Ця остання атака відбулася після попередніх фішингових кампаній, включаючи підроблені листи під брендом Ledger, які були надіслані клієнтам у квітні. Останнє оновлення Ethereum Pectra також представило небезпечну вразливість через EIP-7702, що дозволяє використовувати позаблокчейнові підписи, які можуть дозволити хакерам контролювати гаманці без підтвердження користувача. Це викликало серйозні занепокоєння серед дослідників безпеки, які навіть назвали загрозу критичною. На BNB Chain токен Mobius (MBU) зазнав експлуатації на $2,15 мільйона, коли зловмисний смарт-контракт вивів мільйони монет і конвертував їх у стейблкоїни.
Користувачі Ledger знову під прицілом
Постачальник апаратних гаманців Ledger підтвердив, що його сервер Discord був захищений після того, як зловмисник зламав обліковий запис модератора 11 травня. Зловмисник використав його для публікації шкідливих посилань, що мали на меті обманути користувачів, щоб вони розкрили свої фрази насіння гаманця.
Згідно з членом команди Ledger Квінтином Ботрайтом, витік було швидко локалізовано. Скомпрометований обліковий запис модератора було видалено, зловмисного бота видалено, шахрайський вебсайт було повідомлено, а всі дозволи були перевірені та заблоковані, щоб запобігти подальшому зловживанню. Однак деякі члени спільноти стверджували, що зловмисник зловживав привілеями модератора, щоб заблокувати та заглушити користувачів, які намагалися повідомити про витік, що могло затримати початкову реакцію Ledger.
Шахрайство полягало в повідомленні, яке стверджувало про нововиявлену вразливість у системах Ledger і закликало користувачів перевірити свої сіди через шахрайське посилання. Користувачів потім просили підключити свої гаманці та підписатися на фальшиві інструкції на екрані, що становило серйозний ризик втрати коштів. Хоча досі незрозуміло, чи стали якісь користувачі жертвами шахрайства, скріншоти обманних повідомлень широко розповсюджувалися на X.
Ця остання спроба фішингу відповідає тривожній тенденції. У квітні шахраї розіслали фізичні листи власникам апаратних гаманців Ledger, закликаючи їх вводити свої фрази відновлення за допомогою QR-кодів під виглядом перевірки безпеки. Ці листи мали офіційне брендування та посилання, щоб вони виглядали легітимними
Деякі отримувачі припустили, що розсилки були пов'язані з витоком даних у липні 2020 року, коли особиста інформація більше ніж 270 000 клієнтів Ledger—включаючи імена, номери телефонів та адреси—була викрита в Інтернеті. У рік після витоку кілька користувачів повідомили про отримання підроблених пристроїв Ledger, оснащених шкідливим ПЗ. Загалом, здається, що клієнти Ledger є спеціальною мішенню для складних шахраїв.
Оновлення Pectra вводить небезпечну ваду
Обережними повинні бути не тільки користувачі Ledger. Нещодавнє оновлення мережі Pectra Ethereum, яке запустили 7 травня, ввело потужні нові функції, які повинні підвищити масштабованість і поліпшити функціональність смарт-рахунків. Однак воно також виявило серйозну нову вектор атаки, який може дозволити зловмисникам витягувати кошти з гаманців користувачів, використовуючи лише підпис поза блокчейном.
У центрі проблеми знаходиться EIP-7702, який є ключовою частиною оновлення, що дозволяє користувачам делегувати контроль над своїми зовнішніми обліковими записами (EOAs) смарт-контракту шляхом підписання повідомлення — без необхідності подавати транзакцію в мережі.
Ця зміна дозволяє зловмисникам експлуатувати нічого не підозрюючих користувачів через фішинг або підроблені додатки. Якщо зловмисник отримає дійсний підпис, він може використовувати транзакцію SetCode (тип 0x04) для установки коду в гаманці жертви, який перенаправляє виклики до контракту під контролем зловмисника. Звідти вони можуть перевести ETH або монети з гаманця без жодного дозволу користувача на звичайну транзакцію. Дослідники безпеки, такі як Арда Усман і Єгор Рудиця, підтвердили, що цей ризик є терміновим і критичним. Смарт-контракти, які залежать від застарілих припущень, таких як перевірки tx.origin, тепер вразливі.
