-обёртка saUSDT — своеобразная расписка, подтверждающая, что оригинальный токен заблокирован.
Злоумышленник придумал, как получить такие расписки без блокировки реальных активов.
Для связи между блокчейнами использовался стандарт IBC — протокол межблокчейнового взаимодействия, что-то вроде единого языка для разных сетей. Атакующий создал собственную поддельную цепочку и подключил её к уязвимому контракту ics20-for-axelar на стороне Secret Network, после чего отправил 7 поддельных сообщений о якобы совершённых депозитах.
Контракт принял эти сообщения как настоящие и выпустил saTokens — обёртки для saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH — на общую сумму около $4,67 млн. Реальных активов под них внесено не было ни цента.
Затем злоумышленник отправил эти поддельные расписки обратно через настоящий канал Secret → Axelar. Мост увидел «правильные» saTokens и добросовестно разблокировал из резерва Axelar реальные активы — те самые, которые ранее положили туда настоящие пользователи.
Почему это стало возможным
Контракт проверял название токена — USDT, USDC и так далее — но не проверял, через какой именно IBC-канал пришло сообщение. По правилам протокола IBC, один и тот же токен, пришедший через разные каналы, должен считаться разными активами и ни в коем случае не должен быть взаимозаменяемым. Эта защита здесь не сработала. Для контракта сообщение от поддельной цепочки выглядело точно так же, как сообщение от настоящего канала Axelar.
Движение средств
После вывода активов злоумышленник переместил их через сеть Osmosis (промежуточный блокчейн для обмена между сетями) в сторону Ethereum. Там активы были собраны на адресе 0x6c2eAB82bA2897A6E99FB6Af018020dA15123976, обменяны на ETH и распределены по множеству адресов. В итоге средства ушли на три крупные биржи:
— KuCoin — 1 199 ETH
— ChangeNow — 1 050 ETH
— HitBTC — 100 ETH
Вывод напрямую на биржи без использования миксеров — необычное поведение для злоумышленника такого масштаба. Это потенциально облегчает работу по заморозке средств при наличии взаимодействия с биржами.
Jaredfromsubway.eth: ловушка для охотника — $7,5 млн
Дата: 20 июня 2026
Сеть: Ethereum
Ущерб: ~$7,5 млн
Транзакция: 0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65
Что произошло
Jaredfromsubway.eth — один из самых известных MEV-ботов в Ethereum. MEV (Maximal Extractable Value) — это дополнительный доход, который можно получить, манипулируя порядком транзакций в блокчейне. Jaredfromsubway.eth специализировался на так называемых сэндвич-атаках: бот видит, что кто-то собирается купить токен, вставляет свою покупку перед чужой сделкой, поднимая цену, а после чужой сделки сразу продаёт — забирая разницу себе. С 2023 года этот бот заработал миллионы, регулярно «обкрадывая» обычных пользователей децентрализованных бирж.
20 июня 2026 охотник сам стал жертвой.
Атакующий заранее создал поддельные токены-обёртки и пулы ликвидности — торговые площадки, которые выглядели для бота как выгодные маршруты для сделок. Бот, как и задумано, начал с ними взаимодействовать. При каждой такой сделке бот выдавал разрешение — approve — сторонним контрактам тратить его реальные токены. Approve в мире ERC-20 токенов — это как доверенность: вы разрешаете другому адресу распоряжаться вашими токенами на определённую сумму.
Ключевая деталь: если разрешение было выдано, но не использовано полностью и не отозвано — оно остаётся открытым бессрочно. Атакующий выстраивал взаимодействие так, чтобы бот выдавал разрешения, которые не расходовались и не закрывались. После того как накопилось достаточно открытых разрешений, злоумышленник вызвал функцию transferFrom — и забрал WETH, USDC и USDT прямо с адреса бота.
