Последняя неделя января 2026 года оказалась насыщенной сразу несколькими инцидентами, не связанными между собой напрямую, но наглядно демонстрирующими системные слабости криптоэкосистемы. Речь идёт не о классических «взломах контрактов», а о более сложных сценариях — ошибках бизнес-логики, компрометации доступа, эксплуатации UX и уязвимостях кроссчейн-инфраструктуры.
В совокупности эти атаки привели к потерям от десятков тысяч до десятков миллионов долларов и затронули разные сети — Base, Ethereum, Solana, Arbitrum и Bitcoin. Ниже — разбор всех шести инцидентов как единой картины рисков, а не набора разрозненных кейсов.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Ошибка логики: Revert Finance и обесценивание LP-NFT
30 января 2026 года в сети Base был зафиксирован инцидент в протоколе Revert Finance, приведший к потере около 49 000 USDC. В основе атаки лежала логическая уязвимость в механизме работы с залогами.
Злоумышленник взял LP-NFT (токен, который показывает долю в пуле ликвидности) и использовал его как залог для кредита. Проблема в том, что протокол проверил ценность этого NFT только в момент выдачи займа.
После получения денег протокол не следил, осталась ли внутри NFT реальная ликвидность. Этим и воспользовались: ликвидность из LP-NFT вывели, но сам NFT формально продолжал считаться залогом.
В итоге протокол думал, что кредит обеспечен, хотя на самом деле залог уже был пустым.
Атака была реализована в одной транзакции с использованием flash-loan:
злоумышленник создал LP-NFT с ликвидностью, внёс его как залог, получил под него ~49 000 USDC, а затем через уязвимую логику GaugeManager вывел почти всю ликвидность из самого NFT. Формально залог продолжал существовать, но фактически он стал пустым.
После возврата flash-loan протокол остался с недообеспеченной позицией, а средства — у атакующего.
Полученные USDC были переведены на адрес
0xc6B04F6316Fb674c556d65F136898ee26719BB6d,
обменяны на 17.95610432 ETH в сети Base и на момент анализа остаются на этом адресе.
Компрометация доступа: Holdstation и административные ключи
28 января 2026 года был зафиксирован инцидент в Holdstation, связанный не с ошибкой смарт-контракта, а с компрометацией административного доступа. По имеющимся данным, злоумышленник получил доступ к admin-ключу — вероятно, через взлом или заражение устройства разработчика.
Атакующий получил доступ к админским правам протокола и фактически «переписал» его хранилище. Он подменил логику Vault Proxy так, чтобы появилась возможность выводить деньги. После этого средства начали выкачиваться сразу из нескольких блокчейнов — World Chain, BNB Chain, Berachain и zkSync — а затем все они были собраны в сети Ethereum.
В Ethereum средства в объёме ≈22.41 ETH были сконсолидированы на адресе
0x54e127b8dbf3bebf64bb1d62a195a6f60113130d,
после чего отправлены через Relay.link.
Далее активы вышли в Bitcoin-сеть на адрес
bc1qykmc6mllm3s4zpldww764v6vcgtqwshyw02k9c
и были переведены на финальный адрес хранения
bc1qqvye4aaq6ryxanmhkek6hhef80vu4nr5tr52jr,
где находятся на момент анализа.
UX как вектор атаки: потеря 4 556 ETH
30 января 2026 года в сети Ethereum произошёл один из самых тяжёлых инцидентов недели — жертва потеряла 4 556 ETH (≈ $10,15 млн) в результате атаки типа address poisoning.
Мошенник заранее создал адрес, который внешне почти не отличался от настоящего. Он сделал так, чтобы этот адрес появился в истории переводов жертвы. Позже жертва скопировала адрес «по привычке» из истории и отправила на него деньги, не заметив подмены. В результате средства ушли не получателю, а злоумышленнику.
Злоумышленник заранее подготовил адрес
0x6d9052b2df589de00324127fe2707eb34e592e48,
визуально похожий на легитимный
0x6d90cc8ce83b6d0acf634ed45d4bcc37eddd2e48
(совпадение первых и последних символов).
