Январь 2026 года наступил как стендап в дайв-баре: громко, слегка вызывая панику и каким-то образом всё ещё неоправданно дорого. Security Bytes от Extropy читались как шалость от особенно раздражённого призрака в машине.
Аналитика, которая меняет правила.
Глубокие разборы макроэкономики от ТопМоб. Поймите, куда движется рынок, и принимайте решения на шаг впереди.
📈 Читать экспертовПротокол Truebit теряет $26 миллионов из-за уязвимости в «зомби-коде».
Первый крупный удар года приходится на 8 января: Truebit Protocol, название которого звучит как диета для умных ботов, получает удар исподтишка из-за ошибки в устаревшем коде. Переполнение целого числа в стареющих смарт-контрактах позволяет злоумышленнику чеканить миллионы TRU токенов практически бесплатно. Это как если бы кто-то нашёл чит-коды в забытой видеоигре и решил опубликовать их в Wall Street Journal. Ликвидность испаряется за считанные часы; цена TRU падает так же быстро, как моя уверенность в онлайн-знакомствах после трёх месяцев испытаний.
Позже фирмы по безопасности отследили 8 535 ETH, перемещающиеся через Tornado Cash — потому что нет ничего, что говорило бы о конфиденциальности, как деньги, которые раньше были видны в блокчейне. Они связали этот кошелек с эксплойтом Sparkle Protocol, подразумевая рецидивиста, который нацеливается на заброшенные контракты так, как я нацеливаюсь на свой утренний кофе: с энтузиазмом и оттенком отчаяния.
Устаревшие контракты, предупреждает Extropy, – это тикающие бомбы. Проекты должны отслеживать или прекращать поддержку старого кода, как домовладелец выселяет арендатора, который изначально никогда не платил арендную плату.
TMXTribe Watches Drain в размере $1.4M за 36 часов
С 5 по 7 января TMXTribe пережила более терпеливую версию ограбления: слив на $1,4 миллиона за 36 неумолимых часов на форке GMX для Arbitrum. Эксплойт описывается как механически простой: минтинг LP-токенов, обмен на стейблкоины, повторное снятие и снова снятие, пока точная ошибка остается непроверенной за занавесом непроверенных контрактов.
Головы исследователей, должно быть, кружились, потому что команда остаётся активной в блокчейне во время слива, публикуя обновления и новые контракты, как группа, меняющая сет-лист во время биса. Ни одна экстренная пауза не активируется; вместо этого они отправляют вознаграждение вору в блокчейне – который вежливо игнорирует его, переводит деньги на Ethereum и отмывает их через Tornado Cash. Если вы следите за счётом, то это одновременно и смело, и безрассудно в примерно равной степени.
Extropy задается вопросом, является ли это безрассудной халатностью или чем-то более тревожным — в любом случае, непроверенные контракты выглядят как красные флаги, развевающиеся в урагане.
В первые дни января мы уже увидели весь спектр сценариев провала Web3: контракты-зомби, печатающие деньги, управление, превращающееся в гражданскую войну, непроверенные форки, истекающие кровью в замедленной съемке, утечки в цепочке поставок, ставящие пользователей под физическую угрозу, фишинг, который использует в качестве оружия…
Клиенты Ledger сталкиваются с рисками физической безопасности.
5 января Ledger подтверждает утечку данных, которая произошла не по вине аппаратного обеспечения, а Global-e. Имена, адреса доставки и контактные данные попадают в сеть. Extropy называет это сценарием «wrench attack» (атака гаечным ключом), потому что злоумышленники теперь обладают списком владельцев кошельков и их фактических адресов — очень успокаивающее для людей, которые любят свою криптовалюту с добавкой солнечного света.
Ирония имеет привкус горсти медных монет. Ledger подвергся критике за взимание платы за функции безопасности; теперь их платёжный процессор подвергает пользователей физическому риску бесплатно. Ожидайте крайне убедительные фишинговые атаки и не удивляйтесь, если злоумышленники будут притворяться вашей собственной бабушкой с более продвинутым аппаратным кошельком.
Фишинг будет особенно убедительным, потому что украденные данные позволяют злоумышленникам создавать персонализированные сообщения, которые кажутся достаточно человечными, чтобы им доверять. Следите за своим почтовым ящиком как ястреб в галстуке.
Связанное чтение: Обзор инцидентов безопасности, связанных с аппаратными кошельками Ledger.
Фишинговая кампания MetaMask вывела $107 000.
ZachXBT предупреждает нас о сложной фишинговой операции, нацеленной на пользователей MetaMask. Более $107 000 исчезает из сотен кошельков. Жертвы получают профессионально выглядящие электронные письма с сообщением о обязательной модернизации в 2026 году, включая отполированный маркетинговый шаблон и слегка измененный логотип MetaMask. Extropy называет дизайн лисы в колпаке странно праздничным – как талисман для налоговой проверки в лучшей обуви.
Критически важно, что мошенничество не запрашивает seed-фразы. Оно просит вас подписать одобрения контрактов, позволяя злоумышленникам перемещать токены из вашего кошелька одним щелчком мыши. Кража с каждого кошелька остается менее $2,000, вероятно, чтобы избежать усталости от оповещений. Extropy отмечает, что подписи могут быть столь же опасны, как и скомпрометированные ключи; согласие – мощное оружие в этом мире.
Смотрите также
- Прогноз рынка криптовалюты XRP: будущее риппла
- Прогноз рынка криптовалюты BCH: будущее BCH
- Акции HENDERSON цена. Прогноз цены HENDERSON
- Курс доллара к турецкой лире в 2026 году: скрытая угроза или шанс разбогатеть?
- Акции Южуралзолото ГК цена. Прогноз цены Южуралзолото ГК
- Курс доллара к йене в 2026 году: скрытая угроза или шанс разбогатеть?
- Акции МКБ цена. Прогноз цены МКБ
- Прогноз рынка криптовалюты BTC: будущее биткоина
- Курс евро к доллару в 2026 году: скрытая угроза или шанс разбогатеть?
- Акции РКК Энергия им.С.П.Королева цена. Прогноз цены РКК Энергия им.С.П.Королева
2026-01-13 18:49