Не злам, а компрометація: злочинці вкрали з криптогаманця понад $1,7 млн у стейблкоїнах USDC

Пользователь криптокошелька потерял около $1,76 млн в стейблкоине USDC после подписания одной транзакции. Инцидент произошел не из-за взлома сервиса, а из-за компрометации его устройства, что позволило злоумышленникам получить полный контроль над операциями.

По данным специалистов по безопасности GoPlus, атака была реализована через механизм Permit — тип транзакции, который позволяет стороннему адресу получить право на управление токенами без прямого перевода. После подписания такого разрешения средства были списаны с кошелька жертвы. Было зафиксировано 4 адреса, связанных с выводом активов.

Расследование показало, что ключевой причиной стала инфекция устройства — вероятно, из-за вредоносного программного обеспечения. Такой доступ позволяет атакующим изменять содержимое веб-страниц, подменять интерфейсы криптосервисов и перехватывать ввод данных. В результате пользователь фактически взаимодействует с поддельной средой и подтверждает действия, которые не соответствуют отраженной информации. Эксперты отмечают, что в подобных случаях разрушается так называемый «корень доверия» — базовый уровень безопасности, на котором держится работа некастодиальных кошельков.

«Похоже, что в этом случае именно так и произошло: компьютер или телефон пользователя длительное время находился под контролем вредоносного ПО. В такой ситуации не имеет значения, какой именно кошелек используется — он в любом случае будет опасным», — заявили в GoPlus.

В компании OKX отдельно подчеркнули, что инцидент не связан с уязвимостью их Web3-кошелька. По их словам, модель self-custody предполагает хранение приватных ключей исключительно на стороне пользователя, однако в случае полного контроля над устройством это преимущество теряет значение. Аналогичные риски касаются и других популярных решений, включая MetaMask и Trust Wallet.

Специалисты отмечают, что в условиях заражения системы злоумышленники могут отслеживать нажатия клавиш, получать доступ к подписанию транзакций и изменять содержимое сайтов в режиме реального времени. Это делает классические меры защиты неэффективными. Среди базовых рекомендаций — избегать переходов по неизвестным ссылкам, не устанавливать программы из непроверенных источников, внимательно проверять содержание транзакций перед подтверждением и не отправлять средства на адреса без предварительной верификации. Также пользователям советуют использовать специализированные инструменты, которые способны выявлять фишинговые сайты и рискованные подписи до их подтверждения.

Подобные атаки с использованием Permit уже неоднократно фиксировались и носят системный характер. В частности, в декабре 2025 года один из пользователей потерял $440 358 в USDC после подписания поддельного разрешения, которое предоставило злоумышленнику полный контроль над токенами. По данным Scam Sniffer, такие схемы базируются на подмене интерфейсов или создании фейковых dApp, где подпись выглядит как стандартная операция, но фактически открывает доступ к активам без дальнейших подтверждений.

Аналитики также отмечают резкий рост подобных инцидентов: только за ноябрь 2025 года потери от фишинговых атак в криптосекторе достигли $7,77 млн, что на 137% больше, чем месяцем ранее, при этом самые крупные единичные кейсы превышали $1 млн. Отдельно фиксируются сложные сценарии с отложенным исполнением — например, случай, когда пользователь потерял более $908 тыс. в USDC из-за атаки, которая активировалась только через 458 дней после первичного взаимодействия.