Пользователь криптогаманца потерял более 1,76 миллиона долларов в стейблкоине USDC, подписав одну транзакцию. Инцидент произошел не в результате взлома сервиса, а из-за компрометации устройства пользователя, что дало злоумышленникам возможность полностью контролировать его операции.
Об этом сообщает ProIT
Как произошла атака и какие механизмы использовались
По информации экспертов по безопасности GoPlus, хакеры воспользовались механизмом Permit — это тип транзакции, который позволяет стороннему адресату получить право управлять токенами без непосредственного перевода. После подписания такого разрешения все средства были списаны с кошелька жертвы. Специалисты идентифицировали четыре адреса, связанные с выводом активов.
Детальный анализ показал, что основной причиной инцидента стала инфекция устройства, вероятно, вредоносным программным обеспечением. Подобный доступ позволяет злоумышленникам изменять содержимое веб-страниц, подменять интерфейсы криптосервисов и перехватывать ввод данных. В результате этого пользователь фактически взаимодействует с поддельной средой и может подтверждать действия, которые не соответствуют реальным операциям. Эксперты подчеркивают, что в таких случаях уничтожается «корень доверия» — базовый уровень безопасности, на котором основывается работа некостодиальных кошельков.
“Похоже, что в этом случае именно так и произошло: компьютер или телефон пользователя длительное время находился под контролем вредоносного ПО. В такой ситуации не имеет значения, какой именно кошелек используется — он в любом случае будет небезопасным”, — заявили в GoPlus.
Рекомендации по защите и рост фишинговых атак
В компании OKX отдельно отметили, что этот случай не связан с уязвимостью их Web3-кошелька. Модель самокастодиального хранения предполагает хранение приватных ключей только на устройстве пользователя, однако при полном контроле над устройством это преимущество нивелируется. Похожие риски касаются и других популярных решений, таких как MetaMask и Trust Wallet.
Специалисты подчеркивают, что при заражении системы злоумышленники получают возможность отслеживать нажатия клавиш, подписывать транзакции и изменять содержимое сайтов в режиме реального времени. Это делает неэффективными классические меры защиты. Рекомендации включают избегание переходов по подозрительным ссылкам, отказ от установки программ из непроверенных источников, тщательную проверку содержания транзакций перед подтверждением и отказ от переводов на неизвестные адреса без дополнительной проверки. Также рекомендуется использовать специализированные инструменты, которые могут выявлять фишинговые сайты и рискованные подписи еще до их подтверждения.
Подобные атаки с использованием Permit уже неоднократно фиксировались и имеют системный характер. Например, в декабре 2025 года пользователь потерял 440 358 долларов в USDC после подписания фейкового разрешения, которое открыло злоумышленнику полный доступ к токенам. По данным Scam Sniffer, такие схемы основываются на подмене интерфейсов или создании поддельных dApp, когда подпись выглядит как стандартное действие, но фактически предоставляет доступ к активам без дополнительных подтверждений.
Аналитики отмечают значительный рост таких инцидентов: только в ноябре 2025 года потери от фишинговых атак в криптосекторе достигли 7,77 миллиона долларов, что на 137% больше, чем в предыдущем месяце. Отдельные случаи превышали 1 миллион долларов. Также фиксируются сложные сценарии с отложенным выполнением — например, один из пользователей потерял более 908 тысяч долларов в USDC из-за атаки, которая была активирована лишь через 458 дней после первичной взаимодействия.