Фальшивий запит фінансового контракту викачує $3M $USDC з Гаманця безпеки

Спільнота Web3 зазнала трагічного потрясіння через значний витік криптографічної безпеки. Жертва стала жертвою складної експлуатації, в результаті якої вона втратила 3,047 мільйона доларів у $USDC. Атака полягає у фальшивому контракті Request Finance, який був пов'язаний з мультипідписом Safe.

🚨 Жертва втратила $3.047M USDC вчора внаслідок складної атаки, що включала фальшивий контракт Request Finance на гаманці Safe. Основні висновки: • Мульти-підписний гаманець жертви з 2/4 Safe показує пакетну транзакцію через інтерфейс додатку Request Finance • Сховане в: підтвердження на шкідливий… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Анти-шахрайство (@realScamSniffer) 12 вересня 2025

Це порушення підкреслює той факт, що навіть легітимні на вигляд пакетні транзакції з прихованими зловмисними затвердженнями можуть призвести до несправності. У цьому випадку досвідчені користувачі також страждають і стикаються з уразливістю.

Фальшивий контракт фінансування запитів робить систему дурною

Scam Sniffer, платформа, що висвітлює крипто-шахрайства, спостерігала, що за 13 днів до крадіжки зловмисник розгорнув шкідливий контракт. Шахрай навмисно спроектував шкідливий контракт, перевірений Etherscan, щоб отримати підроблену копію легітимного контракту Request Finance Batch Payment.

Обидва адреси мали однакові початкові та кінцеві символи, ставши майже ідентичними. Це призвело до труднощів у розпізнаванні справжніх та шахрайських версій. Було також виконано кілька “batchPayments” від нападника, щоб виглядати надійно.

Під час використання інтерфейсу програми Request Finance жертва виконала пакетні транзакції. Це виконання включало приховане схвалення шкідливого контракту без відома жертви. Завдяки цьому схваленню шахрай отримав доступ і вивів кошти з гаманця. Після цього він негайно обміняв кошти на ETH, перевівши їх до Tornado Cash. Тепер відновлення цих коштів практично неможливе.

Відповідь індустрії на атаку та можливі заходи безпеки

Швидке повідомлення було випущено компанією Request Finance, яке оголосило про розгортання шкідливого нападу з ідентичним контрактом. Вони уточнили, що лише одна особа постраждала від атаки, запевнивши інших, що вже усунули вразливість.

Крім цього, точний вектор, залучений в атаку, досі не зрозумілий. Експерти з безпеки наводять кілька можливих причин, включаючи вразливості на рівні додатків, скомпрометовані фронтенди, втручання шкідливих програм або розширень браузера, перехоплення DNS або інші техніки ін'єкцій.

Цей експлойт підкреслює зростаючу загрозу, привертаючи увагу до шкідливих перевірених контрактів та майже ідентичних адрес. Щоб приховати шкідливі затвердження, злодії поєднують функцію багатократної відправки, навіть використовуючи незначні та критичні помилки для виконання своїх схем.

Отже, експерти радять користувачам уважно перевіряти та підтверджувати кожне схвалення партії, перевіряючи адреси контрактів символ за символом. Користувачам необхідно бути пильними під час виконання транзакцій та надання схвалень. Безпека додатка є життєво важливою для запобігання руйнівним втратам.