В январе 2026 года команда КоинКит зафиксировала серию крупных инцидентов, связанных не с уязвимостями смарт-контрактов, а с компрометацией пользовательского контроля: приватных ключей, сид-фраз и доверия к интерфейсам. В трёх ключевых кейсах злоумышленники получили доступ к активам без взлома протоколов, используя утечки ключей, подмену адресов и социальную инженерию.
Совокупный ущерб по рассмотренным инцидентам превышает $289 млн.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кейс 1. Компрометация приватного ключа: вывод ~$6,7 млн через Ethereum и Bitcoin
Тип: Компрометация приватного ключа / сид-фразы
Дата: 16 января 2026
Сети: Ethereum → Bitcoin
Оценка ущерба: ≈ $6,7 млн
Что произошло
Злоумышленники получили доступ к приватному ключу или сид-фразе жертвы, после чего инициировали масштабный вывод средств. С кошельков были выведены крупные объёмы USDC и USDT, которые затем были конвертированы в ETH. Далее активы были распределены между несколькими направлениями с целью сокрытия происхождения.
Движение средств в сети Ethereum
Первоначально средства поступили на адрес
0x36b517ef1f71412b2a817fa47b762e0c39e28485 в виде USDC, USDT и небольшого количества ETH. Далее все активы были переведены на адрес
0x6509cac8d378765dd2612705de25fb06207dd4d8, где стейблкоины были полностью обменяны на 2 058 ETH.
Полученные ETH были распределены следующим образом:
- 159 ETH — направлены в миксер Tornado Cash;
- 1 499 ETH — отправлены четырьмя транзакциями через Chainflip;
- 400 ETH — переведены тремя транзакциями через NEAR Intents.
Движение средств в сети Bitcoin
Все средства, вышедшие с кроссчейн-DEX-ов, были агрегированы на адресе
bc1qwqjuszqqk9p73eqcxn07t2teqt2pdgxquumwqk в объёме 64,9967862 BTC, после чего отправлены в неизвестный миксер.
С полным анализом движения украденных BTC можно ознакомиться по ссылке — здесь*
* Теперь любой граф связей, который мы построили в КоинКит ПРО можно открыть по ссылке. Получателю не нужен аккаунт — визуализация откроется сразу, в удобном формате.
Кейс 2. Подмена адреса через историю транзакций: потеря 514 000 USDT
Тип: Address poisoning / подмена адреса
Дата: 16 января 2026
Сеть: Ethereum Mainnet
Ущерб: 514 003 USDT
Что произошло
Жертва по ошибке отправила 5 000 USDT, а затем ещё 509 003 USDT на адрес злоумышленника, который визуально напоминал нужный адрес получателя. Атака была реализована через классическую технику address poisoning — подмену адреса в истории транзакций.
- Пострадавший:
0x19242037592EBbCd12bEb8a6A18B8908949469c7
- Адрес злоумышленника:
0xe84204d95b65621272B59193bD557cf2401f3e6F
- Ожидаемый адрес получателя:
0xe8425492e22d4ae1799184bdf965f2c3fc4d3e6f
Злоумышленник заранее отправил жертве минимальную транзакцию, после чего жертва скопировала адрес из истории и использовала его для перевода крупной суммы.
Дальнейшее движение средств
Полученные USDT были переведены на адрес
0x188ea7b5c066006a68eabfb6a3ecfd0d693e32f1, где вся сумма была обменяна на DAI и на момент анализа продолжает находиться на балансе.
Кейс 3. Кража ~$282 млн через социальную инженерию: BTC, LTC и XMR
Тип: Social engineering / компрометация сид-фразы
Дата: 10 января 2026
Активы: BTC + LTC
Оценка ущерба: ≈ $282 млн
Что произошло
Злоумышленник выдал себя за сотрудника технической поддержки аппаратных кошельков Trezor и убедил жертву раскрыть сид-фразу или данные восстановления. Получив полный контроль над кошельком, атакующий начал масштабный вывод и «обезличивание» активов.
Ключевые этапы:
1. конвертация части BTC и LTC в Monero (XMR) через instant-swap-сервисы;
2. кроссчейн-свопы через THORChain;
3. дробление средств и распределение по множеству адресов и сервисов.
Bitcoin
В сети Bitcoin злоумышленник сначала консолидировал UTXO в два staging-адреса:
- bc1qluxw46r55wf3dnk9c652vrt4duadm3hpuktf86 — ~460 BTC;
- bc1qpsmh26ja0fzzf286zulmt9eywujc2pggj40wzm — ~1 000 BTC.
Почти вся вторая сумма была отправлена в THORChain, за исключением 182,58 BTC, которые были переведены на адрес
bc1qmtnswpscl5e8xn3aqj9wm4vystdjk8w29htejp, где средства остаются на балансе.
Ethereum
После свопов через THORChain средства поступили на адрес
0xf73a4ebc3d0984f166ac215471cc895cb4f5cc21 в объёме 19 631 ETH. Далее ETH были распределены между десятками адресов и направлены в сервисы:
- Wizard Swap;
- KuCoin;
- HTX;
- ChangeNOW;
- Tornado Cash (в особо крупном объёме).
С полным анализом движения украденных ETH можно ознакомиться по ссылке — здесь*
* Теперь любой граф связей, который мы построили в КоинКит ПРО можно открыть по ссылке. Получателю не нужен аккаунт — визуализация откроется сразу, в удобном формате.
Litecoin и Monero
Параллельно ~1,838 млн LTC были отправлены на адрес ltc1qly43c2prj4c2e85dcspzpjd36jnapnenldnr70 и далее раздроблены по множеству адресов.
Часть активов была конвертирована в Monero (XMR), что существенно осложняет дальнейшее отслеживание из-за приватной природы сети.
Итог
Рассмотренные кейсы показывают, что в январе 2026 года основным вектором атак стала не техническая уязвимость протоколов, а компрометация пользовательского контроля — приватных ключей, сид-фраз и доверия к интерфейсам. В отличие от DeFi-взломов, такие инциденты практически не оставляют пространства для отката и требуют повышенного внимания к операционной безопасности.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
