Компанія з ончейн-безпеки CertiK зафіксувала інцидент із виведенням коштів через старий дозвіл у гаманці: експлойт проксі-контракту 0x0689…4B43 призвів до втрати близько $340 тис. у USDC. Необачний клієнт залишив дозвіл понад 5 років тому на фішинговому ресурсі.
Читайте также: “Я почав займатися трейдингом у 9 років, а зараз наш щоденний обіг $1 млрд”, – 22-річний засновник GoQuant
За даними аналітиків, користувач підписав дозвіл на витрати токенів ще 2 жовтня 2020 року, йшлося про схвалення операцій з USDC за фішинговим посиланням. Після цього власник гаманця забув про нього, а зловмисник — ні: він роками не чіпав адресу та просто чекав, поки на ній з’явиться суттєвий баланс. Дочекався — і врешті провів одну операцію, забравши всі доступні стейблкоїни.
Механізм подібних атак базується на стандартній логіці ERC-20: підписаний approval діє доти, доки його не відкликано, що дозволяє шкідливим контрактам використовувати операцію виведення — так званий transferFrom — без додаткового підтвердження власника. Тому забуті дозволи стають довгостроковим ризиком, особливо для стейблкоїнів та ліквідних активів. CertiK наголошує, що “disconnect wallet” не скасовує доступи — approvals зберігаються на рівні блокчейна.
Схожі інциденти траплялися й раніше. У серпні 2025 року користувач втратив $908 551 у USDC через “відкладене” списання: шкідливий approval було підписано 30 квітня 2024 року, а drain стався через 458 днів, коли на гаманці з’явився майже $1 млн. Атакер, пов’язаний із pink-drainer.eth, вивів усі кошти однією операцією. Scam Sniffer після цього окремо закликав користувачів відкликати старі дозволи, підкреслюючи, що гігієна approvals напряму визначає рівень безпеки.
Читайте также: MetaMask додав у гаманець прогнози Polymarket та страховку транзакцій до $10 000
У травні 2024-го подібна логіка дозволила атакувати протокол Hedgey Finance: через помилку не відкликався USDC-approval, що дало змогу через ту ж transferFrom вивести понад 1,3 млн USDC та інші токени, які були продані приблизно на $600 тис. До атаки приєдналися копікети. У квітні 2024 року Magpie Protocol після експлойту публічно наголосила про важливість відкликання approvals у кількох мережах, щоб уникнути подальших втрат.
Фахівці радять регулярно перевіряти дозволи через Revoke.cash чи інші інструменти й видаляти доступи для контрактів, якими не користуються. Усі кейси демонструють один висновок: навіть одноразовий підпис на фішинговому ресурсі може залишатися активним роками та спрацьовувати саме тоді, коли на гаманці з’являється значний баланс. Щодо фішингу слід бути максимально обережним: на тлі зростання вартості активів та збільшення кількості відкладених drain-атак аудит permissions має стати базовою практикою ончейн-користувачів.
Джерело: X
Читайте также: У продажу з’явилося кільце Moodring, яке транслює рухи криптовалютних ринків на палець