Що робить цю атаку особливо небезпечною, так це те, наскільки легко її можна розгорнути за допомогою звичайних офчейн-взаємодій — повідомлень Discord, фішингових веб-сайтів або підроблених DApps. Інтерфейси гаманців, які неправильно відображають або інтерпретують новий тип транзакції, піддаються особливо ризику, і підписи можуть навіть повторно використовуватися в будь-якому ланцюжку, сумісному з Ethereum, через потенційну можливість підписів chain_id = 0. Рудиця пояснила, що відтепер навіть апаратні гаманці вразливі до підписання шкідливих повідомлень про делегування.
Користувачів закликають не підписувати повідомлення, які вони не розуміють, особливо ті, що стосуються облікових nonce або невідомих форматів. Розробники гаманців повинні швидко адаптуватися, інтегруючи парсинг підписів і чіткі попередження щодо спроб делегування, оскільки повідомлення, дозволені EIP-7702, часто обходять існуючі стандарти, такі як EIP-191 і EIP-712.
Хоча мультипідписні гаманці пропонують більше захисту завдяки необхідності отримання кількох схвалень, гаманці з одноосібним ключем все ще повинні еволюціонувати, щоб виявляти ці нові загрози. Поряд з EIP-7702, оновлення Pectra також включало EIP-7251, яке збільшило ліміт стейкінгу валідаторів до 2,048 ETH, і EIP-7691, яке покращує масштабованість другого рівня, збільшуючи кількість даних у блобах на блок. На жаль, непередбачувані наслідки механізму делегування вже доводять, що це є провідною проблемою безпеки.
Токен Mobius став жертвою експлойту
В той же час, більше ніж 2,15 мільйона доларів у цифрових активах було вкрадено з смарт-контрактів Mobius Token (MBU) на BNB Chain після цілеспрямованого експлойту 11 травня, згідно з даними компанії з безпеки блокчейнів Cyvers Alerts. Атака була виконана з точністю, почавшись лише через кілька хвилин після розгортання шкідливого смарт-контракту. Cyvers відзначила це як підозріле до того, як експлойт відбувся.
Зловмисник ініціював експлойт, використовуючи адресу гаманця 0xb32a53... приблизно о 07:33 UTC, лише через дві хвилини після розгортання шкідливого контракту. Експлойт був націлений на гаманець жертви, ідентифікований як 0xb5252f... і успішно спустошив 28,5 мільйонів токенів MBU. Потім викрадені токени були швидко конвертовані в стабільні монети USDT, що призвело до загального збитку в розмірі $2 152 219,99. Cyvers підтвердив, що зловмисник використовував адресу контракту 0x631adf... для здійснення серії шкідливих транзакцій.
Фірма з безпеки назвала експлойт "критичним" через підозрілу логіку контракту та аномальну поведінку транзакцій, що використовувалася зловмисником. На даний момент гаманець нападника залишається активним, а вкрадені кошти були депозитовані в Tornado Cash.
Цей експлойт є частиною більшої тенденції зростаючих крадіжок криптовалюти у 2025 році. Згідно з доповіддю компанії з безпеки блокчейну PeckShield, тільки в квітні було вкрадено близько 360 мільйонів доларів у криптоактивах у 18 основних випадках зламу. Це був приголомшливий зріст втрат на 990% у порівнянні з березнем, коли було втрачено лише 33 мільйони доларів через зломи.
Однією з найсерйозніших подій, що сприяли загальному підсумку квітня, був несанкціонований переказ $330 мільйонів у Bitcoin, пізніше підтверджений як результат атаки соціальної інженерії, спрямованої на літнього жителя США.
