Команда аналитиков КоинКит продолжает фиксировать инциденты, демонстрирующие разные, но системно важные классы угроз для криптоэкосистемы — от атак на кроссчейн-инфраструктуру до целенаправленного опустошения пользовательских кошельков. Рассматриваемые ниже кейсы различаются по масштабу и технической реализации, однако оба наглядно показывают, как уязвимости логики и доверия позволяют злоумышленникам извлекать значительные суммы без взлома приватных ключей протоколов или нарушения базовой криптографии.
В одном случае речь идёт о масштабной краже средств в сети SagaEVM с последующим выводом активов в Ethereum, во втором — о дренинге пользовательского кошелька через фишинговую permit-подпись.
Отдельно стоит отметить, что один из инцидентов укладывается в уже наблюдавшийся ранее шаблон атак: повторяющиеся адреса и инфраструктура указывают на неразовый характер подобных операций и использование отработанной схемы опустошения кошельков.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кейс 1. SagaEVM: кража средств на ≈ $7 млн через кроссчейн-механику
Дата: 21 января 2026
Сети: SagaEVM → Ethereum
Оценка ущерба: ≈ $7 млн
Что произошло
В сети SagaEVM злоумышленник развернул набор контрактов, использовавшихся для проведения атаки и координации кроссчейн-операций:
- 0x28658Bd1Cb041F3831A89c37703608Dd0bf7983F
- 0x189a4a28eCF6c9E50a38B3A2533742b48052a033
- 0x7D69E4376535cf8c1E367418919209f70358581E
По результатам ончейн-анализа, атакующий предположительно использовал особенности IBC-механики и кастомных сообщений для обхода проверок бридж- или прекомпайл-логики. Это позволило получить избыточную стоимость, в том числе через Saga Dollar (D) как один из возможных источников ликвидности.
После этого злоумышленник начал систематическое извлечение реальной стоимости из DeFi-слоя SagaEVM: полученные активы обменивались на более ликвидные токены и выводились из пулов.
Кроссчейн-вывод и фиксация средств
На следующем этапе украденные активы были переведены в сеть Ethereum и обменены на ETH с использованием DEX-агрегаторов, включая 1inch, Cowswap и Kyberswap.
Все средства были консолидированы на адресе:
0x2044697623AfA31459642708c83f04eCeF8C6ECB
На момент анализа на балансе адреса находилось 2 088 ETH, что эквивалентно примерно $6,27 млн. Средства оставались неподвижными, что может указывать на ожидание дальнейшего шага по отмыванию или повторному кроссчейн-переводу.
Кейс 2. Permit-подпись и дренинг кошелька: кража 32.34 stETH
Дата: 20 января 2026
Сеть: Ethereum
Тип: Wallet drainer / фишинговая permit-подпись
Ущерб: ≈ $96 тыс.
Что произошло
Адрес жертвы 0x18D04eEC2b8d7daBDF424Ff09fF2985B84E2fdCb был опустошён в рамках одной транзакции после взаимодействия с фишинговым интерфейсом. В результате подписания permit-разрешения злоумышленник получил безлимитное право на списание токенов и немедленно вывел активы через transferFrom().
Всего было похищено 32.3404371417 stETH (≈ $95,7 тыс.).
Механика атаки
Жертва подписала действие, выглядевшее как стандартное взаимодействие с интерфейсом. Фактически этим была создана permit-подпись, позволяющая контракту злоумышленника распоряжаться токенами без дополнительных подтверждений. Далее атакующий в рамках одного multicall() сразу же выполнил списание средств, после чего активы были разделены между несколькими адресами для дальнейшего вывода.
Дальнейшее движение средств
Адрес:
0x6849BBeAE2f064ac56c9dE588CfdC13F8Ba1dF73 получил 6.4680874283 stETH (~$19,2 тыс.), обменял их на ETH и оставил на балансе. На этом же адресе находились другие активы, вероятно связанные с ранее зафиксированными инцидентами.
С 21.01.2026 02:04 зафиксирован отток 388.71 ETH (~$1,15 млн) тремя транзакциями. После прохождения промежуточных адресов средства были консолидированы на:
0x54822b6c1ca0a7c83aaa2b96f9e5467a38fa9cb9 — 94.73 ETH
0x15803a2d37791b1c8fcb444cc5502138460dc890 — 297.39 ETH
Адрес:
0xc059563dc3F90DF0e77A1fC268204752663B268D получил 25.8723497134 stETH (~$76,6 тыс.), после чего средства были распределены и частично выведены через централизованные биржи и мосты, включая депозиты на HITBTC и перевод в сеть Solana через deBridge.
Связанные инциденты
Исполнитель
0xAfb2423F447D3e16931164C9970B9741aAb1723E
и адрес-получатель
0x6849BBeAE2f064ac56c9dE588CfdC13F8Ba1dF73
ранее уже фигурировали в расследованиях КоинКит, посвящённых фишинговым approvals и permit-атакам. В частности, данные адреса были зафиксированы в инциденте с кражей XAUt и SLVon на сумму около $3,1 млн, а также в расследовании массового списания ETF-токенов в сети BNB Smart Chain.
Адрес 0xAfb2...1723E ранее был зафиксирован командой КоинКит как исполнитель транзакций в расследовании фишинговой атаки с кражей XAUt и SLVon на сумму около $3,1 млн (20 января 2026 года). В том инциденте данный адрес инициировал вызовы вредоносного контракта и осуществлял списание средств после получения фишинговых approve / permit-разрешений.
Кроме того, адрес 0xAfb2...1723E был ранее задействован в расследовании массовой кражи ETF-токенов в сети BNB Smart Chain (2 января 2026 года), где выступал в роли адреса, инициирующего вызовы контракта-дренера и массовое списание активов через ранее выданные unlimited approvals.
Повторное появление одних и тех же адресов и инфраструктуры указывает на серийную схему опустошения кошельков, а не разовую случайную кражу.
🔗 Наше расследование XAUt и SLVon
🔗 Наше расследование кражи ETF-токенов в сети BNB Smart Chain
Итог
Оба инцидента — и кроссчейн-эксплойт в SagaEVM, и дренинг кошелька через permit-подпись — иллюстрируют ключевой тренд начала 2026 года: злоумышленники всё чаще извлекают стоимость, используя разрешённые и штатные механики, а не уязвимости криптографии или прямой взлом протоколов.
В одном случае критическим фактором становится логика кроссчейн-сообщений и проверок бридж-уровня, в другом — пользовательское доверие к интерфейсам и подписи. В обоих сценариях цена ошибки измеряется миллионами долларов и требует не только технических исправлений, но и переосмысления моделей доверия в Web3-инфраструктуре.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
