Użytkownik Ethereum stracił 999 999 USDT
Jeden podpis wystarczył, by użytkownik Ethereum stracił 999 999 USDT bez przejęcia kluczy prywatnych.
Użytkownik kryptowalut stracił 999 999 USDT po zatwierdzeniu fałszywej zgody na dostęp do swoich tokenów w sieci Ethereum. Według danych Etherscan pieniądze zostały podzielone na trzy transakcje i wyprowadzone z portfela zaledwie kilka minut po złożeniu podpisu. Tożsamość poszkodowanego nie została ujawniona.
W tym przypadku haker nie ukradł hasła ani kluczy prywatnych do portfela. Zamiast tego nakłonił użytkownika do podpisania zgody, która pozwoliła złośliwemu smart kontraktowi zarządzać znajdującymi się w portfelu tokenami USDT.
To ważna różnica. W sieci Ethereum podpis nie zawsze oznacza zgodę na wykonanie jednej operacji. Może również przyznać aplikacji prawo do późniejszego dysponowania określonymi tokenami bez ponownego pytania właściciela o zgodę.
Poszkodowany wcześniej nadał dla USDT nieograniczony limit takiego dostępu. Gdy podpisał fałszywą prośbę, oszust natychmiast wykorzystał otrzymane uprawnienia i przelał całą kwotę na własne adresy. Do wykonania kradzieży użył funkcji Multicall, która pozwala połączyć kilka operacji w jednej transakcji. Środki zostały od razu podzielone na trzy części.
Ponieważ klucze prywatne nigdy nie zostały przejęte, standardowe zabezpieczenia portfeli nie wykryły ataku. Z punktu widzenia portfela wszystko wyglądało jak operacja wykonana za zgodą właściciela.
To kolejny przykład, że stare zgody na dostęp do tokenów mogą być równie niebezpieczne jak kliknięcie w link phishingowy. Takie uprawnienia pozostają aktywne do momentu ich ręcznego cofnięcia.
Podobne oszustwa zdarzają się regularnie. W maju 2026 roku fałszywa strona podszywająca się pod Uniswap doprowadziła do utraty około 400 tys. dolarów z kilku portfeli. W tym miesiącu użytkownik HyperSwap stracił środki po zaakceptowaniu fałszywego airdropu. Z kolei w styczniu podobna kampania związana z tokenem OpenClaw wykorzystywała fałszywe komunikaty o dwuskładnikowym uwierzytelnianiu.
Twórcy portfeli dodają kolejne ostrzeżenia, jednak wciąż najważniejsze jest dokładne sprawdzanie, na jakie uprawnienia użytkownik wyraża zgodę przed złożeniem podpisu.
Obserwuj nas na: