В период с 13 по 18 февраля рынок столкнулся сразу с несколькими разнотипными инцидентами: злоупотреблением ранее выданных allowance, серией атак «отравление адреса» с крупными суммами, масштабным approval-фишингом и экономическим сбоем в протоколе Moonwell на Base из-за ошибки конфигурации ценового оракула cbETH.
Речь идёт о едином классе рисков, где исход определяется не сложностью эксплойта, а качеством базовых решений: настройкой разрешений, логикой интерфейсов и корректностью конфигураций. Именно на этом уровне — до криптографии и смарт-контрактной «экзотики» — сегодня формируется основная поверхность атаки в DeFi.
1. Кража ~$13,8k USDT через уязвимый роутер
Тип: злоупотребление approve/allowance
Сеть: Ethereum
Дата: 13 февраля 2026
Что произошло
Жертва ранее выдала крупный USDT-allowance стороннему роутеру:
0xC87C815c03b6CD45880CBD51A90d0A56eCFBa9Da
Позднее атакующий воспользовался уязвимостью этого роутера. Он инициировал обмен таким образом, что USDT были списаны с кошелька жертвы по уже существующему разрешению, а результат свопа оказался у атакующего.
Сценарий не требовал повторного подтверждения со стороны жертвы — allowance был выдан заранее.
Куда ушли средства
13,801.642298 USDT поступили на адрес злоумышленника:
0x4Fd9669FB676EA2AcE620AFb6178aE300EcFd8a9
Далее вся сумма была обменяна на DAI и заведена в протокол приватности Railgun. После входа в Railgun дальнейшая трассировка существенно ограничена.
2. Кража ~157,160 USDT — address poisoning
Тип: подмена адреса через zero-value / микро-transfer
Сеть: Ethereum
Дата: 18 февраля 2026
Жертва — 0x40960ae197aad4532a7d408480fb32a79be2dcbb — ранее отправляла 19 USDT на корректный адрес:
0xa7a9c35a4daae87b024b8c4f800f50b5d6fa03f0
Перед следующим переводом на адрес жертвы пришла почти нулевая транзакция с визуально похожего адреса. Пользователь скопировал адрес из истории и отправил 157,160 USDT на поддельный:
0xa7a00bd2aed75019b4741e4cc9f078c3425a03f0
Движение средств
Средства были консолидированы на:
0x6e29685239ea2a47a9856498d5e50dd6172aa563
Затем выполнен обмен через LI.FI на DAI. На текущий момент DAI остаются на балансе.
Snapshot:
https://explorer.coinkyt.com/ru/snapshot/dc8634ff-8e3b-4707-8a0d-32aacc88cb74
3. Инцидент с оракулом cbETH (Moonwell, Base)
Тип: экономический инцидент из-за ошибки конфигурации ценового оракула
Сеть: Base
Дата: 15 февраля 2026
15 февраля после обновления параметров управления (MIP-X43), в рамках которого были подключены новые контрактные модули получения цены, в механике расчёта стоимости cbETH возникла критическая ошибка конфигурации. До изменений долларовая цена определялась в два этапа: сначала вычислялось соотношение cbETH к ETH, после чего результат переводился в доллары через актуальный курс ETH. Однако после обновления второй этап фактически перестал учитываться — система начала использовать только отношение cbETH к ETH без пересчёта в USD.
В результате внутренний оракул отображал цену cbETH на уровне около $1.12 вместо реальных рыночных ~$2,200. Протокол продолжал функционировать технически корректно, но работал с искажённой стоимостью актива, что мгновенно привело к некорректным ликвидациям и позволило ряду адресов воспользоваться аномалией в расчётах.
Последствия
Массовые ликвидации
1096.317 cbETH были изъяты ликвидаторами.
При искажённой цене ликвидации становились сверхвыгодными — можно было погасить долг примерно на ~$1 и получить 1 cbETH в залог.
Умышленный перезайм
Ряд адресов воспользовались аномальной ценой, внося минимальный залог и занимая cbETH по искусственно заниженной стоимости.
