20 января 2026 года команда КоинКит зафиксировала сразу три инцидента, иллюстрирующих разные классы угроз в криптоэкосистеме — от сложных on-chain-манипуляций с использованием flash-loan до компрометации пользовательских подписей и логических ошибок в контрактах продаж. В совокупности эти кейсы показывают, что даже при отсутствии взлома приватных ключей или протоколов уровня консенсуса уязвимости логики и доверия продолжают приводить к многомиллионным потерям.
По трём зафиксированным инцидентам суммарный ущерб составил ≈ $8,3 млн.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кейс 1. Makina Finance: flashloan и манипуляция оценкой в Curve-пуле
Тип атаки: Flash-loan + price/AUM manipulation
Сеть: Ethereum
Дата: 20 января 2026
Ущерб: 5 108 973 USDC
Что произошло
Атака на Makina Finance была построена вокруг манипуляции источником оценки активов. Злоумышленник использовал крупный flash-loan (совокупно около 280 млн USDC, полученных через Morpho и Aave) для искажения ценовых метрик, на которые опиралась оценка DUSD.
Ключевая уязвимость заключалась в том, что цена (share price) DUSD зависела от spot-оценки LP-активов в Curve, а не от усреднённого или защищённого оракульного значения. Это позволило временно «разогнать» оценку AUM внутри одной транзакции.
Как работала схема
После получения flash-loan USDC были прогнаны через связку Curve/Frax-пулов (включая 3Pool), что исказило используемую протоколом оценку. На искажённых данных злоумышленник форсировал обновление AUM и затем вывел ликвидность из пары DUSD/USDC по завышенной цене, зафиксировав прибыль.
Движение средств
Из пула Curve DUSD/USDC было выведено 5 108 973 USDC.
Часть средств (4 244 311 USDC) была конвертирована в ≈ 1 299 ETH через Uniswap. Почти весь полученный ETH был отправлен MEV-builder’у в качестве bribe за порядок включения транзакции. На адресе атакующего осталось лишь 0.13 ETH.
Оставшаяся разница между общим ущербом и конвертацией в ETH пришлась на стоимость исполнения атаки:
- ≈ 805 тыс. USDC — манипуляция Curve-пулами;
- ≈ 59,7 тыс. USDC — комиссия flash-loan Aave.
Финальное точки
Почти весь объём ETH, полученный в результате атаки, был направлен MEV-builder’у 0xa6c248384C5DDd934B83D0926D2E2A1dDF008387 в качестве bribe за порядок включения и исполнение транзакции. Далее MEV-builder распределил полученные средства на два адреса, где они находятся на момент анализа:
- 0xbed26250db2097318386f540fd546acedf7bde25
- 0x573db3aed219efd4d2cdabc0d00366e7b80f910e
Кейс 2. Фишинговые подписи: кража XAUt и SLVon на ~$3,1 млн
Тип: Approval abuse / permit-phishing
Сеть: Ethereum
Дата: 20 января 2026
Ущерб: ≈ $3,1 млн
Что произошло
Во втором кейсе жертва подписала фишинговые разрешения (approve / permit), после чего злоумышленник в течение нескольких минут полностью опустошил кошелёк. Было похищено:
- 407.4 XAUt (≈ $1,92 млн),
- 13 723 SLVon (≈ $1,19 млн).
Кража была выполнена через вредоносный контракт, который после получения разрешений инициировал transferFrom() без дополнительного взаимодействия с жертвой.
Как работала схема
Жертва взаимодействовала с фишинговым интерфейсом или подписала транзакцию, выглядевшую как «безопасное действие». Фактически этим были выданы неограниченные права на списание токенов. После этого злоумышленник вызвал свой контракт и выполнил массовое списание активов, разделив их между несколькими адресами.
Дальнейшее движение средств
После получения украденных активов злоумышленник распределил средства между двумя основными адресами.
Адрес
0x6849BBeAE2f064ac56c9dE588CfdC13F8Ba1dF73
обменял 2 744 SLVon и 81.48 XAUt на ETH. Полученный ETH был оставлен на балансе адреса без дальнейшего немедленного перемещения.
