Фишинг на миллион: Ethereum-кошелек потерял 999 999 USDT

Ethereum-пользователь потерял почти миллион USDT после фишинговой подписи


Фишинг на миллион: Ethereum-пользователь потерял 999 999 USDT за одну подпись​

В сети Ethereum неизвестный пользователь потерял 999 999 USDT после того, как подписал фишинговую транзакцию. На инцидент обратили внимание аналитики Scam Sniffer: по их данным, жертва одобрила вредоносный token approval, после чего злоумышленники получили возможность списать средства. Кража прошла тремя переводами - 639 999, 159 999 и 200 000 USDT, а адрес получателя уже отмечен в Etherscan как фишинговый. Этот случай снова показывает слабое место Web3: кошелек может быть технически защищен, но одна невнимательная подпись способна открыть доступ к активам без взлома seed-фразы.

Что произошло с Ethereum-кошельком​

8 июля пользователь Ethereum лишился почти миллиона USDT после подписания фишинговой транзакции. Речь не о классическом взломе кошелька через украденную seed-фразу, а о разрешении, которое сам владелец подтвердил в интерфейсе.
По данным Scam Sniffer, злоумышленники получили доступ к средствам через phishing token approval. После этого они вывели почти весь баланс в три приема: 639 999 USDT, затем 159 999 USDT и еще 200 000 USDT.
Главная деталь здесь не в количестве транзакций, а в механике. Пользователь не «отправил миллион руками», а подписал действие, которое позволило другой стороне забрать токены из кошелька.


Почему подпись может быть опаснее перевода​

В крипте подпись выглядит привычно: кошелек показывает окно, пользователь нажимает подтверждение, операция уходит в сеть. Но не каждая подпись означает обычный перевод.
Иногда подпись дает смарт-контракту разрешение распоряжаться токенами. Если человек не понимает, что именно одобряет, он может открыть доступ не к одной операции, а к части баланса или даже ко всем токенам определенного типа.
Именно поэтому фраза «я ничего не переводил» не всегда спасает. В Web3 можно потерять деньги не только отправкой, но и разрешением, которое выглядит как техническое подтверждение на сайте.


Что такое token approval простыми словами​

Token approval - это разрешение, которое владелец кошелька дает контракту на работу с его токенами. В нормальной ситуации оно нужно для обмена, стейкинга, DeFi-сервиса или другой операции, где приложение должно взаимодействовать с активом.
Проблема начинается, когда разрешение получает не настоящий сервис, а фишинговый контракт. Тогда пользователь думает, что подключается к бирже, минту, airdrop или проверке кошелька, а фактически открывает доступ к USDT или другим токенам.
Фишинговая подпись в таких случаях работает как доверенность на кошелек. Внешне она может выглядеть безобидно, но последствия наступают уже после подтверждения.


Как вывели почти 1 млн USDT​

По данным ForkLog, сначала злоумышленники пытались вывести ровно 1 млн USDT через multicall-функцию, но затем списали точный остаток несколькими переводами.
Финальная кража прошла тремя транзакциями: 639 999 USDT, 159 999 USDT и 200 000 USDT. В сумме это дало 999 999 USDT.
Адрес получателя в Etherscan уже помечен как фишинговый. Такая метка помогает другим пользователям и аналитикам видеть, что адрес связан с подозрительной активностью, но для пострадавшего она обычно появляется уже после потери средств.


Почему жертва могла не заметить подвох​

Фишинг в Web3 давно ушел от грубых сайтов с ошибками в дизайне. Поддельная страница может выглядеть как биржа, DeFi-панель, NFT-проект, сервис проверки токенов или знакомый интерфейс для подключения кошелька.
Пользователь видит привычную кнопку, спешит завершить операцию и подтверждает подпись в кошельке. Если интерфейс скрывает реальный смысл действия или человек не читает детали, вредоносное разрешение проходит так же легко, как обычный вход на сайт.
Особенно опасны ситуации, где есть давление временем: «срочный claim», «последний шанс», «проверка безопасности», «обновление доступа», «листинг скоро закрывается». Спешка - главный союзник фишинга.


Почему это не единичный эпизод​

Похожий случай произошел 4 июля: владелец другого кошелька потерял $1,65 млн после подключения к поддельной бирже и подписания вредоносного контракта.
Там логика была той же: пользователь сам дал разрешение, а затем автоматизированный механизм вывел средства. Это показывает, что атаки все чаще бьют не по коду блокчейна, а по вниманию владельца кошелька.
Для злоумышленника такой путь удобнее, чем взлом инфраструктуры. Не нужно ломать Ethereum или USDT-контракт, если можно убедить человека подписать нужное действие самостоятельно.


Что показывает отчет CertiK за первое полугодие 2026 года​

По оценке CertiK, за первые шесть месяцев 2026 года Web3-индустрия потеряла более $1,31 млрд в 344 инцидентах безопасности. После учета замороженных и возвращенных средств чистые потери составили около $1,2 млрд.
Фишинг стал вторым по ущербу направлением: $366,3 млн по 63 инцидентам. При этом количество фишинговых случаев снизилось, но средний удар стал тяжелее: злоумышленники меньше распыляются и чаще целятся в кошельки с крупными суммами.
Это важный сдвиг. Массовые рассылки никуда не исчезли, но главный ущерб теперь часто дают точечные атаки на людей и структуры, которые контролируют значимые активы.


