Компанія з ончейн-безпеки CertiK зафіксувала інцидент із виведенням коштів через старий дозвіл у гаманці: експлойт проксі-контракту 0x0689…4B43 призвів до втрати близько $340 тис. у USDC. Необачний клієнт залишив дозвіл понад 5 років тому на фішинговому ресурсі.

За даними аналітиків, користувач підписав дозвіл на витрати токенів ще 2 жовтня 2020 року, йшлося про схвалення операцій з USDC за фішинговим посиланням. Після цього власник гаманця забув про нього, а зловмисник — ні: він роками не чіпав адресу та просто чекав, поки на ній з’явиться суттєвий баланс. Дочекався — і врешті провів одну операцію, забравши всі доступні стейблкоїни.

Механізм подібних атак базується на стандартній логіці ERC-20: підписаний approval діє доти, доки його не відкликано, що дозволяє шкідливим контрактам використовувати операцію виведення — так званий transferFrom — без додаткового підтвердження власника. Тому забуті дозволи стають довгостроковим ризиком, особливо для стейблкоїнів та ліквідних активів. CertiK наголошує, що “disconnect wallet” не скасовує доступи — approvals зберігаються на рівні блокчейна.

Схожі інциденти траплялися й раніше. У серпні 2025 року користувач втратив $908 551 у USDC через “відкладене” списання: шкідливий approval було підписано 30 квітня 2024 року, а drain стався через 458 днів, коли на гаманці з’явився майже $1 млн. Атакер, пов’язаний із pink-drainer.eth, вивів усі кошти однією операцією. Scam Sniffer після цього окремо закликав користувачів відкликати старі дозволи, підкреслюючи, що гігієна approvals напряму визначає рівень безпеки.

У травні 2024-го подібна логіка дозволила атакувати протокол Hedgey Finance: через помилку не відкликався USDC-approval, що дало змогу через ту ж transferFrom вивести понад 1,3 млн USDC та інші токени, які були продані приблизно на $600 тис. До атаки приєдналися копікети. У квітні 2024 року Magpie Protocol після експлойту публічно наголосила про важливість відкликання approvals у кількох мережах, щоб уникнути подальших втрат.

Фахівці радять регулярно перевіряти дозволи через Revoke.cash чи інші інструменти й видаляти доступи для контрактів, якими не користуються. Усі кейси демонструють один висновок: навіть одноразовий підпис на фішинговому ресурсі може залишатися активним роками та спрацьовувати саме тоді, коли на гаманці з’являється значний баланс. Щодо фішингу слід бути максимально обережним: на тлі зростання вартості активів та збільшення кількості відкладених drain-атак аудит permissions має стати базовою практикою ончейн-користувачів.

Джерело: X