Подборка кейсов КоинКит за сентябрь 2025
Аналитический обзор инцидентов сентября показывает, что фишинг и социальная инженерия остаются главным инструментом хакеров, а уязвимости в смарт-контрактах продолжают приводить к миллионным потерям.
Фишинговая атака на Safe Wallet: украдено $3.047 млн USDC
11 сентября 2025 года анонимный инвестор потерял $3.047 млн USDC в результате изощрённой атаки на мультисиг-кошелёк Safe (ранее Gnosis Safe).
Что произошло?Хакер создал поддельный смарт-контракт, маскируясь под Request Finance. Контракт был верифицирован на Etherscan, что создало иллюзию легитимности. Жертва подписала батч-транзакцию, где среди рутинных платежей скрывалась аппрувка на перевод USDC.
Средства были моментально конвертированы в ETH через Uniswap и отправлены в Tornado Cash.
Ключевые факты:
- Потеря: $3.047 млн USDC
- Адрес жертвы: 0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139
- Адрес злоумышленника: 0xf0a6c5b65a81f0e8ddb2d14e2edcf7d10c928020
Фишинг-контракты становятся массовой проблемой — по данным PeckShield, они составляют 25% всех фишинговых атак в Ethereum-экосистеме.
Смотрите наш полный разбор движения украденных средств с визуализацией транзакций в блоге
Взлом BetterBank: баг в бонусах обошёлся в $5 млн
27 августа 2025 года кредитный протокол BetterBank на PulseChain стал жертвой атаки на систему бонусных начислений.
Что произошло? Хакеры создали поддельные торговые пары с токеном FAVOR и «пустышкой», чтобы фармить токены ESTEEM. Искусственно увеличивая объёмы торгов, они добились начисления огромных бонусов, которые вывели на сумму ~$5 млн.
Движение средств:
- Адрес атаки: 0xf3ba0d57129efd8111e14e78c674c7c10254acae
- На момент фиксации у хакеров было 215 ETH (~$983,000), часть из которых отправлена в Tornado Cash.
Реакция проекта:
- Протокол отключён;
- Часть убытков покрыта резервами;
- 550 млн pDAI возвращены в смарт-контракт после «договора» с хакером.
Ошибка была отмечена аудиторами еще за долго до атаки, но оценена как «низкоприоритетная». Этот случай подчёркивает, что игнорирование мелких багов в DeFi может обернуться катастрофой.
Смотрите наш полный разбор движения украденных средств с визуализацией транзакций в блоге
Кража $91 млн через фейковый сайт
19 августа 2025 года инвестор потерял 783 BTC ($91 млн) из-за социальной инженерии.
Что произошло? Мошенники представились поддержкой криптобиржи и поставщика аппаратных кошельков. Жертва перешла на поддельный сайт, где ввела seed-фразу.
Схема атаки:
- Контакт с жертвой от «службы поддержки»;
- Перенаправление на фейковый сайт;
- Кража seed-фразы;
- Вывод BTC через Wasabi Wallet и миксеры.
Движение средств:
- Адрес кражи: bc1qyxyk4qgyrkx4rjwsuevug04wahdk6uf95mqlej
- 783 BTC были раздроблены и распределены через сеть адресов, часть попала в BTC-миксеры.
Даже аппаратные кошельки не спасают, если жертва добровольно раскрывает seed-фразу. Социальная инженерия остаётся главным оружием мошенников.
Смотрите наш полный разбор движения украденных средств с визуализацией транзакций в блоге
Итог
Фишинговые контракты, баги в бонусах и банальные фейковые сайты показывают, что криптоиндустрия по-прежнему проигрывает там, где всё решает человеческое внимание. Tornado Cash, миксеры и Wasabi Wallet стирают следы, а вернуть деньги почти невозможно. Единственный работающий рецепт остаётся прежним — проверять происхождение средств и чистоту адресов до и после каждой транзакции. В крипте по-прежнему нет второго шанса, и одно невнимательное действие превращает миллионы в пыль.
Украли криптовалюту? Напиши нам, задайте все интересующие вопросы и опишите свою ситуацию, а мы проведем первичный анализ и дадим рекомендации.