25–26 февраля 2026 года зафиксированы три инцидента разной природы, объединённые одной характеристикой — уязвимость находилась не в криптографии и не в консенсусе сетей, а в инфраструктуре, разрешениях и конфигурации.
Речь идет о:
- атаке на цепочку поставок Holdstation с ущербом около $462 тыс.;
- фишинговых approve на Ethereum и Base с потерями порядка $127 тыс.;
- экономическом взломе Ploutos Money на ~$388 тыс. из-за ошибки в настройке ценового оракула.
Команда КоинКит провела анализ механики атак и маршрутов движения средств.
Инцидент 1
Holdstation — кража ~$462,000
Тип: Supply Chain Attack
Сеть: Ethereum
Дата: 25 февраля 2026
Что произошло
Атака была реализована через компрометацию инфраструктуры обновлений приложения.
По результатам расследования, злоумышленник получил доступ к среде, через которую распространялись обновления: сервер дистрибуции, CI/CD-контур или облачное хранилище с ключевыми файлами сборки.
После этого официальные файлы обновления были подменены на вредоносные версии. Пользователи, установившие обновление, получали модифицированный клиент.
Вредоносный код работал незаметно. После запуска приложения инициировались неавторизованные транзакции, переводившие активы пользователей на адрес атакующего.
Главное, что уязвимость находилась не в смарт-контрактах и не в кошельках пользователей, а в инфраструктуре доставки обновлений.
Движение средств
Адрес злоумышленника:
0xcbfA60B39cfAeaE475f649fB6705bD477219bF8d
Адрес активно взаимодействует с DEX-роутерами и агрегаторами, конвертируя различные токены в WETH/ETH.
На момент проверки на адресе аккумулировано порядка ~226 ETH.
Структура операций указывает на постепенную конвертацию разнотипных активов в нативный ETH с последующей консолидацией.
Инцидент 2
Кража ~$127K (USDC, PAXG, TIBBIR)
Тип: фишинговые разрешения (Approve)
Сети: Ethereum, Base
Дата: 25 февраля 2026
Жертва: 0x56b0d3ee07e5b9bd5a00ab8518d18b6c95b897f7
Связанные транзакции:
Ethereum (PAXG):
0xf58b6fb692509f312f0a98a615fc04090244097cd96bf3ff78a48118a84517e7
Ethereum (USDC):
0xd1efe460c894efca0d24a582238315770366dfee58a099ac8d3736d5e0ffef02
Base (TIBBIR):
0x2811241eb508115239137d79e1eaee21b48357757e660f397448253a397c8fcd
Base (USDC):
0x0891f7f78dbcf6ed665f1eec3416040db9028746488de445f897713a16632d5c
Что произошло
Жертва подписала вредоносные транзакции approve, в результате чего сторонний контракт получил право списывать активы.
После этого адрес злоумышленника:
0xAfb2423F447D3e16931164C9970B9741aAb1723E
вызвал функцию multicall, внутри которой были выполнены transferFrom.
Активы были распределены на три адреса-получателя. Примечательно, что одни и те же получатели использовались как в сети Ethereum, так и в сети Base, что указывает на централизованную инфраструктуру атакующего.
Движение средств
Все украденные токены были обменяны на нативный ETH.
На момент анализа средства находятся на адресах:
- 0x6fE314fD4CF845f35fc461eD98e2FB8d9356B566
- 0xF06b3310486F872AB6808f6602aF65a0ef0F48f8
- 0x42C77Fa28969E1112E691F2b6ae25C7C77A662aF
Следует отметить, что адрес 0xF06…48f8 уже фигурировал в ряде предыдущих расследований, что подтверждает повторное использование инфраструктуры.
Инцидент 3
Ploutos Money — кража ~$388K
Тип: ошибка конфигурации ценового оракула
Сеть: Ethereum
Дата: 26 февраля 2026
Что произошло
Атака была проведена в одной транзакции.
Злоумышленник получил 8.879192 USDC через Uniswap V2, внёс их как залог в Ploutos и немедленно занял 187.366746 WETH.
В результате из протокола было выведено 187.362457 ETH/WETH (~$388 тыс.). Чистая прибыль составила около 181.749547 ETH (часть средств ушла на оплату билдеру/MEV).
Почему это стало возможным
Ошибка находилась в конфигурации ценового оракула.
USDC был привязан к BTC/USD фиду. В расчётах это означало, что 1 USDC оценивался как 1 BTC по цене BTC/USD.
Фактически залог в USDC воспринимался системой как эквивалент BTC, что позволяло занять существенно больший объём WETH.
Это не была ошибка формулы контракта — это была ошибка привязки price feed.
Движение средств
Около 181 ETH поступили на адрес:
0x3885869b0f4526806B468a0c64A89BB860a18cEe
Далее средства были переведены на:
0xe00b147d4acA460D3043e2361da36b8E4cadD298
На момент анализа средства остаются на данном адресе.
Примечательно, что оба адреса ранее фигурировали в инциденте Moonwell от 15 февраля 2026 года, где также имела место ошибка конфигурации ценового оракула. Это может указывать на повторное использование инфраструктуры либо на участие одного и того же оператора в схожих типах атак.
Заключение
Инциденты 25–26 февраля 2026 года демонстрируют три разных класса уязвимостей:
- компрометация инфраструктуры обновлений (supply chain);
- поведенческая уязвимость пользователей через approve;
- критическая ошибка конфигурации оракула.
Во всех случаях атаки были реализованы быстро, в пределах одной или нескольких транзакций, с последующей немедленной конвертацией активов в ETH.
Особое внимание привлекает повторяемость адресов и пересечение инфраструктуры между инцидентами. Команда КоинКит продолжает анализ связей между задействованными адресами и отслеживание движения средств.
