У січні 2026 року збитки від фішингу криптовалютних гаманців зросли до $630 тисяч, що на 207% більше, ніж у грудні. Дані Scam Sniffer показують, що зловмисники перейшли на стратегію «полювання на китів», і лише дві жертви становлять 65% загальної втрати, а максимальна одна транзакція становить $302 тисячі. Ще один інцидент «отруєння адресою» призвів до втрати в $1,225 для однієї жертви.
Втрати від підписного фішингу зросли на 207%, а кількість жертв зменшилася
За даними звіту Scam Sniffer, підписні фішингові атаки вкрали приблизно $630 тисяч з криптовалютних гаманців користувачів у першому місяці цього року. Цей метод атаки надає третім сторонам безстрокові дозволи, змушуючи користувачів підписувати шкідливі функції «Permit» або «IncreaseAllowance», що дозволяє зловмисникам красти кошти без дозволу користувача для конкретних транзакцій.
Найшокуюче — це тенденція розбіжності між кількістю втрат і кількістю жертв. Хоча кількість жертв зменшилася на 11% порівняно з груднем, загальна кількість викрадених зросла на 207%. Ця нерівність підкреслює фундаментальний зсув у тактиці кіберзлочинців, які переходять від попередньої моделі «широкої мережі» до точних атак «полювання на китів», націлюючись на невелику кількість людей із великими активами, а не на велику кількість дрібних роздрібних рахунків, як раніше.
Ця зміна стратегії ставить новий виклик для безпеки криптовалютних гаманців. Традиційний фішинговий захист часто зосереджений на визначенні кількості атак і кількості жертв, але ці індикатори можуть втратити свій попереджувальний ефект, коли зловмисники переключають увагу на невелику кількість цінних цілей. Навіть коли кількість жертв зменшується, вибухове зростання загальної кількості втрат все одно свідчить про зростаючу серйозність загрози.
Що робить фішинг підписів небезпечним, полягає в тому, що він використовує технічні характеристики взаємодії блокчейну. Багато децентралізованих додатків (DApps) вимагають від користувачів надання смарт-контрактам доступу до токенів, що є звичайним операційним процесом. Однак зловмисники маскують шкідливі контракти під легітимні додатки, щоб спонукати користувачів підписати авторизацію. Після підписання зловмисники можуть безстроково переносити активи з гаманця жертви без додаткового підтвердження користувача.
Стратегія полювання на китів становила 65% від загальної втрати, з максимальною одиничною транзакцією $302
Звіт Scam Sniffer розкриває вражаючий факт: лише двоє жертв становили майже 65% усіх втрат від підписного фішингу у січні. В одному з найбільших окремих випадків користувач втратив $302K після підписання шкідливої функції дозволу. Цей дуже концентрований розподіл збитків чітко ілюструє нову тактику зловмисника — виявлення та атаку на криптовалютні гаманці, що містять великі обсяги активів.
Те, що відрізняє тактику полювання на китів від традиційного фішингу, полягає у зборі розвідданих перед нападом. Замість випадкового надсилання фішингових посилань, зловмисники виявляють цінні цілі за допомогою аналізу даних у блокчейні, вивчають їхні транзакційні патерни та звички, а потім адаптують плани атак. Цей підхід вимагає більше часу на підготовку та технічних навичок, але результати виходять у геометричний раз.
Ця загроза особливо серйозна для користувачів, які володіють великими активами. Традиційно інвестори з великим рівнем статків можуть думати, що краще за середньостатистичного користувача вміють захищати свої активи, але насправді їхня висока вартість робить їх пріоритетною ціллю. Зловмисники готові інвестувати більше ресурсів у розробку цільових соціальних інженерних атак, включно з фейковими, реалістичними вебсайтами, виданням себе за відомих проєктних вечірок і навіть побудовою довгострокових довірчих відносин через соціальні мережі.
Ця тенденція також відображається у вдосконаленні методів атаки. Раніше фішинг часто покладався на грубі шахрайські листи та очевидно фейкові сайти, але сучасні атаки на полювання на китів можуть включати ідеально відтворені інтерфейси користувача, фейкові доменні імена (заплутування схожими символами, як i та l) та складні надзвичайні ситуації, щоб спонукати користувачів приймати рішення під тиском.
Адреса спричинила одну втрату в $1225, скопіювавши і вставивши в смертельну пастку
Окрім фішингу підписів, ще одна не менш шкідлива загроза — «отруєння адресами» — також переслідує користувачів криптовалютних гаманців. У типовому випадку в січні інвестор втратив $1,225 тисяч після того, як переказав кошти на шахрайську адресу — найбільший одноразовий збиток за один місяць.
Отруєння адресами використовує звички користувачів і технічні характеристики блокчейн-адрес. Адреси криптовалютних гаманців зазвичай мають 42-символічні шістнадцяткові рядки, і їх повна перевірка є надзвичайно складною. Багато користувачів виробили звичку перевіряти лише кілька символів на початку та в кінці адреси, і саме цю слабкість використовують зловмисники. Вони генерують «фальшиві» або «підроблені» адреси — шахрайські рядки, які точно імітують початок і кінець легітимних адрес гаманця в історії транзакцій користувача.
