5 июня 2026 года атакующий опустошил 13 кошельков, которые годами не использовались, и вывел ~$4.5 млн в rETH — токене, представляющем долю в стейкинг-пуле Rocket Pool. Владелец кошельков заметил атаку вовремя и успел спасти ещё ~$4.7 млн, переведя их на безопасные адреса до того, как злоумышленник добрался до них.
Что такое rETH и что произошло
rETH — это токен протокола Rocket Pool. Стейкинг — это блокировка токенов в протоколе для получения награды. Кто заложил ETH в Rocket Pool — получает rETH в подтверждение своего вклада.
13 кошельков были dormant — это значит, что ими не пользовались годами. По всей видимости, приватные ключи или сид-фразы (сид-фраза — это секретный набор слов, дающий полный доступ к кошельку) от этих адресов были скомпрометированы давно — через вредоносное ПО, фишинг или небезопасное хранение в прошлом. Атакующий просто дождался подходящего момента и вывел всё за один раз.
Владелец кошельков заметил необычную активность. Основной адрес, связанный с пострадавшими кошельками: 0xae78736cd615f374d3085123a210448e74fc6393. Главный адрес атакующего: 0xF63C454a9E38d3F1e8Cd6fD31E259dd9EF052Ece.
Почему это стало возможным
Старые неактивные кошельки — одна из самых распространённых целей в крипто. Простым языком: люди создают кошельки, пополняют их деньгами — и забывают про них на годы. Пример: положил деньги в 2021 году, записал сид-фразу в текстовый файл. Файл утёк в результате взлома компьютера. Через несколько лет злоумышленник делает вывод, пользователь даже не успевает отреагировать.
В данном случае владелец кошельков успел заметить атаку и спасти часть средств. Это редкость: обычно скорость атаки не оставляет времени на реакцию.
Детали расследования: движение средств
1️⃣ ~$4.4 млн в rETH поступили на адрес атакующего 0xF63C454a9E38d3F1e8Cd6fD31E259dd9EF052Ece.
2️⃣ ~$1.9 млн были отправлены на адрес 0xd4681fd23aF08dC49816A8b7Da6a05f4880cF4db, где были обменяны через WETH в ETH и затем распределены через многочисленные адреса на DEX Chainflip (DEX для обмена между разными сетями, в том числе Bitcoin).
3️⃣ Остаток — ~$2.5 млн — был обменян через Uniswap на ETH и разделён на два направления:
- ~336 ETH ушло на биржу KuCoin
- ~1 125 ETH ушло на ChangeHero — сервис для быстрого обмена без обязательной регистрации
Заключение
Этот инцидент напоминает очевидное: средства в крипто нельзя просто положить и забыть. Неактивные кошельки с большими суммами — приоритетная цель для злоумышленников. Атакующий очевидно использовал ChangeHero, чтобы затруднить отслеживание. Оставшаяся часть ушла на DEX Chainflip, вероятно для обмена на Bitcoin или Monero.
Команда «КоинКит» продолжает отслеживать адреса злоумышленника.
