Фишинговая атака похитила 3 миллиона долларов в USDC с мультиподписного кошелька

• Инвестор потерял $3 миллиона в результате фишинговой атаки
• Взломщик использовал замаскированный и верифицированный вредоносный контракт
• Request Finance подтверждает использование поддельной версии контракта

Криптовалютный инвестор потерял более $3 миллионов в стейблкоинах, став жертвой крайне изощрённой фишинговой атаки, в ходе которой был скомпрометирован мультиподписной кошелёк. Случай был раскрыт 11 сентября ончейн-исследователем ZachXBT, который отметил, что с кошелька жертвы было выведено $3,047 миллиона в USDC.

Злоумышленник быстро конвертировал средства в Ethereum и перевёл их на Tornado Cash — протокол конфиденциальности, который часто используется для сокрытия движения незаконных средств.

По словам Yu Xian, основателя SlowMist, скомпрометированный адрес был мультиподписным Safe 2-из-4. Атака произошла после того, как жертва авторизовала две последовательные транзакции на мошеннический адрес, имитирующий легитимный. Для повышения эффективности мошенничества хакер разработал вредоносный контракт, в котором первый и последний символы адреса совпадали с настоящим, что делало мошенничество трудновыявляемым.

Xian объяснил, что мошенничество использовало функцию Safe Multi Send, маскируя вредоносное одобрение под рутинную авторизацию. «Это аномальное одобрение было трудно обнаружить, так как оно не являлось стандартным», — отметил он.

Посмотрел на случай кражи, опубликованный @zachxbt, довольно интересно, украденный адрес — это 2/4 Safe мультиподписной адрес:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Украдено 3,047,700 USDC — это две транзакции подряд:
3M USD
47,700 USDC

Речь идёт об авторизации, приведшей к краже, у жертвы USDC… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 сентября 2025

Расследование Scam Sniffer показало, что поддельный контракт был развёрнут почти за две недели до атаки, уже верифицирован на Etherscan и настроен с функциями «batch payment», чтобы выглядеть легитимно. В день атаки авторизация была выполнена через интерфейс Request Finance, что дало злоумышленнику доступ к средствам.

В ответ Request Finance подтвердила, что злоумышленник развернул поддельную версию их платёжного контракта. Компания подчеркнула, что пострадал только один клиент, а уязвимость была устранена.

🚨 Вчера жертва потеряла $3,047M USDC в результате сложной атаки с использованием поддельного контракта Request Finance в Safe wallet.

Ключевые выводы:
• 2/4 Safe мультиподписной кошелёк жертвы показывает пакетные транзакции через интерфейс приложения Request Finance
• Внутри скрыто: одобрение вредоносного… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 сентября 2025

Тем не менее, Scam Sniffer предупреждает, что аналогичные фишинговые атаки могут осуществляться через различные векторы, включая вредоносное ПО, скомпрометированные расширения браузера, уязвимости во фронтенде приложений или даже DNS-атаки. Использование якобы верифицированных контрактов и практически идентичных адресов подчёркивает, как злоумышленники совершенствуют свои методы, чтобы обойти внимание пользователей криптовалют.