В цілому, експлуатація токена Mobius є ще одним яскравим нагадуванням про термінову необхідність покращення аудиту контрактів та систем виявлення загроз у реальному часі на платформах DeFi.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Хакери використовують обліковий запис модератора Ledger для поширення фішинг-лінків
Ця остання атака відбулася після попередніх фішингових кампаній, включаючи підроблені листи під брендом Ledger, які були надіслані клієнтам у квітні. Останнє оновлення Ethereum Pectra також представило небезпечну вразливість через EIP-7702, що дозволяє використовувати позаблокчейнові підписи, які можуть дозволити хакерам контролювати гаманці без підтвердження користувача. Це викликало серйозні занепокоєння серед дослідників безпеки, які навіть назвали загрозу критичною. На BNB Chain токен Mobius (MBU) зазнав експлуатації на $2,15 мільйона, коли зловмисний смарт-контракт вивів мільйони монет і конвертував їх у стейблкоїни.
Користувачі Ledger знову під прицілом
Постачальник апаратних гаманців Ledger підтвердив, що його сервер Discord був захищений після того, як зловмисник зламав обліковий запис модератора 11 травня. Зловмисник використав його для публікації шкідливих посилань, що мали на меті обманути користувачів, щоб вони розкрили свої фрази насіння гаманця.
Згідно з членом команди Ledger Квінтином Ботрайтом, витік було швидко локалізовано. Скомпрометований обліковий запис модератора було видалено, зловмисного бота видалено, шахрайський вебсайт було повідомлено, а всі дозволи були перевірені та заблоковані, щоб запобігти подальшому зловживанню. Однак деякі члени спільноти стверджували, що зловмисник зловживав привілеями модератора, щоб заблокувати та заглушити користувачів, які намагалися повідомити про витік, що могло затримати початкову реакцію Ledger.
Шахрайство полягало в повідомленні, яке стверджувало про нововиявлену вразливість у системах Ledger і закликало користувачів перевірити свої сіди через шахрайське посилання. Користувачів потім просили підключити свої гаманці та підписатися на фальшиві інструкції на екрані, що становило серйозний ризик втрати коштів. Хоча досі незрозуміло, чи стали якісь користувачі жертвами шахрайства, скріншоти обманних повідомлень широко розповсюджувалися на X.
Ця остання спроба фішингу відповідає тривожній тенденції. У квітні шахраї розіслали фізичні листи власникам апаратних гаманців Ledger, закликаючи їх вводити свої фрази відновлення за допомогою QR-кодів під виглядом перевірки безпеки. Ці листи мали офіційне брендування та посилання, щоб вони виглядали легітимними
Деякі отримувачі припустили, що розсилки були пов'язані з витоком даних у липні 2020 року, коли особиста інформація більше ніж 270 000 клієнтів Ledger—включаючи імена, номери телефонів та адреси—була викрита в Інтернеті. У рік після витоку кілька користувачів повідомили про отримання підроблених пристроїв Ledger, оснащених шкідливим ПЗ. Загалом, здається, що клієнти Ledger є спеціальною мішенню для складних шахраїв.
Оновлення Pectra вводить небезпечну ваду
Обережними повинні бути не тільки користувачі Ledger. Нещодавнє оновлення мережі Pectra Ethereum, яке запустили 7 травня, ввело потужні нові функції, які повинні підвищити масштабованість і поліпшити функціональність смарт-рахунків. Однак воно також виявило серйозну нову вектор атаки, який може дозволити зловмисникам витягувати кошти з гаманців користувачів, використовуючи лише підпис поза блокчейном.
У центрі проблеми знаходиться EIP-7702, який є ключовою частиною оновлення, що дозволяє користувачам делегувати контроль над своїми зовнішніми обліковими записами (EOAs) смарт-контракту шляхом підписання повідомлення — без необхідності подавати транзакцію в мережі.
Ця зміна дозволяє зловмисникам експлуатувати нічого не підозрюючих користувачів через фішинг або підроблені додатки. Якщо зловмисник отримає дійсний підпис, він може використовувати транзакцію SetCode (тип 0x04) для установки коду в гаманці жертви, який перенаправляє виклики до контракту під контролем зловмисника. Звідти вони можуть перевести ETH або монети з гаманця без жодного дозволу користувача на звичайну транзакцію. Дослідники безпеки, такі як Арда Усман і Єгор Рудиця, підтвердили, що цей ризик є терміновим і критичним. Смарт-контракти, які залежать від застарілих припущень, таких як перевірки tx.origin, тепер вразливі.