Вирішення процесу атаки отруєння
Моніторинг цілей: Зловмисники відстежують історію транзакцій високовартових гаманців
Генерація фейкових адрес: використовує алгоритм для створення фейкових адрес з тими ж першими та останніми символами
Відправ приманку: Відправлення маленьких токенів на цільовий гаманець (зазвичай пилова атака)
Історія забруднення: Фальшиві адреси з’являються в історії транзакцій жертви
Чекай на помилку: Жертва неправильно використала фальшиву адресу при копіюванні з історії
Замість перевірки повного рядка зловмисник хоче, щоб користувач скопіював і вставив вкрадену адресу з історії під час наступного перенесення. Оскільки фальшиві адреси починаються і закінчуються точно так само, як справжні, різницю майже неможливо визначити, якщо не розглянути середню частину. Як тільки кошти надсилаються на фальшиву адресу, активи негайно і назавжди передаються зловмисникам через незворотний характер блокчейн-транзакцій.
Одна втрата у $1,225 тис. підкреслює руйнівний характер цієї атаки. Для інвесторів або установ, які керують великими сумами, одна помилка в транзакції може призвести до катастрофічних наслідків. Ще більш тривожним є те, що ця атака не потребує складних технічних вразливостей і базується виключно на людській психології та операційних звичках, що ускладнює її запобігання.
Safe Labs попереджає про 5 000 шкідливих адрес для запуску скоординованої атаки
Зростання кількості таких інцидентів спонукало Safe Labs, розробника популярного багатопідписного гаманця, раніше відомого як Gnosis Safe, терміново оголосити попередження про безпеку. Компанія виявила, що організована злочинна група розпочала масштабну скоординовану атаку соціальної інженерії на свою базу користувачів, використовуючи приблизно 5 000 шкідливих адрес.
Safe Labs повідомили: «Ми виявили зловмисників, які діють спільно, створюючи тисячі Safe адрес, схожих на одне одного, щоб обдурити користувачів і змусити їх надсилати кошти у неправильне місце. Це метод атаки, який поєднує соціальну інженерію та лікування отруєння.» Ця масштабна атака демонструє, що фішинг еволюціонував від індивідуального злочину до організованого індустрійного ланцюга.
Скоординоване розгортання 5 000 шкідливих адрес означає, що зловмисники мають надійну технічну інфраструктуру та інструменти автоматизації. Генерація такої великої кількості фейкових адрес, що точно відповідають характеристикам цільової адреси, вимагає значних обчислювальних ресурсів і оптимізації алгоритмів. Ця промислова здатність атак свідчить про те, що за цим можуть стояти професійні кіберзлочинні організації, а не окремі хакери.
Для провайдерів криптовалютних гаманців ця масштабна атака створює новий виклик безпеці. Традиційні заходи безпеки, такі як двофакторна автентифікація (2FA) та холодне зберігання в гаманці, практично неефективні проти отруєння адресами та фішингу підписів, оскільки ці атаки експлуатують легітимні механізми транзакцій та власні операції користувачів. Профілактика вимагає початку з кількох рівнів, таких як дизайн інтерфейсу користувача, процес підтвердження транзакцій та навчання користувачів.
Ключові заходи для запобігання фішингу та боротьби з отруєнням
У зв’язку зі зростаючою загрозою фішингу експерти з безпеки та Safe Labs вжили кількох заходів безпеки. Найважливіший захід — завжди перевіряти повний алфавітно-цифровий рядок адреси отримувача перед великим переказом, а не просто перевіряти початок і кінець.
Найкращі практики безпеки криптовалютних гаманців
Повністю перевірте адресу: порівняння символів повної 42-бітної адреси, особливо середньої частини
Використовуйте адресну книгу: Зберігайте часто використовувані адреси як контакти, щоб уникнути копіювання з історії транзакцій
Малі тестові трансфери: Надішліть тест на невелику кількість перед переказом великих сум, щоб підтвердити правильність адреси
Перевірте дозволи авторизації: Регулярно переглядати та скасовувати непотрібні авторизації токенів
Увімкнути симуляцію торгівлі: Використовуйте гаманець із підтримкою попереднього перегляду транзакцій і переглядайте результати перед підписанням
Захист мультипідпису: Високоцінні гаманці використовують мультипідпис, що підвищує складність атак
Крім того, користувачам слід залишатися пильними щодо фішингових сайтів, вводити URL-адреси безпосередньо у браузері, а не натискати на посилання, і уважно читати деталі запитів на дозвіл перед підписуванням будь-яких транзакцій. Для користувачів, які керують великими активами, варто розглянути використання апаратних гаманців і рішень з мультипідписами, що може суттєво підвищити безпеку.