29 января в историю транзакций жертвы была добавлена «отравляющая» операция
0xb2e0b6573641ae1800faf4782c2526ab97e7df3df7281557c87e099025f4e0fd.
Дополнительно вокруг адреса фиксировались микропереводы от других похожих адресов, усиливающие визуальный шум.
30 января жертва скопировала адрес из истории и отправила 4 556 ETH злоумышленнику.
Сразу после получения средства были переведены на адрес
0x49a21fc945312c6fb4f8c6c4d224e74a5b96e9df,
после чего началось дробление и отправка в Tornado Cash.
Та же схема — меньшая сумма: кража ~100 000 USDT
2 февраля 2026 года аналогичная UX-механика была использована для кражи ~100 000 USDT. Злоумышленник применил zero-value transfer, чтобы его адрес оказался в истории транзакций жертвы.
Жертва сначала отправила тестовые 100 USDT на корректный адрес
0xadf25de90b4bacf569ccca02d76971d1001f979d.
После этого в истории появилась нулевая транзакция от похожего адреса
0xadf2b00721d376ac72c707294f20bdbf7d4f979d.
Далее жертва отправила 100 000 USDT уже на адрес злоумышленника.
Средства были переведены на
0x4b7db205e5c40c70972b6f2bd34d3c4f8870703b,
обменяны на DAI и на момент анализа остаются на балансе.
Захват полномочий: Step Finance и 261 932 SOL
31 января 2026 года в сети Solana произошёл инцидент в Step Finance, приведший к потере ~261 932 SOL (≈ $27–30 млн). Атака была связана с захватом полномочий управления стейкингом.
В транзакции
2w8sgATZwcmRMHEsG3nutmZJrskVkp74LAwTTEyxSMBJhnZ7Ux4ticeYAYnTb6K44m1XYziPvqonSkZeukAAFadZ
злоумышленник сменил staker authority и withdraw authority stake-аккаунта
6G53KAWtQnZSSN6HUxnBs3yYsK1aCuJRbrcPbWGY71LL,
получив полный контроль над активами.
Далее был выполнен вывод из стейкинга (unstake/deactivate), после чего средства стали доступны для перемещения.
Первичный контроль связывается с адресом
LEP1uHXcWbFEPwQgkeFzdhW2ykgZY6e9Dz8Yro6SdNu,
а финальный адрес хранения —
7raxiejD8hDUH1wyYWFDPrEuHiLUjJ4RiZi2z1u2udNh,
где средства остаются на момент анализа.
Кроссчейн без проверки: CrossCurve / EYWA
1 февраля 2026 года кто-то воспользовался уязвимостью в CrossCurve / EYWA. В протоколе есть функция expressExecute, которая должна проверять, можно ли переводить активы между сетями (кроссчейн).
Проблема в том, что проверка была слишком слабой — достаточно было одного «сигнала» (threshold = 1), чтобы операция прошла. Злоумышленник подделал сообщение и смог разблокировать активы без настоящей проверки. В результате на адрес атакующего поступили токены примерно на $2,4 млн, которые он сразу обменял и отправил в другие сети.
В сети Arbitrum на адрес
0x632400F42e96A5DEB547a179ca46b02C22CD25cD
поступили активы на сумму около $2,4 млн, включая USDT, WETH, WBTC, USDC, CRV и другие токены. Все активы, кроме rEYWA и Curve LP, были обменяны на ≈574 ETH и отправлены через LI.FI в Ethereum.
В сети Ethereum на тот же адрес поступили
999,787,453 EYWA (≈ $1,07 млн), которые остаются нереализованными.
573 ETH были переведены на адрес хранения
0x851c01d014b1ad2b1266ca48a4b5578b67194834.
Итог
Эти шесть инцидентов не образуют одну серию, но вместе показывают реальную картину рисков:
- логика протоколов ломается без единой строки «вредоносного кода»;
- административные ключи остаются критической точкой отказа;
- UX-атаки продолжают работать за счёт поведения пользователей;
- кроссчейн-механизмы по-прежнему страдают от слабой валидации.
Цена этих ошибок — десятки миллионов долларов. Но куда важнее то, что большинство сценариев уже многократно повторялись и продолжают реализовываться в разных формах.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
