Шесть инцидентов конца января — начала февраля: approvals, «отравление адреса», кроссчейн-ошибки и экономические эксплойты
Командой КоинКит зафиксирована серия инцидентов в разных сетях и с разной природой атак — от краж через заранее выданные разрешения (allowance) и UX-мошенничества до уязвимостей в кроссчейн-обработчиках и экономической логике AMM/vault’ов.
На первый взгляд это «разные истории», но на уровне механики они сходятся в одном: злоумышленникам снова и снова помогает избыточное доверие — к разрешениям на списание, к истории транзакций, к «быстрым режимам» кроссчейна и к недопроверенной логике вывода/ценообразования.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования инцидентов, связанных с компрометацией кошельков, вредоносными обновлениями, фишинговыми атаками и иными формами хищения цифровых активов. В рамках подобных кейсов используется глубокая аналитика блокчейна, включая восстановление маршрутов движения средств, выявление инфраструктуры злоумышленников и конечных точек вывода.
Начать крипторасследование совместно с КоинКит
Кейс 1. Как безлимитное разрешение на списание привело к краже криптоактивов
Дата: 3 февраля 2026
Сеть: Ethereum
Тип: кража через заранее выданное «безлимитное разрешение на списание токенов»
Украдено $67 000
Что произошло
Пользователь подписал транзакцию IncreaseApproval в контракте токена Quant (QNT).
В результате он выдал стороннему смарт-контракту право распоряжаться своими токенами без ограничений:
- spender: 0xD8E98A63E4b1A127a8aB494f8C14F60e050B3e21
- allowance: 2^256 − 1 (фактически неограниченный доступ)
Сразу после этого злоумышленник воспользовался выданным разрешением.
Через два вызова функции transferFrom() токены QNT были списаны напрямую с адреса жертвы — без дополнительных подтверждений — и выведены на два разных адреса:
- 0xF06b3310486F872AB6808f6602aF65a0ef0F48f8 — 200,350001 QNT
- 0x55e3da8E89621c548838528aCcc34FC0443335c1 — 801,4 QNT
Таким образом, кража произошла не через взлом кошелька, а через злоупотребление ранее выданным разрешением (allowance).
Куда ушли средства
Ветка A: 200,350001 QNT → ETH → DEX-агрегатор
После поступления средств на адрес 0xF06b…48f8 токены были полностью обменяны на 5,87452047 ETH.
Особенности адреса:
- на момент операции на нем уже находился крупный баланс (вероятно, средства других пострадавших);
- на момент анализа общий остаток составляет около 17,58 ETH;
- зафиксирована отдельная транзакция 9,64 ETH, отправленная на DEX-агрегатор 1inch, что указывает на дальнейшее распределение или отмывание средств.
Ветка B: 801,4 QNT — дробление и распределение
После получения 801,4 QNT на адрес 0x55e3…35c1 средства были разделены на несколько потоков:
1. 296,64787896 QNT. Переведены на адрес 0x3affb182cb195140A5eDa23c19CFCB3B51bDeBe6. На момент анализа токены остаются на балансе и не перемещались далее.
2. 119,909475 QNT. Обменяны на 3,50503987 ETH. Далее ETH прошёл через промежуточный адрес и поступил на 0x3f69532b603c5c9b01a75af8976c4c6445c6a1a1, где средства смешиваются с крупным объёмом других поступлений. По итоговой траектории вывод осуществлялся на централизованную биржу Bybit.
3. 384,54220904 QNT. Остаются на исходном адресе 0x55e3…35c1 и на момент анализа не были перемещены.
Во всех ветках кража стала возможной из-за безлимитного allowance, выданного пользователем.
После его установки злоумышленнику не требовался доступ к кошельку или повторное подтверждение транзакций — все списания происходили автоматически через контракт-spender.
«Ключевой момент в подобных кражах — жертва теряет активы без «второго контакта» со злоумышленником. Достаточно один раз подписать разрешение на списание — далее transferFrom() становится технически легитимным действием внутри ERC-20.»
— отмечает AML-специалист КоинКит.
Кейс 2. «Отравление адреса»: кража 50 000 USDC
Дата: 3 февраля 2026
Сеть: Ethereum
Тип: мошенничество «отравление адреса»
Украдено $50 тыс
Как произошла кража
Типовая схема выглядит так: злоумышленник создаёт адрес, который внешне почти не отличается от привычного адреса получателя (совпадают начало и конец строки). Затем этот адрес специально «подсовывается» в историю прошлых переводов, чтобы пользователь по привычке скопировал его и отправил средства не тому получателю.
