Фішингова атака викрала $3 мільйони в USDC з мультипідписного гаманця

• Інвестор втратив $3 мільйони внаслідок фішингової атаки
• Для експлойту було використано замаскований і верифікований шкідливий контракт
• Request Finance підтверджує використання підробленої версії контракту

Інвестор у криптовалюту втратив понад $3 мільйони у стейблкоїнах після того, як став жертвою надзвичайно складної фішингової атаки, яка експлуатувала мультипідписний гаманець. Про цей випадок стало відомо 11 вересня завдяки ончейн-досліднику ZachXBT, який зазначив, що з гаманця жертви було виведено $3,047 мільйона в USDC.

Зловмисник швидко конвертував кошти в Ethereum і перевів їх у Tornado Cash — протокол конфіденційності, який часто використовується для приховування руху незаконних коштів.

За словами Yu Xian, засновника SlowMist, скомпрометована адреса була мультипідписним гаманцем Safe з параметрами 2-з-4. Атака відбулася після того, як жертва авторизувала дві послідовні транзакції на шахрайську адресу, яка імітувала легітимну. Щоб підвищити ефективність шахрайства, хакер розробив шкідливий контракт, у якому перший і останній символи адреси збігалися з правильною, що ускладнювало виявлення підробки.

Xian пояснив, що для шахрайства було використано функцію Safe Multi Send, яка маскувала шкідливе схвалення під виглядом звичайної авторизації. "Цю аномальну авторизацію було важко виявити, оскільки вона не була стандартним схваленням," — сказав він.

Подивився на випадок крадіжки, про який написав @zachxbt, досить цікаво, скомпрометована адреса — це 2/4 Safe мультипідписна адреса:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Вкрадено 3,047,700 USDC цими двома транзакціями, одна за одною:
3M USD
47,700 USDC

Відбулося через авторизацію, жертва USDC… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 вересня 2025

Розслідування Scam Sniffer показало, що підроблений контракт було розгорнуто майже за два тижні до інциденту, він уже був верифікований на Etherscan і налаштований з функціями "batch payment", щоб виглядати легітимно. У день атаки авторизація була виконана через інтерфейс Request Finance, що дало зловмиснику доступ до коштів.

У відповідь Request Finance підтвердила, що зловмисник розгорнув підроблену версію її платіжного контракту. Компанія підкреслила, що постраждав лише один клієнт і що вразливість вже усунено.

🚨 Вчора жертва втратила $3,047M USDC у результаті складної атаки з використанням підробленого контракту Request Finance у Safe wallet.

Ключові висновки:
• 2/4 Safe мультипідписний гаманець жертви показує пакетні транзакції через інтерфейс додатку Request Finance
• Усередині приховано: схвалення для шкідливого… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 вересня 2025

Водночас Scam Sniffer попереджає, що подібні фішингові атаки можуть здійснюватися через різні вектори, включаючи шкідливе ПЗ, скомпрометовані розширення браузера, вразливості у фронтендах додатків або навіть DNS-атаку. Використання нібито верифікованих контрактів і майже ідентичних адрес підкреслює, як зловмисники вдосконалюють свої тактики, щоб обійти увагу користувачів криптовалют.