Extropy сообщает о крупных взломах криптовалют в январе 2026 года. Truebit теряет 26 млн долларов, утечка данных Ledger раскрывает информацию о пользователях, и рост фишинговых атак.
Первые две недели 2026 года принесли волну инцидентов безопасности на платформах Web3.
Extropy опубликовала свой отчет Security Bytes, документирующий эти события. Полученные данные рисуют тревожную картину текущего ландшафта угроз.
Согласно отчету, злоумышленники продолжали свои операции в праздничный сезон. Урон варьировался от многомиллионных эксплойтов до сложных фишинговых кампаний.
Протокол Truebit теряет $26 миллионов из-за уязвимости в наследственном коде
Первое крупное происшествие в этом году произошло с Truebit Protocol 8 января. Злоумышленник истощил примерно $26 миллионов долларов в результате эксплойта, который Extropy называет «зомби-кодом».
Уязвимость возникла из-за переполнения целого числа в наследственных смарт-контрактах. Эти старые контракты не обладали современными защитами от переполнения, присущими Solidity. Злоумышленник создал миллионы токенов TRU практически без затрат.
После создания токены вернулись в протокол. Вся доступная ликвидность исчезла за считанные часы. Цена токена TRU рухнула почти на 100% всего за 24 часа.
Extropy отмечает, что злоумышленник сразу же перевел 8 535 ETH через Tornado Cash. Позже компании по безопасности связали этот кошелек с предыдущим эксплойтом Sparkle Protocol. Это говорит о повторном злоумышленнике, специально нацеливающемся на заброшенные контракты.
В отчете предупреждается, что наследственные контракты остаются критической уязвимостью. Проекты должны либо активно мониторить, либо устаревать старый код.
TMXTribe теряет $1.4М за 36 часов
Между 5 и 7 января TMXTribe понесла менее быстрый, но не менее разрушительный удар. Форк GMX на Arbitrum потерял $1.4 миллиона за 36 непрерывных часов.
Extropy описывает эксплойт как механически простой. Цикл создавал LP-токены, обменивал их на стейбкоины, затем неоднократно снимать залог. Не проверенные контракты мешали публичному анализу точной уязвимости.
Больше всего исследователей насторожила реакция команды. Согласно отчету, разработчики оставались активными в блокчейне на протяжении всего атаки. Они развертывали новые контракты и выполняли обновления во время утечки.
Однако они так и не активировали функцию аварийной остановки. Вместо этого команда отправила злоумышленнику сообщение о награде в блокчейне. Вор проигнорировал его, перевел средства на Ethereum и отмывал их через Tornado Cash.
Extropy задается вопросом, является ли это халатностью или чем-то более худшим. В отчете подчеркивается, что неподтвержденные контракты служат тревожными сигналами для пользователей.
В первые дни января мы уже увидели весь спектр сбоев Web3: зомби-контракты, печатающие деньги, управление превращается в гражданскую войну, неподтвержденные форки медленно истекают, утечки цепочек поставок ставят пользователей под физическую угрозу, фишинг, который использует… https://t.co/ev1flKir3D
— Extropy.io (@Extropy) 13 января 2026
Пользователи Ledger сталкиваются с рисками физической безопасности
5 января Ledger подтвердил утечку данных, затронувшую его клиентов. Утечка произошла из-за платежного процессора Global-e, а не из-за аппаратных средств Ledger.
Были скомпрометированы имена клиентов, адреса доставки и контактная информация. Extropy предупреждает, что это создает сценарии, которые эксперты по безопасности называют «взломом гаечного ключа». Злоумышленники теперь имеют список владельцев крипто-аппаратных кошельков и их местоположений.
В отчете отмечается горькая ирония. Ранее Ledger критиковали за взимание платы за функции безопасности. Теперь их платежный процессор подверг пользователей физической опасности без затрат.
Extropy советует пользователям ожидать сложных фишинговых атак. Украденные данные позволяют злоумышленникам устанавливать ложное доверие через персонализированные сообщения.
_Связанное чтение: _****Обзор инцидентов безопасности, связанных с аппаратными кошельками Ledger
Кампания фишинга MetaMask выводит $107,000
Исследователь безопасности ZachXBT отметил сложную фишинговую операцию, нацеленную на пользователей MetaMask. Кампания вывела более $107,000 с сотен кошельков.
Жертвы получали профессиональные письма с утверждением о обязательном обновлении 2026 года. В сообщениях использовались легитимные шаблоны маркетинга и измененный логотип MetaMask. Extropy описывает дизайн с «шляпой-пати» в виде лиса как удивительно праздничный.
Мошенничество избегало просьб о фразах seed. Вместо этого оно побуждало пользователей подписывать одобрения контрактов. Это позволяло злоумышленникам перемещать неограниченное количество токенов с кошельков жертв.
Держать отдельные кражи менее чем по $2,000 помогло операции избегать крупных тревог. Extropy подчеркивает, что подписи могут быть так же опасны, как и утекшие ключи.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
