Підпис на мільйон: користувач втратив $999 999 в Ethereum через фішинг

Користувач мережі Ethereum втратив 999 999 USDT, підписавши лише один фішинговий запит на схвалення транзакції. Про інцидент повідомив сервіс з відстеження шахрайства в Web3 Scam Sniffer — гаманець спорожнили за лічені секунди, хоча приватні ключі жертви залишилися недоторканими.

Читайте также: Енді Серкіс розповів про використання штучного інтелекту у “Володарі перснів: Полювання на Ґолума”


Як відбулася атака

За даними Scam Sniffer, атака відбулася минулого тижня. Зловмисники спершу спробували вивести рівно $1 млн через функцію Multicall, яка дозволяє об’єднати кілька дій в одній транзакції. Спроба провалилася — на балансі гаманця не вистачало приблизно $631 до круглої суми.

Однак уже через 36 секунд скрипт перерахував залишок і вивів решту коштів трьома окремими транзакціями — 639 999, 159 999 і 200 000 USDT. Транзакції потрапили у блоки Ethereum 25489460 і 25489463. Адреса жертви — 0x8c94…530f89, отримувач коштів на Etherscan уже позначений як фішинговий.

Що таке фішинг токен-апрувалів

Ця схема не потребує від зловмисників доступу до приватного ключа чи сід-фрази жертви. Натомість вони експлуатують стандартну функцію токенів — “апрув” (approval), яка дозволяє смарт-контракту витрачати певну кількість токенів із гаманця користувача. Це звична дія у DeFi, тож фішингові сайти маскують шкідливий запит під щось безпечне: фейковий airdrop, мінт NFT або запит на “верифікацію гаманця”.


Коли жертва підписує такий запит, вона фактично надає контракту зловмисника необмежений дозвіл розпоряджатися своїми токенами. Дозвіл лишається активним, доки власник гаманця не відкличе його самостійно — тож атака може статися не миттєво, а через дні чи тижні після підписання.

Читайте также: Мессі поїв — Канзас-Сіті наситився: як залишки з готелів збірних стали безкоштовними вечерями для тисяч сімей

Це не перший подібний випадок

Подібні атаки трапляються регулярно. У травні 2026 фейковий сайт Uniswap виманив у користувачів близько $400 тис. після підписання шкідливого контракту, а в червні через фальшивий запит на airdrop був спорожнений гаманець користувача HyperSwap. На початку липня інший власник гаманця втратив $1,65 млн, підключившись до фейкової біржі й підписавши шкідливий контракт: дослідник Раян Колман пояснив, що дозвіл надав зловмисникам необмежений доступ, який дозволив автоматичному скрипту спорожнити гаманець.

За оцінками CertiK, лише за 2025 рік фішинг-атаки завдали збитків на $723 млн у 248 інцидентах, а за першу половину 2026 року галузь зафіксувала ще $366 млн втрат від фішингу.

Чому це важливо

Фішинг токен-апрувалів залишається однією з найнедооцінених загроз у DeFi саме тому, що жертва нічого не “зламує” і не втрачає пароль — вона добровільно підписує запит, який виглядає як звична дія. Розрив між одним підписом і спорожненим гаманцем стає дедалі меншим, оскільки шахрайські скрипти автоматизуються та миттєво адаптуються до балансу жертви, як показує цей випадок із перерахунком суми за 36 секунд.

Захиститися можна кількома простими звичками: використовувати гаманець, який симулює транзакцію перед підписанням і показує, що саме вона дозволяє; регулярно перевіряти й відкликати невикористані токен-апруви через спеціальні сервіси; тримати великі суми на апаратному гаманці, який не взаємодіє з випадковими сайтами, а для airdrop і незнайомих застосунків використовувати окремий “гаманець-приманку” з мінімальним балансом. Будь-який терміновий запит на підпис, особливо під приводом “верифікації”, варто розглядати як привід для підозри, а не для швидкого кліку.

Читайте также: Залаштунки у реальності: закинутий кампус IBM притягує до себе міських сталкерів

Джерело: BeInCrypto

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *