Аналітики з компанії CertiK повідомили про масштабний інцидент із крадіжкою криптовалюти USDC на суму близько $340 000. Зловмиснику вдалося скористатися старим дозволом, який власник гаманця підписав понад п’ять років тому на фішинговому сайті. Саме ця необережність дала змогу атакеру роками стежити за балансом гаманця та дочекатися моменту, коли на рахунку з’явиться значна сума.
Про це розповідає ProIT
Механізм атаки через невідкликані дозволи
За даними CertiK, 2 жовтня 2020 року власник гаманця підписав дозвіл на використання токенів USDC через фішингове посилання. З того часу він не відкликав права доступу, а зловмисник лише чекав, поки на адресу надійдуть кошти. Як тільки баланс гаманця виріс, хакер скористався функцією transferFrom стандарту ERC-20, що дозволила йому провести одну операцію й вивести всі наявні стейблкоїни.
CertiK наголошує, що “disconnect wallet” не скасовує доступи — approvals зберігаються на рівні блокчейна.
В основі такої атаки лежить стандартна логіка ERC-20: підписаний approval залишається чинним до моменту його відкликання. Це створює довготривалу загрозу для користувачів, які забувають про старі дозволи, особливо для гаманців із ліквідними активами. Саме тому експерти рекомендують регулярно перевіряти та відкликати непотрібні approvals через спеціалізовані сервіси на кшталт Revoke.cash.
Серія подібних інцидентів у 2024–2025 роках
Подібні випадки фіксувалися неодноразово. У серпні 2025 року користувач втратив $908 551 у USDC через «відкладене» списання: дозвіл на проведення операцій було підписано ще у квітні 2024-го, але drain-атака відбулася через 458 днів, коли баланс гаманця сягнув майже мільйона доларів. За даними дослідників, до цієї атаки причетний зловмисник, відомий під псевдонімом pink-drainer.eth, який вивів усі кошти одним переказом. Після цього Scam Sniffer окремо закликав користувачів відкликати застарілі дозволи та наголосив на важливості контролю approvals для безпеки активів.
У травні 2024 року аналогічна проблема дозволила атакувати протокол Hedgey Finance: через помилку адміністрації невідкликаний дозвіл на USDC дав змогу зловмисникам вивести понад $1,3 млн у стейблкоїнах та інших токенах, які згодом були реалізовані на суму близько $600 тис. У квітні того ж року Magpie Protocol після експлойту публічно наголосила про необхідність відкликання approvals у різних мережах, щоб уникнути подальших втрат.
Фахівці радять користувачам постійно перевіряти видані дозволи та видаляти доступ для смарт-контрактів, які більше не використовуються. Всі ці кейси підкреслюють головний висновок: навіть одноразовий підпис на фішинговому ресурсі може залишатися чинним роками й бути використаним злочинцем у найнеочікуваніший момент. З огляду на підвищення вартості активів та частішання drain-атак аудит permissions має стати обов’язковою практикою для кожного користувача ончейн-сервісів.
Дані: Х