Адрес
0x4B6c0b494E27C3e8eC89e5215643Db46eAc7C446
обменял 10 978 SLVon и 325.92 XAUt на ETH, после чего начал вывод средств через цепочку промежуточных адресов. Далее активы были переведены через мост LI.FI в сеть Arbitrum.
Параллельно зафиксированы небольшие депозиты в сервисы Relay.link и FixedFloat, что указывает на попытки частичной диверсификации маршрутов.
Уже в сети Arbitrum средства были заведены в Hyperliquid, где злоумышленник сформировал экспозицию на Monero (XMR / wrapped XMR) внутри платформы, тем самым существенно осложнив дальнейшее отслеживание.
Ключевые адреса, связанные с атакой
Исполнитель транзакций: 0xAfb2423F447D3e16931164C9970B9741aAb1723E
Основные адреса распределения средств:
1. 0x6849BBeAE2f064ac56c9dE588CfdC13F8Ba1dF73
2. 0x4B6c0b494E27C3e8eC89e5215643Db46eAc7C446
Дополнительные связанные адреса (Ethereum):
1. eth-0x62626b786bac4f1d6f23c969073d2f1dcaacc560
2. eth-0x1bd0de8d9f85e4de7eaf53d87069c59b10553aaa
3. eth-0x5206351b17fe12bd5d73e8c759f00c9d4ceaec3c
Визуализация движения средств
На визуализации отдельно отображается движение средств после адреса 0x4B6c0b494E27C3e8eC89e5215643Db46eAc7C446*
* Теперь любой граф связей, который мы построили в КоинКит ПРО можно открыть по ссылке. Получателю не нужен аккаунт — визуализация откроется сразу, в удобном формате.
Кейс 3. SynapLogic: логическая ошибка в контракте продаж
Тип: Логическая ошибка / over-mint / многократный возврат ETH
Сети: Base → Ethereum
Дата: 20 января 2026
Ущерб: ≈ 27.65 ETH (~$88 тыс.)
Что произошло
В третьем кейсе злоумышленник обнаружил логическую ошибку в контракте продаж/роутере проекта SynapLogic в сети Base. Функция покупки принимала параметры, которые позволяли внутри одного вызова многократно инициировать возврат ETH, несмотря на то что оплата происходила один раз.
Механика атаки
Атакующий взял flash-loan в WETH, конвертировал его в ETH и вызвал уязвимую функцию покупки. Из-за ошибки в логике контракт возвращал ETH по циклу — фактически как «кран». В internal-транзакциях это выглядит как десятки подряд идущих возвратов одинаковых сумм ETH с контракта продаж на контракт атакера. Чистая прибыль составила около 27.6 ETH.
В рамках анализа были идентифицированы следующие адреса, контролируемые злоумышленником:
1. Основной EOA атакера (контролирующий адрес, фиксация прибыли):
0x3Aa8bb3A19EECD229Cb33fbc03Ff549473e30F38
2. Helper-контракт, через который исполнялась логика атаки, принимались повторные возвраты ETH и осуществлялся вывод средств:
0x3821f686384c231e2f71ea093fb6189de803f482
3. Вспомогательный (стейджинг) контракт, использовавшийся в ходе атаки:
0x03e0a788e47531aa86b0fd2c44219dc465737c9d
Дальнейшее движение средств
После фиксации прибыли на основном адресе атакера 0x3Aa8bb3A19EECD229Cb33fbc03Ff549473e30F38 весь объём полученных ETH был выведен в сеть Ethereum через мост deBridge.
Далее средства были разделены на пять транзакций, после чего, через промежуточный адрес, направлены в сервис ChangeNOW. Этот этап указывает на попытку разрыва прямой ончейн-связи между атакой и финальной точкой вывода средств.
Итог
Инциденты 20 января 2026 года наглядно демонстрируют три разных, но взаимосвязанных класса рисков:
- оценочные и ценовые манипуляции при использовании spot-цен в DeFi;
- компрометация пользовательских подписей, где один approve эквивалентен потере контроля над активами;
- логические ошибки контрактов, не покрытые проверками крайних сценариев.
Во всех трёх кейсах атаки были реализованы без взлома приватных ключей протоколов или сетей — исключительно за счёт разрешённых, но неверно сконструированных механизмов.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
