Фишинг на миллион: Ethereum-пользователь потерял 999 999 USDT за одну подпись
В сети Ethereum неизвестный пользователь потерял 999 999 USDT после того, как подписал фишинговую транзакцию. На инцидент обратили внимание аналитики Scam Sniffer: по их данным, жертва одобрила вредоносный token approval, после чего злоумышленники получили возможность списать средства. Кража прошла тремя переводами - 639 999, 159 999 и 200 000 USDT, а адрес получателя уже отмечен в Etherscan как фишинговый. Этот случай снова показывает слабое место Web3: кошелек может быть технически защищен, но одна невнимательная подпись способна открыть доступ к активам без взлома seed-фразы.Что произошло с Ethereum-кошельком
8 июля пользователь Ethereum лишился почти миллиона USDT после подписания фишинговой транзакции. Речь не о классическом взломе кошелька через украденную seed-фразу, а о разрешении, которое сам владелец подтвердил в интерфейсе.По данным Scam Sniffer, злоумышленники получили доступ к средствам через phishing token approval. После этого они вывели почти весь баланс в три приема: 639 999 USDT, затем 159 999 USDT и еще 200 000 USDT.
Главная деталь здесь не в количестве транзакций, а в механике. Пользователь не «отправил миллион руками», а подписал действие, которое позволило другой стороне забрать токены из кошелька.
Почему подпись может быть опаснее перевода
В крипте подпись выглядит привычно: кошелек показывает окно, пользователь нажимает подтверждение, операция уходит в сеть. Но не каждая подпись означает обычный перевод.Иногда подпись дает смарт-контракту разрешение распоряжаться токенами. Если человек не понимает, что именно одобряет, он может открыть доступ не к одной операции, а к части баланса или даже ко всем токенам определенного типа.
Именно поэтому фраза «я ничего не переводил» не всегда спасает. В Web3 можно потерять деньги не только отправкой, но и разрешением, которое выглядит как техническое подтверждение на сайте.
Что такое token approval простыми словами
Token approval - это разрешение, которое владелец кошелька дает контракту на работу с его токенами. В нормальной ситуации оно нужно для обмена, стейкинга, DeFi-сервиса или другой операции, где приложение должно взаимодействовать с активом.Проблема начинается, когда разрешение получает не настоящий сервис, а фишинговый контракт. Тогда пользователь думает, что подключается к бирже, минту, airdrop или проверке кошелька, а фактически открывает доступ к USDT или другим токенам.
Фишинговая подпись в таких случаях работает как доверенность на кошелек. Внешне она может выглядеть безобидно, но последствия наступают уже после подтверждения.
Как вывели почти 1 млн USDT
По данным ForkLog, сначала злоумышленники пытались вывести ровно 1 млн USDT через multicall-функцию, но затем списали точный остаток несколькими переводами.Финальная кража прошла тремя транзакциями: 639 999 USDT, 159 999 USDT и 200 000 USDT. В сумме это дало 999 999 USDT.
Адрес получателя в Etherscan уже помечен как фишинговый. Такая метка помогает другим пользователям и аналитикам видеть, что адрес связан с подозрительной активностью, но для пострадавшего она обычно появляется уже после потери средств.
Почему жертва могла не заметить подвох
Фишинг в Web3 давно ушел от грубых сайтов с ошибками в дизайне. Поддельная страница может выглядеть как биржа, DeFi-панель, NFT-проект, сервис проверки токенов или знакомый интерфейс для подключения кошелька.Пользователь видит привычную кнопку, спешит завершить операцию и подтверждает подпись в кошельке. Если интерфейс скрывает реальный смысл действия или человек не читает детали, вредоносное разрешение проходит так же легко, как обычный вход на сайт.
Особенно опасны ситуации, где есть давление временем: «срочный claim», «последний шанс», «проверка безопасности», «обновление доступа», «листинг скоро закрывается». Спешка - главный союзник фишинга.
Почему это не единичный эпизод
Похожий случай произошел 4 июля: владелец другого кошелька потерял $1,65 млн после подключения к поддельной бирже и подписания вредоносного контракта.Там логика была той же: пользователь сам дал разрешение, а затем автоматизированный механизм вывел средства. Это показывает, что атаки все чаще бьют не по коду блокчейна, а по вниманию владельца кошелька.
Для злоумышленника такой путь удобнее, чем взлом инфраструктуры. Не нужно ломать Ethereum или USDT-контракт, если можно убедить человека подписать нужное действие самостоятельно.
Что показывает отчет CertiK за первое полугодие 2026 года
По оценке CertiK, за первые шесть месяцев 2026 года Web3-индустрия потеряла более $1,31 млрд в 344 инцидентах безопасности. После учета замороженных и возвращенных средств чистые потери составили около $1,2 млрд.Фишинг стал вторым по ущербу направлением: $366,3 млн по 63 инцидентам. При этом количество фишинговых случаев снизилось, но средний удар стал тяжелее: злоумышленники меньше распыляются и чаще целятся в кошельки с крупными суммами.
Это важный сдвиг. Массовые рассылки никуда не исчезли, но главный ущерб теперь часто дают точечные атаки на людей и структуры, которые контролируют значимые активы.
