Як бездіяче схвалення дозволило експлойту Ethereum на 13,3 мільйона доларів

Старе схвалення токена Ethereum було зловживане, що дозволило зловмиснику вивести $13.3М з гаманця за кілька секунд після отримання коштів.

Гаманець Ethereum втратив близько $13.3М за кілька секунд після активації давно забутого схвалення токена.

Кошти надійшли через транзакцію абстракції облікового запису, і зловмисник діяв негайно. Дані блокчейну показують, що гаманець неусвідомлено надав права витрат кілька тижнів тому.

Як тільки переказ був здійснений, схвалення дозволяло повний доступ без додаткового підтвердження. Цей інцидент показує, як неактивні дозволи можуть залишатися активними і використовуватися без попередження.

Гаманець отримує кошти і швидко виводить їх

Жертва, ідентифікована як 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, отримала близько $13.3М за одну транзакцію.

Зловмисник виконав переказ, використовуючи механізм абстракції облікового запису, розроблений для спрощення операцій з гаманцем.

Більше того, записи блокчейну показують, що кошти надійшли і були виведені з рахунку за кілька секунд. Тому швидкість не залишила часу для ручного втручання або захисних дій.

Швидкість виведення вказувала на те, що зловмисник не потребував нових дозволів. Навпаки, він уже мав доступ до коштів до здійснення переказу.

Крім того, трекери безпеки підтвердили, що під час інциденту не було створено нових транзакцій схвалення. Це виключає поширені фішингові або підписні атаки.

Розслідувачі переглянули історичну активність у мережі, пов’язану з цим гаманцем. Їхня увага зосередилася на старих схваленнях токенів, які ніколи не були відкликані.

Цей огляд виявив раніше зроблене схвалення, яке все ще дозволяло стороннім витрати. Це неактивне дозволення стало точкою входу для зловживання.

Старе схвалення дозволило зловживання

Розслідувачі простежили корінь проблеми до транзакції схвалення, зробленої 1 січня 2026 року. Це виклик надало права витрат на адресу 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.

На той час це схвалення не викликало громадського занепокоєння. Дозвіл залишався активним і не був відкликаний.

Старе схвалення коштувало $13.3М.

Адреса жертви 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD отримала ~$13.3М через транзакцію абстракції облікового запису і була виведена за кілька секунд.

Корінь проблеми — виклик approve() зроблений 1 січня 2026 року, що надає права витрат… pic.twitter.com/vDVhX8emXD

— QuillAudits 🥷 (@QuillAudits_AI) 26 січня 2026 року

Адреса зловмисника, 0x6cAad74121bF602e71386505A4687f310e0D833e, пізніше використала це схвалення.

Воно дозволяло повний доступ до вхідних коштів. Як тільки кошти надійшли, зловмисник виконав перекази без затримки. Він видалив весь баланс у одній скоординованій дії.

Переміщення коштів після виведення

Після виведення зловмисник обміняв викрадені активи з токенів у WETH, а потім у ETH. Ці кроки зменшили ризик відстеження на рівні токенів.

Після цього зловмисник перемістив кошти між кількома гаманцями. Перекази були швидкими і розподіленими по кількох адресах.

Цей метод створив складний шаблон транзакцій. Зловмисники часто використовують такі схеми, щоб ускладнити слідство.

Аналіз блокчейну показує, що частина ETH залишається в мережі. Ці кошти зберігаються на адресах, що все ще пов’язані із зловмисником.

Пов’язане читання: Втрати на $25М: Machi ліквідовано за 1 000 ETH після падіння ринку

Поточні спостереження в мережі

Спостерігачі безпеки продовжують моніторинг гаманців, пов’язаних із зловмисником. Однак дослідники не виявили жодних сервісів змішування під час початкових переміщень.

Наявність коштів у мережі залишає можливість для відстеження. Аналітики покладаються на час транзакцій і зв’язки між адресами.

Цей інцидент показує, що старі схвалення можуть залишатися активними. Власники гаманців часто забувають про ці дозволи з часом. Подія додає до недавніх випадків із застарілими дозволами. Це підкреслює необхідність регулярного перегляду дозволів.

За останніми даними, жодних транзакцій відновлення не було. Вкрадені кошти залишаються під контролем зловмисника.