1. Жертва отправила тестовую транзакцию 1 USDC на нужный адрес:
0x906192f34febd7806b687127fb5005277df86e49
2. После этого жертва получила входящую 1 USDC транзакцию от похожего адреса злоумышленника:
0x906193f419abeca579487c12f552e6994bd46e49
3. Далее, копируя адрес из истории, жертва отправила 50 000 USDC на адрес злоумышленника:
0x906193f419abeca579487c12f552e6994bd46e49
Куда ушли средства
1. Сразу после получения средств злоумышленник перевёл их на следующий адрес:
0x31098932d9f9bedf50cb8a7ceb40042a36648277
2. Далее весь USDC был обменян на ETH.
На момент анализа на адресе злоумышленника находится ~17.36 ETH.
3. Остальная часть ушла по цепочке адресов в Tornado Cash, часть — в обменник NEAR Intents.
«В таких кейсах «тестовый перевод» часто становится триггером для злоумышленника: как только адрес-получатель появляется в истории и становится понятен паттерн поведения жертвы, «подкладка» делается максимально быстро.»
— отмечает AML-специалист КоинКит.
Кейс 3. В Gyroscope выявлена уязвимость, позволившая вывести активы через кроссчейн-эскроу
Дата: 30 января 2026
Сеть: Ethereum
Тип: arbitrary call / произвольный вызов в обработчике CCIP-
сообщений
Украдено $670 тыс.
Что произошло
Контракт-эскроу отвечал за перенос токенов GYD между сетями. По своей логике он должен был просто принять сообщение из другой сети и отправить токены получателю.
Но в коде была ошибка: при обработке входящего сообщения контракт мог выполнить дополнительное действие, которое указывалось прямо в этом сообщении. То есть он доверял не только «кому отправить токены», но и что ещё сделать по дороге.
Злоумышленник воспользовался этим. Он отправил специальное кроссчейн-сообщение, в котором указал, что контракт-эскроу должен сам выдать разрешение (approve) на списание токенов GYD со своего баланса.
В итоге контракт сам разрешил атакующему без ограничений забирать токены со своего баланса.
После этого никакого взлома уже не требовалось: злоумышленник просто вызвал стандартную функцию transferFrom() и вывел все доступные GYD на свой адрес
0x7dd4075a6eae9f18309f112364f0394c2dfa8102.
Движение средств
После получения ~6.1 млн GYD активы начали распределяться по сетям на тот же адрес:
- Ethereum: баланс ~4,600,000 GYD
- Arbitrum: получено 700,000 GYD → баланс ~376,000 GYD
- Avalanche: получено 220,000 GYD → баланс 119,100 GYD
- Base: получено 250,000 GYD → баланс 188.105 GYD
- Gnosis: получено 10,000 GYD → баланс 5,450 GYD
- Polygon: получено 10,000 GYD → баланс 8,800 GYD
Остальная часть ушла по цепочке адресов в Tornado Cash, часть — в обменник NEAR Intents.
Разница между получением и остатком в каждой сети была:
- обменяна на ETH,
- возвращена в Ethereum через Relay.link,
- далее отправлена в Tornado Cash.
Кейс 4. Мошенничество с подменой адреса привело к краже 3,5 WBTC
Дата: 4 февраля 2026
Сеть: Ethereum
Тип: мошенничество «отравление адреса»
Украдено $266 тыс
Как произошла кража
1. Жертва отправила 110 ETH на нужный адрес:
0x85cbb0E8262815b4866b166C02f7eF876A49D8f6
2. После чего жертве пришли «пылевые» транзакции от похожего адреса:
0x85cBe4af7167887839f27A759EED03E7Af11D8f6
3. Далее жертва перепутала адрес из истории транзакций и отправила 3.5 WBTC на похожий адрес злоумышленника:
0x85cBe4af7167887839f27A759EED03E7Af11D8f6
Куда ушли средства
Сразу после получения прибыли злоумышленник отправил 3.5 WBTC на следующий адрес:
0x4b7dB205E5C40C70972B6F2bD34D3C4f8870703b
На момент анализа WBTC находятся на балансе этого адреса.
Комментарий аналитиков КоинКит: примечательно, что адрес 0x4b7dB205…703b уже фигурировал в инциденте от 2 февраля (фишинг 100k USDT). Это указывает на переиспользование инфраструктуры и повышает вероятность того, что за двумя эпизодами стоит один злоумышленник или группа.
Кейс 5. Ошибка в логике токена SOFI привела к выкачиванию пула на PancakeSwap
Дата: 5 февраля 2026
Сеть: BNB Smart Chain (BSC)
Тип: экономический эксплойт / манипуляция резервами AMM через «burn из пары + sync()»
Украдено $29,6 тыс
В пуле BSC-USD/SOFI на PancakeSwap была допущена ошибка в логике токена SOFI. При продаже этого токена часть SOFI сжигалась не у пользователя, а прямо с баланса самого пула ликвидности. Из-за этого пул начинал считать, что токенов SOFI в нём стало меньше, чем есть на самом деле, и автоматически повышал его цену.