Почему крупные кошельки становятся главной целью
Кошелек с крупным балансом ценен не только суммой. Он часто связан с DeFi-позициями, стейблкоинами, OTC-расчетами, рабочими фондами, treasury-операциями или личными накоплениями человека, который давно в рынке.Атакующий может заранее изучать адрес, историю транзакций, привычные сервисы, токены, активность в социальных сетях и окружение владельца. После этого фишинг выглядит не случайной ссылкой, а почти персональным предложением.
Поэтому чем больше денег в кошельке, тем меньше должна быть вера в «быстро подпишу и пойду дальше». Крупный баланс требует отдельной процедуры проверки каждого разрешения.
Что нужно проверять перед подписью
Перед подтверждением важно смотреть не только на название сайта, но и на смысл действия. Если кошелек просит approval, permit, setApprovalForAll или другое разрешение на работу с токенами, это не обычный вход и не простая авторизация.Нужно проверить домен, контракт, сеть, сумму лимита, токен, которому выдается разрешение, и адрес получателя. Если интерфейс показывает непонятные данные, скрывает детали или торопит пользователя, операцию лучше остановить.
Для крупных сумм нормальная практика - сначала проверить действие с отдельного чистого кошелька без баланса. Основной кошелек не должен быть местом для экспериментов с новыми сайтами.
Почему расширения и антискам-инструменты помогают не всегда
Scam Sniffer советует использовать инструменты для обнаружения скама, и это разумная часть защиты. Такие расширения могут подсветить подозрительный домен, контракт, approval или известный фишинговый адрес.Но инструмент не заменяет голову. Новый фишинговый адрес может появиться раньше, чем попадет в базы. Поддельный сайт может использовать свежую инфраструктуру, а вредоносная подпись может быть замаскирована под обычную операцию.
Поэтому расширения, симуляторы транзакций и метки обозревателей стоит воспринимать как дополнительный слой. Последнее решение все равно принимает владелец кошелька.
Как хранить крупные суммы безопаснее
Крупные суммы не стоит держать в горячем кошельке, который регулярно подключается к сайтам, airdrop-страницам, DeFi-интерфейсам и новым приложениям. Для ежедневных действий нужен отдельный рабочий кошелек с ограниченным балансом.Основной капитал лучше разделять: холодное хранение, отдельные адреса под разные задачи, минимальные лимиты approvals, регулярная проверка старых разрешений и жесткое правило - не подписывать ничего с основного адреса без паузы.
Если кошелек содержит сотни тысяч долларов, процедура должна быть ближе к корпоративной безопасности, чем к бытовому браузингу. Один клик здесь стоит дороже любого удобства.
Что делать после подозрительной подписи
Если подпись уже сделана, действовать нужно быстро. Сначала нужно понять, был ли это обычный login-message или разрешение на токены. Если есть подозрение на approval, его надо срочно отозвать через проверенный сервис или интерфейс кошелька.Затем стоит вывести оставшиеся активы на чистый адрес, если это безопасно и если злоумышленник еще не получил доступ к ним. Важно не продолжать работу с тем же фишинговым сайтом и не подписывать дополнительные «отмены», которые он предлагает.
После этого нужно сохранить хеши транзакций, адреса, домены, скриншоты и историю действий. Эти данные пригодятся для аналитиков, бирж, блокчейн-разметки и возможных обращений в правоохранительные органы.
Почему фишинг бьет по доверию к Web3
Web3 продает идею самостоятельного контроля над активами, но вместе с контролем пользователь получает полную ответственность за подписи. Банк может отменить карту, заморозить спорную операцию или включить антифрод. Блокчейн обычно работает иначе: если разрешение подписано и транзакция прошла, откатить ее почти невозможно.Именно поэтому фишинг выглядит особенно болезненно. Технически сеть может работать корректно, контракт может выполнять подписанное действие, а пользователь все равно теряет деньги из-за обмана в интерфейсе.
Для массового рынка это серьезный барьер. Пока обычный человек не понимает разницу между входом, переводом, approval и permit, фишинговые окна будут оставаться одной из самых дорогих угроз.
Итог
История с потерей 999 999 USDT в Ethereum - это не просто очередной взлом из новостей. Это пример того, как одна подпись может стать ключом к кошельку, если пользователь не проверяет, кому и какие права выдает.Кража прошла тремя переводами, адрес получателя уже помечен как фишинговый, а Scam Sniffer снова напоминает о проверке каждого запроса на подпись. Для владельцев крупных сумм главный вывод жесткий: основной кошелек не должен подписывать непонятные approvals, а любая срочная транзакция должна сначала пережить паузу, проверку домена, контракта и лимитов доступа.
Редакция PavRC
🔄 Bitcoin Mix — Анонимное смешивание BTC с 2017 года
🌐 Официальный сайт
🧅 TOR-зеркало
✉️ [email protected]
No logs • SegWit/bech32 • Мгновенные переводы • Динамическая комиссия
TOR-доступ рекомендуется для максимальной анонимности
🌐 Официальный сайт
🧅 TOR-зеркало
✉️ [email protected]
No logs • SegWit/bech32 • Мгновенные переводы • Динамическая комиссия
TOR-доступ рекомендуется для максимальной анонимности