Почему это стало возможным
Бот доверял внешним контрактам и не управлял выданными разрешениями: не отзывал их после использования и не ограничивал срок действия. Это стандартная практика безопасности, которую нередко игнорируют даже сложные автоматизированные системы. Злоумышленник терпеливо накапливал открытые разрешения, прежде чем нанести один решающий удар.
Движение средств
После получения средств на адрес 0x3e37f4a10d771ba9de44b6d301410b1bedea65d0 все токены USDT и USDC были обменяны на ETH. Средства разделились на четыре адреса:
— 0xe3da36e4bd1a5738fa5d6ef4f0e4df40bdeb5f17
— 0x74dc5b93586d248d5aec64b3586736ff0a0d0e65
— 0x71d4416a7a85e08a5fe7227ca3b44fc639e94e97
— 0xd8c125efcbc99408ec8723e9bbd81d1e8d39d845
С первого адреса 1 000 ETH уже отправлены в миксер Tornado Cash. На остальных трёх адресах средства на момент расследования остаются без движения.
LABUBU/OLPC: сжигающий токен и рассинхронизированный пул — $1,11 млн
Дата: 20 июня 2026
Сеть: BNB Smart Chain
Ущерб: ~$1,11 млн
Транзакция: 0x8dabb60a94e5124462e5f494a25c14bcd52f6f4d1f7c665a249496f4c6c24764
Что произошло
На автоматических торговых площадках — таких как PancakeSwap — цена обмена рассчитывается по соотношению двух токенов в пуле. Пул при этом хранит не только фактические балансы токенов, но и «резервы» — внутренние записи о том, сколько, по его мнению, у него есть. В норме эти цифры совпадают. Если они начинают расходиться — возникает уязвимость.
Токен OLPC имел встроенную механику сжигания: при каждой операции часть токенов уничтожалась автоматически. Злоумышленник воспользовался именно этим.
Атакующий методично отправлял небольшие количества OLPC в пул LABUBU/OLPC. При каждой такой операции часть токенов сжигалась — фактический баланс пула уменьшался, а внутренние резервы за этим не успевали. После серии таких операций пул оказался «перекошен»: он неправильно оценивал соотношение OLPC и LABUBU. Используя этот рассинхрон, злоумышленник вывел из пула 688 380 токенов LABUBU, которые затем обменял на 1 115 903 BSC-USD.
Почему это стало возможным
Здесь интересен предысторический след. 5 мая 2026 — за полтора месяца до атаки — в токене OLPC был установлен аномально большой параметр decimalsValue (число, влияющее на расчёт количества токенов при операциях): 7326680472586200649. Это нестандартное значение создавало почву для чрезмерного сжигания токенов из пары. А 8 мая 2026 владелец контракта отказался от прав управления им. После этого изменить параметр или исправить ситуацию стало невозможно.
Произошло ли это намеренно — как подготовка к атаке — или случайно, установить по имеющимся данным затруднительно. Но именно эти два события создали условия, при которых атака 20 июня стала возможной.
Движение средств
После получения BSC-USD злоумышленник обменял все средства и перебросил их в сеть Ethereum на тот же адрес 0x18D6c39aE9E537F948AA2212d44D8c23944fc188. Оттуда все средства в виде ETH ушли в миксер Tornado Cash.
Заключение
Три инцидента за десять дней — три совершенно разные механики, один общий итог: $13,28 млн ущерба.
Secret Network пострадала из-за того, что мост доверял названию токена, не проверяя источник сообщения. Jaredfromsubway.eth — бот, десятки раз атаковавший чужие сделки, — сам стал жертвой более терпеливого злоумышленника, который копил открытые разрешения и ждал нужного момента. Пул LABUBU/OLPC разбалансировали через механику сжигания, фундамент для которой был заложен ещё за полтора месяца до атаки.
Во всех трёх случаях решение было принято давно — либо в момент написания кода, либо в момент настройки параметров. Атака лишь воспользовалась тем, что уже было готово.
Команда «КоинКит» продолжает отслеживать движение средств по всем трём инцидентам.
