Сотни кошельков EVM взломаны: как хакеры похищают до $2 000 с каждого аккаунта

«Самая опасная угроза — та, которая действует тихо и масштабно.»
— Зак ХБТ (ZachXBT), блокчейн-детектив

В январе 2026 года криптосообщество столкнулось с новой волной массовых краж: злоумышленники скомпрометировали сотни кошельков на сетях EVM (Ethereum, Base, Arbitrum, Optimism, Polygon), похитив в общей сложности более $500 000. При этом каждая жертва потеряла не более $2 000 — сумма, недостаточная для привлечения внимания, но достаточная для получения прибыли при масштабе. Расследование, проведённое известным ончейн-аналитиком Заком ХБТ, указывает на высокотехнологичную, автоматизированную атаку, возможно, связанную с недавним взломом Trust Wallet через фишинговый email от MetaMask.

🔍 Как работает атака: от фишинга до автоматического вывода

По данным исследователя Владимира С., первоначальный вектор проникновения — поддельное письмо от MetaMask, имитирующее уведомление о «новой угрозе безопасности». В письме содержалась ссылка на «инструмент проверки кошелька», который на самом деле был фишинговым сайтом, идентичным официальному интерфейсу MetaMask.

После подключения кошелька к сайту жертва видела знакомый экран с запросом подтверждения «аналитической операции». На деле это была транзакция approve, дающая злоумышленнику право на бесконечное списание любых токенов — без повторного подтверждения. Как только разрешение было выдано, автоматизированный бот немедленно инициировал перевод всех доступных активов.

Характерно, что атака была широкомасштабной, но низкозатратной: хакеры фокусировались не на крупных аккаунтах, а на тысячах мелких кошельков, где пользователи редко проверяют разрешения.

⛓️ Поражены все EVM-сети: от Ethereum до Base

В отличие от целевых атак, эта кампания затронула сразу несколько блокчейнов:

• Ethereum — основная цель из-за высокой ликвидности активов.
• Base — рост числа пользователей после интеграции с Coinbase сделал сеть привлекательной.
• Arbitrum и Optimism — пользователи DeFi здесь часто держат стейблкоины и токены ликвидности.
• Polygon — низкие комиссии привлекают новичков, менее опытных в безопасности.

По данным PeckShield, в декабре 2025 — январе 2026 года 60% всех краж в DeFi начались с компрометации approve-разрешений. Это делает данный тип атаки самым массовым в индустрии.

🧩 Связь с взломом Trust Wallet: общая инфраструктура хакеров?

Владимир С. указывает на возможную связь между этой атакой и взломом Trust Wallet 25 декабря 2025 года, когда злоумышленники похитили $7 млн через фальшивое расширение в Chrome Web Store. Обе кампании используют:

• Социальную инженерию через доверие к брендам (MetaMask, Trust Wallet).
• Автоматизированные боты для массового дренажа.
• Целенаправленное избегание крупных кошельков — чтобы не привлекать внимание аналитиков и правоохранителей.

Это может означать, что за обеими атаками стоит одна и та же группа — либо хакеры делятся инфраструктурой на underground-рынках.

🛡️ Как защититься: что делать уже сегодня

1. Немедленно отозвать все разрешения

Используйте сервисы вроде Revoke.cash или app.revoke.cash для массового отзыва approve-разрешений. Делайте это каждые 2–3 месяца, даже если не замечали подозрительной активности.

2. Никогда не подключайте кошелёк к непроверенным сайтам

Даже если интерфейс выглядит как MetaMask — проверьте URL вручную. Официальные домены:

• MetaMask: metamask.io
• Uniswap: app.uniswap.org
• Aave: app.aave.com

3. Используйте кошельки с защитой от фишинга

Rabby Wallet, MetaMask с Wallet Guard и Blockaid предупреждают о вредоносных контрактах и подозрительных approve-запросах.

4. Разделяйте активы

Используйте один кошелёк для DeFi, другой — для NFT, третий — для хранения основных активов. Это ограничит ущерб в случае компрометации.

🚨 Что делать, если вы уже стали жертвой?

• Немедленно отзовите все оставшиеся разрешения.
• Переведите остаток средств на новый кошелёк.
• Сообщите о транзакции в ZachXBT и Chainalysis — это помогает отслеживать кошельки хакеров.
• Не пытайтесь связываться с злоумышленниками — это бесполезно и опасно.

Хотя вернуть средства почти невозможно, быстрая реакция может спасти неутерянные активы.

🌐 Контекст: почему именно сейчас?

Январь — традиционно опасный период:

• Пользователи возвращаются к активности после праздников.
• Многие получили крипту в подарок и не успели настроить безопасность.
• Хакеры используют «обновления безопасности» как предлог для фишинга.

По данным Immunefi, в Q1 2026 ожидается рост атак на 25–40% по сравнению с предыдущим кварталом. Особенно уязвимы сети с ростом числа новых пользователей — Base, Solana, Blast.

🔮 Будущее: автоматизация защиты

Эксперты прогнозируют:

• Интеграцию Revoke.cash в кошельки — отзыв разрешений станет однокликовой операцией.
• Появление «ограниченных approve» — разрешение будет действовать только на определённую сумму и срок.
• Обязательные предупреждения от бирж и dApp при первом подключении кошелька.

Однако пока такие меры не внедрены повсеместно, ответственность лежит на пользователе.

✅ Заключение: безопасность — это ежедневная гигиена

Атака на сотни кошельков EVM — напоминание: современные хакеры не ищут «крупную добычу». Они создают промышленную систему мелких краж, приносящую стабильный доход. И единственный способ противостоять ей — регулярная проверка разрешений, скептицизм к письмам и непроверенным сайтам, и разделение активов.

Как сказал Зак ХБТ: «Вы не станете жертвой одной ошибки. Вы станете жертвой привычки игнорировать риски.»