Хакер воспользовался этой ошибкой: он многократно отправлял SOFI в пул и каждый раз получал BSC-USD по завышенному курсу. При этом после каждой такой операции часть SOFI внутри пула уничтожалась, что снова и снова искажало цену.
Повторяя этот процесс, злоумышленник смог постепенно вывести из пула почти всю ликвидность BSC-USD, не взламывая PancakeSwap напрямую, а просто эксплуатируя некорректную механику токена.
Как это произошло
1. Хакер развернул собственный контракт
0x32Dd2885a0f22bFcEc7c72766cbF34179E459566.
2. Через внешний адрес он запустил этот контракт и начал серию обменов SOFI ↔ BSC-USD в PancakeSwap V2.
Чтобы транзакции прошли без конкуренции, была оплачена отдельная комиссия 2,1126 BNB через сервис доставки транзакций (вероятно, приватный бандл).
3. Перед выводом прибыли контракт был обновлён (вызов setImplementation(...)), после чего выполнен withdraw().
4. В итоге 28 090 BSC-USD были выведены на адрес атакующего
0x74eCE1C26d91FAda49E890CB50E23ac13d25bFd4.
Проблема была не в PancakeSwap, а в токене SOFI. Его логика вмешивалась в работу пула и позволяла менять баланс и цену прямо во время обмена, что и дало возможность выкачивать ликвидность.
Движение средств
После получения 28 090 BSC-USD средства были полностью конвертированы в BNB и выведены на внешний адрес 0x54FFE110f1d702eaD62D53E4cDd1B81a2CB7D5Eb.
В дальнейшем с этого адреса были зафиксированы четыре транзакции, направленные в сервис Tornado Cash, что указывает на попытку сокрытия происхождения средств и разрыв ончейн-трассировки.
Кейс 6.Ошибка в механике вывода NUSD и reUSD привела к несанкционированному извлечению средств
Дата: 4 февраля 2026
Сеть: Ethereum
Тип: эксплойт логики вывода из vault’а/обёртки через неограниченный lpAmount
Украдено $71,7 тыс
В обоих эпизодах злоумышленник действовал по одному и тому же сценарию, последовательно атаковав два направления — reUSD и NUSD. В каждой транзакции он привлекал крупный flash-loan в USDC, после чего вносил минимальный депозит — всего 10 USDC — и сразу инициировал вывод средств.
Особенность уязвимости заключалась в том, что при выводе контракт фактически позволял забрать почти весь объём LP-токенов, тогда как списание базового вклада («principal» или «underlying») оставалось незначительным.
В результате злоумышленник извлекал стоимость, несоразмерную первоначальному депозиту. Чистая прибыль по итогам операций составила 25,8 тыс. USDC в ветке reUSD и 45,9 тыс. USDC в ветке NUSD.
Движение средств (reUSD-ветка)
После получения 25,774.896133 USDC на 0x53695bC30649f2F4bA1219cb1edE6629E277a696:
1. средства сразу обмениваются на DAI и уходят на 0x09Cb4dFF09c0d0C14eE4A5DCCa1473a65a51293E
2. Далее обмен 250 DAI → 0.1134684 ETH и отправка на 0x565415E25333dB6A871125Ba16C43cd4ac0563a7
3. Отправка 12,751 DAI на 0x565415E…63a7
На балансе:
- 0x09Cb4dF…293E остаётся 12,772 DAI
- 0x565415E…63a7 остаётся 12,751 DAI + 0.11 ETH
Движение средств (NUSD-ветка)
После получения 45,907.95219 USDC на 0x1f36068728B86Ae4d65249f6F1C8C62cfaEb0675. Средства обмениваются на 45,907.95219 DAI и остаются на балансе на момент анализа.
«Адрес 0x53695bC3…7a696 уже фигурировал в инциденте от 23 января (аналогичная кража в сети BSC). Это похоже на повторяемый «автоматизированный стек» — поиск экономических перекосов и эксплуатация типовых ошибок вывода.»
— отмечает AML-специалист КоинКит.
Итог
Совокупный ущерб по шести зафиксированным инцидентам конца января — начала февраля составил около $1,16 млн. Несмотря на различие сценариев, все инциденты объединяет общий фактор — избыточное доверие к разрешениям, истории транзакций и логике смарт-контрактов, что продолжает оставаться ключевым источником рисков в криптоэкосистеме.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
