В конце января команда КоинКит зафиксировала сразу несколько инцидентов, в которых злоумышленники не получали доступ к приватным ключам жертв и не эксплуатировали уязвимости криптографии. Во всех случаях атаки были реализованы через формально корректные и разрешённые механики: заранее выданные безлимитные разрешения на списание токенов, публичные роутеры и ошибки в экономической логике смарт-контрактов.
Ниже разобраны три независимых расследования в сетях Base, Ethereum и BNB Smart Chain.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования атак на смарт-контракты, DeFi-протоколы и токенсейлы, включая анализ логики контрактов, восстановление последовательности транзакций и отслеживание дальнейшего движения похищенных активов вплоть до конечных точек сокрытия.
Начните свое крипторасследование вместе с КоинКит по ссылке
Кража $13,34 млн USDC через уязвимый роутер SwapNet (Base)
Дата: 25 января 2026
Сети: Base → Ethereum
Инцидент начался в сети Base, где злоумышленник воспользовался уязвимым роутером SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e). Важно отметить, что приватные ключи жертвы с адреса 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD скомпрометированы не были. Кража стала возможной из-за ранее выданного безлимитного разрешения на списание USDC этому роутеру.
В транзакции
0xc15df1d131e98d24aa0f107a67e33e66cf2ea27903338cc437a3665b6404dd57
злоумышленник создал вспомогательный контракт 0xcce2e1a23194bd50d99eb830af580df0b7e3225b, который использовался для формирования calldata. Далее был вызван публичный входной метод SwapNet Router, допускающий произвольные внешние вызовы без проверки того, кто именно инициирует операцию.
Имея на балансе роутера действующий allowance, контракт выполнил transferFrom() и перевёл 13 342 433.169249 USDC с адреса жертвы на EOA злоумышленника 0x6cAad74121bF602e71386505A4687f310e0D833e.
После получения средств в сети Base часть USDC была обменяна на ETH. На момент анализа на адресе злоумышленника сохранялось около 539 ETH и порядка 3 млн USDC. Остальные средства были распределены по цепочке адресов в сети Base и затем выведены через мост Relay.link в сеть Ethereum.
На текущий момент украденные активы находятся на следующих адресах:
0x578d892ac5a25ca46e03b9a5c4c2c2679894c400
0x7402875231d63fe9e30d854c526910581386e5d2
0x61d7cc832f967e78ba2d167358899ec11622193b
0x6a715e758be14502f6aaf0643594e99df93ab1f7
0x8bcd90f63e998e7c2cda4b5dea8cb7fe8ca5ea81
Кража стала следствием сочетания двух факторов: небезопасного дизайна публичного роутера и распространённой UX-практики выдачи безлимитных разрешений.
Кража 36.92 WBTC через роутер Aperture Finance (Ethereum)
Дата: 25 января 2026
Сеть: Ethereum
Во втором инциденте злоумышленник использовал уязвимость в одном из роутеров Aperture Finance, позволяющую злоупотреблять ранее выданными пользователями разрешениями на списание токенов.
Жертва ранее совершила стандартный approve по WBTC с безлимитным лимитом:
spender = 0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913
tx = 0x43aa58c764c762b65a86e6e343ee575fd163c8ff983f778fb693d9c9874be85c
В транзакции
0x8f28a7f604f1b3890c2275eec54cd7deb40935183a856074c0a06e4b5f72f25a
злоумышленник задействовал helper-контракт 0x5c92884dfe0795db5ee095e68414d6aabf398130, который вызвал роутер Aperture по повторяющемуся селектору 0x67b34120.
В результате роутер инициировал transferFrom() по ранее выданному allowance, и 36.91897652 WBTC (≈ $3.23 млн) были переведены на адрес злоумышленника 0xe3E73f1E6acE2B27891D41369919e8F57129e8eA.
На момент анализа все похищенные токены продолжали находиться на этом адресе без дальнейшего движения. Команда Aperture публично признала факт эксплуатации, временно ограничила работу фронтенда и рекомендовала пользователям немедленно отозвать существующие разрешения.
Кража ~$30 тыс. BSC-USD через флэш-заём и цикл mint/burn (BNB Smart Chain)
Дата: 23 января 2026
Сеть: BNB Smart Chain
Третий инцидент произошёл в сети BNB Smart Chain и был реализован через флэш-заём и логическую ошибку в экономике токенов MCoin и AiPay.
В транзакции
0xa268528df0f7e2b55f88e00746634e4a5404f3924b32335d0c504d92f055064d
атакующий адрес 0x53695bC30649f2F4bA1219cb1edE6629E277a696 развернул контракт 0xaf650b6dea7ffa0a54434d7527cba78c73889e22 и получил флэш-заём 14 468 104.27 BSC-USD от Lista DAO: Moolah (0x8F73b65B4caAf64FBA2aF91cC5D4a2A1318E5D8C).
Используя полученную ликвидность, злоумышленник приобрёл MCoin, затем получил токены AiPay и начал многократно отправлять их на адрес сжигания 0xcD678A28609a3B141c40bd879E7624dF139ffc83. После каждого burn контракт выплачивал стейблкоин BSC-USD по фиксированному курсу, что позволило повторять цикл десятки раз в рамках одной транзакции.
Флэш-заём был возвращён в полном объёме в конце транзакции, а чистая прибыль составила 30 079.150137 BSC-USD, которые были переведены на адрес 0xBcC501EeF73Ab8fB1AfbE68cBBBa9A141AE78336. На момент анализа средства находились на этом адресе.
Итоги расследований
Все три инцидента демонстрируют один и тот же системный риск: разрешённые механики без строгих ограничений и проверок превращаются в вектор атаки. Безлимитные approvals, публичные роутеры и ошибки в экономической логике контрактов позволяют злоумышленникам выводить средства без взлома приватных ключей и без нарушения базовых протоколов безопасности.
Совокупный подтверждённый ущерб по трём расследованиям превышает $16,6 млн.
В начале 2026 года основной риск смещается из области «взлома» в область дизайна, UX-допущений и доверия к смарт-контрактам, что требует пересмотра как архитектуры протоколов, так и пользовательских практик работы с разрешениями.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
