В январе 2026 года убытки от фишинга от криптовалютных кошельков выросли до 630 тысяч долларов, что на 207% больше, чем в декабре. Данные Scam Sniffer показывают, что злоумышленники перешли к стратегии «охоты на китов», при этом только две жертвы составили 65% от общего объёма потерь, а максимальная сумма одной транзакции составила $302K. Ещё один случай «отравления по адресу» привёл к потере в размере 1225 долларов для одной жертвы.
Убытки от фишинговых подписей выросли на 207%, а число жертв сократилось
Согласно отчету Scam Sniffer, фишинговые атаки с подписями украли примерно $630 тысяч из криптовалютных кошельков пользователей в первый месяц этого года. Этот метод атаки предоставляет третьим лицам бессрочные права, побуждая пользователей подписывать вредоносные функции «Permit» или «IncreaseAllowance», позволяя злоумышленникам воровать средства без одобрения пользователя для конкретных транзакций.
Самое шокирующее — это расхождения между количеством потерь и числом жертв. Хотя количество жертв сократилось на 11% по сравнению с декабрем, общее количество краж выросло на 207%. Это неравенство подчёркивает фундаментальный сдвиг в тактике киберпреступников: переход от прежней модели «широкой сети» к точным атакам на «охоту на китов», нацеливающихся на небольшое число состоятельных людей с крупными активами, а не на множество мелких розничных счетов, как раньше.
Эта смена стратегии представляет собой новую задачу для безопасности криптовалютных кошельков. Традиционная фишинговая защита часто направлена на определение количества атак и жертв, но эти индикаторы могут потерять предупреждающий эффект, когда злоумышленники переключают внимание на небольшое число ценных целей. Даже несмотря на снижение числа жертв, взрывное увеличение общего числа потерь всё равно свидетельствует о росте серьёзности угрозы.
Опасность фирменного фишинга заключается в использовании технических особенностей взаимодействия блокчейна. Многие децентрализованные приложения (DApp) требуют, чтобы пользователи предоставляли смарт-контрактам доступ к токенам, что является обычным рабочим процессом. Однако злоумышленники маскируют вредоносные контракты под легитимные приложения, чтобы заставить пользователей подписать авторизацию. После подписания злоумышленники могут бессрочно переводить активы из кошелька жертвы без дополнительного подтверждения пользователем.
Стратегия охоты на китов составляла 65% от общих убытков, при этом максимальная сумма одной сделки составляла $302
Отчёт Scam Sniffer раскрывает поразительный факт: всего две жертвы составили почти 65% всех потерь по фишингу подписей в январе. В одном из крупнейших случаев пользователь потерял 302 тысячи долларов после подписания вредоносной функции разрешения. Это очень концентрированное распределение убытков ясно отражает новую тактику злоумышленника — выявлять и атаковать криптовалютные кошельки, содержащие большие объемы активов.
То, что отличает тактику охоты на китов от традиционного фишинга, заключается в сборе разведданных до нападения. Вместо случайной отправки фишинговых ссылок злоумышленники выявляют ценные цели с помощью он-чейн-анализа данных, изучают их транзакционные паттерны и привычки, а затем разрабатывают свои планы атак. Такой подход требует больше времени на подготовку и технических навыков, но отдача растет экспоненциально.
Эта угроза особенно серьёзна для пользователей, владеющих большими объёмами активов. Традиционно инвесторы с высоким уровнем состояния могут думать, что умеют защищать свои активы лучше, чем обычный пользователь, но на самом деле их высокая стоимость делает их приоритетной целью. Злоумышленники готовы вкладывать больше ресурсов в разработку целенаправленных атак социальной инженерии, включая фальшивые более реалистичные сайты, имитации известных проектных вечеринок и даже построение долгосрочных доверительных отношений через социальные сети.
Эта тенденция также отражается в совершенствовании методов атаки. Раньше фишинг часто опирался на грубые мошеннические письма и явно фейковые сайты, но современные атаки на охоту на китов могут включать идеально воспроизведённые пользовательские интерфейсы, фейковые доменные имена (обфускация с использованием похожих символов вроде i и l) и сложные экстренные ситуации, чтобы заставить пользователей принимать решения под давлением.
Адрес отравил один убыток в $1225, копировав и вставив в смертельную ловушку
Помимо фишинга с подписями, ещё одна не менее вредная угроза — «отравление адресов» — также преследует пользователей криптовалютных кошельков. В типичном случае в январе инвестор потерял $1 225 тысяч после того, как отправил средства на мошеннический адрес — это самый крупный единый убыток за месяц.
Отравление адресами использует привычки пользователей и технические характеристики блокчейн-адресов. Адреса криптовалютных кошельков обычно представляют собой шестнадцатеричные строки из 42 символов, и их полная проверка чрезвычайно утомительна. Многие пользователи привыкли проверять только несколько символов в начале и конце адреса, и именно эту слабость используют злоумышленники. Они генерируют «поддельные» или «поддельные» адреса — мошеннические строки, которые точно имитируют начало и конец легитимных адресов кошельков в истории транзакций пользователя.