Адреса, связанные с эксплуатацией:
- 0x9e81b20e3255cdfaebda41d5decbacd9fc6ae0a9
- 0xbe4427685fe32cbaf4a77fe77f3c58a55bb955ad
- 0x74513519689b1fb427747624a4dd87b3849d39cd
- 0x4f77b1bd8676d3ef8e3992a244aca0bc18074669
Непокрытая задолженность
Итого: ~$1,779,044.83
cbETH — $1,033,393.71
WETH — $478,998.02
USDC — $232,584.02
EURC — $11,566.03
cbBTC — $11,442.17
cbXRP — $7,947.66
DAI — $1,520.03
USDS — $1,052.15
AERO — $204.87
MORPHO — $171.67
wstETH — $164.49
Движение крупнейшего получателя
Адрес 0xe00b147d4acA460D3043e2361da36b8E4cadD298 получил около ~467 ETH (после конвертаций).
Далее средства были переведены на Ethereum через Stargate, CoW Protocol, консолидированы на 4 адреса, после чего основная часть направлена в Railgun. Остаток был отправлен на BitcoinVN и FixedFloat.
4. Кража ~$337k USDT (approval phishing)
Тип: фишинг на approve/allowance
Сеть: Ethereum
Дата: 17 февраля 2026
Жертва фактически сама дала злоумышленнику доступ к своим средствам, подписав разрешение на их списание. Такое разрешение позволяет стороннему контракту забирать токены без повторного подтверждения каждой операции. Этим и воспользовался атакующий: почти сразу после получения доступа он запустил серию внутренних операций, в ходе которых средства были списаны с кошелька жертвы и переведены под его контроль.
Контракт был создан примерно за 18 часов до атаки — типичный признак одноразовой инфраструктуры.
Распределение средств
16,859.38 USDT → 0x160073bef5c94d3f67751cb9acea9e36a05611e3 → обмен на ETH
50,578.15 USDT → 0xf06b3310486f872ab6808f6602af65a0ef0f48f8 → обмен на ETH
269,750.15 USDT → 0x6a3af6cb51d52f32d2a0a6716a8eff99d8f9a00b
Из них:
1. ~114k USDT пошли дальше по цепочке;
2. ~105k USDT обменяны на DAI и остаются на балансе;
3. оставшаяся часть прошла через Rango Exchange и ушла в сеть Solana.
Snapshot:
https://explorer.coinkyt.com/ru/snapshot/fbd1a5fa-46dc-4cc3-8cb5-b3fab2cbe2f6
5. Кража ~600,000 USDT — повторная схема address poisoning
Сеть: Ethereum
Дата: 17 февраля 2026
Жертва 0xce31b326e710dc8f455d172b9322241e6001b89b ранее отправляла 12.34 USDT на корректный адрес:
0x77f6ca8ef3c789fe15643a7b669868b2e087a346
Перед следующей операцией получила две нулевые транзакции от похожего адреса:
0x77f6a6f6434ecc5c1fa90f330f6aad9dfda8a346
В результате 599,714 USDT были отправлены на поддельный адрес.
Движение средств
Средства переведены на:
0xa4f5c8b152b0b830d9c5c6d8d925ad1b8d9a4051
Далее обмен через LI.FI на DAI, которые остаются на балансе.
Snapshot:
https://explorer.coinkyt.com/ru/snapshot/366217df-b093-4842-9028-75518e8d51ca
Итог
Середина февраля показала системную уязвимость сразу по нескольким направлениям:
• заранее выданные allowance продолжают использоваться против пользователей;
• address poisoning масштабируется до шестизначных сумм;
• одноразовые фишинговые контракты создаются за часы до атаки;
• ошибки конфигурации оракулов приводят к миллионным экономическим последствиям;
• приватные протоколы (Railgun) и кроссчейн-мосты остаются ключевым этапом усложнения трассировки.
Это не отдельные эпизоды, а повторяющийся паттерн риска в экосистеме DeFi.