Що робить цю атаку особливо небезпечною, так це те, наскільки легко її можна розгорнути за допомогою звичайних офчейн-взаємодій — повідомлень Discord, фішингових веб-сайтів або підроблених DApps. Інтерфейси гаманців, які неправильно відображають або інтерпретують новий тип транзакції, піддаються особливо ризику, і підписи можуть навіть повторно використовуватися в будь-якому ланцюжку, сумісному з Ethereum, через потенційну можливість підписів chain_id = 0. Рудиця пояснила, що відтепер навіть апаратні гаманці вразливі до підписання шкідливих повідомлень про делегування.
Користувачів закликають не підписувати повідомлення, які вони не розуміють, особливо ті, що стосуються облікових nonce або невідомих форматів. Розробники гаманців повинні швидко адаптуватися, інтегруючи парсинг підписів і чіткі попередження щодо спроб делегування, оскільки повідомлення, дозволені EIP-7702, часто обходять існуючі стандарти, такі як EIP-191 і EIP-712.
Хоча мультипідписні гаманці пропонують більше захисту завдяки необхідності отримання кількох схвалень, гаманці з одноосібним ключем все ще повинні еволюціонувати, щоб виявляти ці нові загрози. Поряд з EIP-7702, оновлення Pectra також включало EIP-7251, яке збільшило ліміт стейкінгу валідаторів до 2,048 ETH, і EIP-7691, яке покращує масштабованість другого рівня, збільшуючи кількість даних у блобах на блок. На жаль, непередбачувані наслідки механізму делегування вже доводять, що це є провідною проблемою безпеки.
Токен Mobius став жертвою експлойту
В той же час, більше ніж 2,15 мільйона доларів у цифрових активах було вкрадено з смарт-контрактів Mobius Token (MBU) на BNB Chain після цілеспрямованого експлойту 11 травня, згідно з даними компанії з безпеки блокчейнів Cyvers Alerts. Атака була виконана з точністю, почавшись лише через кілька хвилин після розгортання шкідливого смарт-контракту. Cyvers відзначила це як підозріле до того, як експлойт відбувся.
Зловмисник ініціював експлойт, використовуючи адресу гаманця 0xb32a53... приблизно о 07:33 UTC, лише через дві хвилини після розгортання шкідливого контракту. Експлойт був націлений на гаманець жертви, ідентифікований як 0xb5252f... і успішно спустошив 28,5 мільйонів токенів MBU. Потім викрадені токени були швидко конвертовані в стабільні монети USDT, що призвело до загального збитку в розмірі $2 152 219,99. Cyvers підтвердив, що зловмисник використовував адресу контракту 0x631adf... для здійснення серії шкідливих транзакцій.
Фірма з безпеки назвала експлойт "критичним" через підозрілу логіку контракту та аномальну поведінку транзакцій, що використовувалася зловмисником. На даний момент гаманець нападника залишається активним, а вкрадені кошти були депозитовані в Tornado Cash.
Цей експлойт є частиною більшої тенденції зростаючих крадіжок криптовалюти у 2025 році. Згідно з доповіддю компанії з безпеки блокчейну PeckShield, тільки в квітні було вкрадено близько 360 мільйонів доларів у криптоактивах у 18 основних випадках зламу. Це був приголомшливий зріст втрат на 990% у порівнянні з березнем, коли було втрачено лише 33 мільйони доларів через зломи.
Однією з найсерйозніших подій, що сприяли загальному підсумку квітня, був несанкціонований переказ $330 мільйонів у Bitcoin, пізніше підтверджений як результат атаки соціальної інженерії, спрямованої на літнього жителя США.
В цілому, експлуатація токена Mobius є ще одним яскравим нагадуванням про термінову необхідність покращення аудиту контрактів та систем виявлення загроз у реальному часі на платформах DeFi.