Решение процесса отравления
Мониторинг целей: Злоумышленники отслеживают историю транзакций кошельков с высокой стоимостью
Генерировать поддельные адреса: использует алгоритм для создания поддельных адресов с одинаковыми первыми и последними символами
Отправь приманку: Отправка небольших токенов в целевой кошелёк (обычно пылевая атака)
История загрязнения: Поддельные адреса появляются в истории транзакций жертвы
Жди ошибки: Жертва неправильно использовала поддельный адрес при копировании и вставке из истории
Вместо проверки полной строки злоумышленник хочет, чтобы пользователь скопировал и вставил украденный адрес из истории при следующем переносе. Поскольку поддельные адреса начинаются и заканчиваются точно так же, как настоящие, различие практически невозможно определить, если не рассмотреть среднюю часть. После того как средства отправляются на поддельный адрес, активы немедленно и навсегда передаются злоумышленникам из-за необратимой природы блокчейн-транзакций.
Один убыток в размере 1 225 тысяч долларов подчёркивает разрушительный характер этой атаки. Для инвесторов или организаций, управляющих крупными суммами, одна ошибка в транзакции может привести к катастрофическим последствиям. Ещё более тревожно то, что эта атака не требует сложных технических уязвимостей и полностью опирается на человеческую психологию и операционные привычки, что усложняет её предотвращение.
Safe Labs предупреждает о 5 000 вредоносных адресах для запуска скоординированной атаки
Рост числа инцидентов побудил Safe Labs, разработчика популярного кошелька с многоподписью, ранее известного как Gnosis Safe, выпустить срочное предупреждение о безопасности. Компания обнаружила, что организованная преступная группа провела масштабную скоординированную атаку социальной инженерии на свою пользовательскую базу, используя примерно 5 000 вредоносных адресов.
Safe Labs заявили: «Мы выявили злоумышленников, действующих вместе, создав тысячи похожих адресов Safe, предназначенных для обмана пользователей, заставивших их отправлять средства не в то место. Это метод атаки, сочетающий социальную инженерию и борьбу с отравлением.» Эта масштабная атака показывает, что фишинг эволюционировал из индивидуального преступления в организованную индустриальную цепочку.
Скоординированное развертывание 5 000 вредоносных адресов обеспечивает злоумышленникам надёжную техническую инфраструктуру и инструменты автоматизации. Создание такого большого количества фейковых адресов, точно соответствующих характеристикам целевого адреса, требует значительных вычислительных ресурсов и оптимизации алгоритмов. Эта промышленная способность атаки говорит о том, что за ней могут стоять профессиональные киберпреступные организации, а не отдельные хакеры.
Для поставщиков криптовалютных кошельков эта масштабная атака представляет собой новую проблему безопасности. Традиционные меры безопасности, такие как двухфакторная аутентификация (2FA) и холодное хранение кошелька, практически неэффективны против отравления адресов и фишинга подписей, поскольку эти атаки эксплуатируют легитимные механизмы транзакций и собственные операции пользователей. Профилактика требует начинать с нескольких уровней, таких как дизайн пользовательского интерфейса, процесс подтверждения транзакций и обучение пользователей.
Ключевые меры для предотвращения фишинга и борьбы с отравлениями
В условиях растущей угрозы фишинга Safe Labs и эксперты по безопасности приняли ряд предосторожных мер. Самое важное — всегда проверять полную буквенно-цифровую строку адреса получателя перед крупным переводом, а не просто проверять начало и конец.
Лучшие практики безопасности криптовалютных кошельков
Полностью проверьте адрес: сравнение полного 42-битного адреса по символам, особенно средней части
Используйте адресную книгу: Сохраняйте часто используемые адреса как контакты, чтобы избежать копирования из истории транзакций
Малые тестовые переносы: Отправьте тест на небольшое количество перед переводом больших сумм, чтобы убедиться, что адрес правильный.
Проверьте разрешения авторизации: Регулярно проверяйте и отзывайте ненужные авторизации токенов
Включить симуляцию торговли: Используйте кошелёк с поддержкой предварительного просмотра транзакций и просмотр результатов перед подписанием
Защита от множественной подписи: Кошельки с высокой стоимостью используют мультиподпись, что увеличивает сложность атак
Кроме того, пользователям следует быть бдительными в отношении фишинговых сайтов, вводить URL напрямую в браузеры, а не кликать по ссылкам, и внимательно читать детали запросов на разрешение перед подписанием любых транзакций. Пользователям, управляющим крупными активами, рассмотрите возможность использования аппаратных кошельков и решений с мультиподписью, что может значительно повысить безопасность.
