Держатели Cardano потеряли $6 млн из-за поддельного стейблкоин-свопа

«В DeFi доверие начинается с проверки контракта, а не с красивого интерфейса.»
— Хайден Шип, сооснователь MakerDAO

В ноябре 2025 года сообщество Cardano (ADA) столкнулось с массовой атакой: более 11 000 кошельков потеряли в совокупности около $6 млн из-за фишинговой кампании, имитирующей легитимный стейблкоин-своп. Злоумышленники разместили в соцсетях и Telegram-каналах поддельные объявления о запуске «официального моста USDC на Cardano», что вызвало волну доверчивых переводов. Всего за 72 часа хакеры похитили 6 542 000 USDC, воспользовавшись отсутствием официального стейблкоина на сети и высоким спросом на DeFi-активность.

🎣 Как работала атака?

Схема была классической, но эффективной:

1. Злоумышленники создали сайт, визуально идентичный официальному порталу Cardano Foundation, с доменом cardano-bridge[.]xyz.
2. На сайте предлагалось «подключить кошелёк и свопнуть USDT или USDC на новый стейблкоин ADAUSD» — якобы одобренный EMURGO и IOHK.
3. При подключении Phantom или Eternl жертве предлагалось подписать транзакцию «на разрешение доступа».
4. На деле это был вызов функции transferFrom, который сразу переводил все стейблкоины на кошелёк хакеров.

Особую опасность представляла убедительность: сайт содержал логотипы, цитаты Чарльза Хоскинсона и даже поддельный твит от @Cardano (с доменом x.com/Cardano_). Многие пользователи не заметили подвоха, особенно на мобильных устройствах.

📊 Почему Cardano стал мишенью?

Cardano исторически отставала в развитии DeFi-инфраструктуры. Несмотря на запуск Hydra и рост TVL до $1,8 млрд (DefiLlama, ноябрь 2025), официального стейблкоина на сети до сих пор нет. Это создаёт вакуум, который заполняют мошенники.

Как отметил аналитик из BlockSec: «Когда проект обещает стейблкоин годами, а сообщество жаждет DeFi — хакеры строят мост первыми.»

Кроме того, в октябре 2025 года EMURGO анонсировала партнёрство с Circle для запуска USDC на Cardano в Q1 2026 — что усилило FOMO и сделало фишинг ещё более правдоподобным.

🔍 Реакция сообщества и команды

Официальные аккаунты Cardano Foundation оперативно опубликовали предупреждение:

• «Никаких мостов или стейблкоинов ADAUSD не существует».
• «Официальный сайт — только cardano.org».
• «Никогда не подключайте кошелёк к непроверенным сайтам».

Команда также начала работу над встроенной системой верификации сайтов в кошельке Eternl, которая будет предупреждать о поддельных доменах.

Однако для пострадавших это уже не помогло. Большинство переводов прошли через сеть Ethereum, и средства были немедленно распределены по 147 кошелькам, а затем выведены через мосты в BSC и Polygon.

🛡️ Как распознать фальшивый своп?

Перед любым взаимодействием с DeFi на Cardano проверяйте:

• Домен сайта — должен быть *.cardano.org или *.emurgo.io.
• Адрес контракта — сверяйте через Cardano Explorer, а не через Google.
• Разрешения — если сайт просит «approve all», это 100% скам.
• Официальные каналы — проверяйте анонсы в Twitter, GitHub и Discord проекта.

И помните: пока на Cardano нет официального USDC или DAI, любой «мост» — это эксперимент с высоким риском.

🌐 Контекст: рост фишинга в эпоху мультичейна

По данным CertiK, в 2025 году 61% всех краж связаны с поддельными мостами и свопами. Особенно уязвимы сети, где официальные стейблкоины появляются с задержкой:

• Solana — до запуска Circle USDC в 2023 году.
• Avalanche — период до интеграции USDC.
• Cardano — текущая ситуация.

Хакеры используют простую формулу: высокий спрос + отсутствие официального решения = прибыль.

🔮 Будущее: стейблкоин как основа безопасности

Запуск USDC на Cardano в 2026 году должен закрыть эту уязвимость. Но до тех пор сообществу нужно:

• Развивать культуру проверки («trust, but verify»).
• Использовать кошельки с защитой от фишинга (Eternl, Nami с обновлениями).
• Держать основные средства в «холодном» хранилище без подключения к DeFi.

Как сказал Чарльз Хоскинсон: «Строительство занимает годы. Разрушение — минуты. Но только те, кто учится на ошибках, строят будущее.»

✅ Заключение: безопасность — это личная ответственность

Потеря $6 млн — не провал Cardano. Это напоминание: в мире DeFi вы — и банк, и клиент, и служба безопасности. Никакие амбициозные апгрейды не заменят базовой гигиены. И пока пользователи не начнут проверять каждую транзакцию, такие атаки будут повторяться — на Cardano, Solana, Ethereum и любой другой сети.

Потому что зло не спит. Оно ждёт, когда вы нажмёте «Подтвердить».