Почему крупные кошельки становятся главной целью​

Кошелек с крупным балансом ценен не только суммой. Он часто связан с DeFi-позициями, стейблкоинами, OTC-расчетами, рабочими фондами, treasury-операциями или личными накоплениями человека, который давно в рынке.
Атакующий может заранее изучать адрес, историю транзакций, привычные сервисы, токены, активность в социальных сетях и окружение владельца. После этого фишинг выглядит не случайной ссылкой, а почти персональным предложением.
Поэтому чем больше денег в кошельке, тем меньше должна быть вера в «быстро подпишу и пойду дальше». Крупный баланс требует отдельной процедуры проверки каждого разрешения.


Что нужно проверять перед подписью​

Перед подтверждением важно смотреть не только на название сайта, но и на смысл действия. Если кошелек просит approval, permit, setApprovalForAll или другое разрешение на работу с токенами, это не обычный вход и не простая авторизация.
Нужно проверить домен, контракт, сеть, сумму лимита, токен, которому выдается разрешение, и адрес получателя. Если интерфейс показывает непонятные данные, скрывает детали или торопит пользователя, операцию лучше остановить.
Для крупных сумм нормальная практика - сначала проверить действие с отдельного чистого кошелька без баланса. Основной кошелек не должен быть местом для экспериментов с новыми сайтами.


Почему расширения и антискам-инструменты помогают не всегда​

Scam Sniffer советует использовать инструменты для обнаружения скама, и это разумная часть защиты. Такие расширения могут подсветить подозрительный домен, контракт, approval или известный фишинговый адрес.
Но инструмент не заменяет голову. Новый фишинговый адрес может появиться раньше, чем попадет в базы. Поддельный сайт может использовать свежую инфраструктуру, а вредоносная подпись может быть замаскирована под обычную операцию.
Поэтому расширения, симуляторы транзакций и метки обозревателей стоит воспринимать как дополнительный слой. Последнее решение все равно принимает владелец кошелька.


Как хранить крупные суммы безопаснее​

Крупные суммы не стоит держать в горячем кошельке, который регулярно подключается к сайтам, airdrop-страницам, DeFi-интерфейсам и новым приложениям. Для ежедневных действий нужен отдельный рабочий кошелек с ограниченным балансом.
Основной капитал лучше разделять: холодное хранение, отдельные адреса под разные задачи, минимальные лимиты approvals, регулярная проверка старых разрешений и жесткое правило - не подписывать ничего с основного адреса без паузы.
Если кошелек содержит сотни тысяч долларов, процедура должна быть ближе к корпоративной безопасности, чем к бытовому браузингу. Один клик здесь стоит дороже любого удобства.


Что делать после подозрительной подписи​

Если подпись уже сделана, действовать нужно быстро. Сначала нужно понять, был ли это обычный login-message или разрешение на токены. Если есть подозрение на approval, его надо срочно отозвать через проверенный сервис или интерфейс кошелька.
Затем стоит вывести оставшиеся активы на чистый адрес, если это безопасно и если злоумышленник еще не получил доступ к ним. Важно не продолжать работу с тем же фишинговым сайтом и не подписывать дополнительные «отмены», которые он предлагает.
После этого нужно сохранить хеши транзакций, адреса, домены, скриншоты и историю действий. Эти данные пригодятся для аналитиков, бирж, блокчейн-разметки и возможных обращений в правоохранительные органы.


Почему фишинг бьет по доверию к Web3​

Web3 продает идею самостоятельного контроля над активами, но вместе с контролем пользователь получает полную ответственность за подписи. Банк может отменить карту, заморозить спорную операцию или включить антифрод. Блокчейн обычно работает иначе: если разрешение подписано и транзакция прошла, откатить ее почти невозможно.
Именно поэтому фишинг выглядит особенно болезненно. Технически сеть может работать корректно, контракт может выполнять подписанное действие, а пользователь все равно теряет деньги из-за обмана в интерфейсе.
Для массового рынка это серьезный барьер. Пока обычный человек не понимает разницу между входом, переводом, approval и permit, фишинговые окна будут оставаться одной из самых дорогих угроз.


Итог​

История с потерей 999 999 USDT в Ethereum - это не просто очередной взлом из новостей. Это пример того, как одна подпись может стать ключом к кошельку, если пользователь не проверяет, кому и какие права выдает.
Кража прошла тремя переводами, адрес получателя уже помечен как фишинговый, а Scam Sniffer снова напоминает о проверке каждого запроса на подпись. Для владельцев крупных сумм главный вывод жесткий: основной кошелек не должен подписывать непонятные approvals, а любая срочная транзакция должна сначала пережить паузу, проверку домена, контракта и лимитов доступа.



Редакция PavRC
🔄 Bitcoin Mix — Анонимное смешивание BTC с 2017 года

🌐 Официальный сайт
🧅 TOR-зеркало
✉️ [email protected]

No logs • SegWit/bech32 • Мгновенные переводы • Динамическая комиссия
TOR-доступ рекомендуется для максимальной анонимности

Связанные темы

  • Reading time 6 min read
  • Просмотры142
  • Reading time 6 min read
  • Просмотры252
  • Reading time 7 min read
  • Просмотры326
  • Reading time 9 min read
  • Просмотры476
  • Reading time 10 min read
  • Просмотры370
  • Reading time 5 min read
  • Просмотры507

Комментарии

Нет комментариев для отображения

Информация

Автор
Satoshi Nakamoto
Опубликовано
Reading time
7 min read
Просмотры
9

Больше от Satoshi Nakamoto

Сверху Снизу