Хаос в Web3 бьёт сильно: миллионы украдены всего за две недели 2026 года – отчёт

Extropy сообщает о крупных криптовалютных взломах в январе 2026 года. Truebit теряет 26 млн $, утечка данных Ledger подвергает пользователей риску, а фишинговые атаки резко возрастают.

Первые две недели 2026 года принесли волну инцидентов безопасности на платформах Web3. 

Extropy опубликовала свой отчет Security Bytes, документирующий эти события. Результаты рисуют тревожную картину текущего ландшафта угроз.

Согласно отчету, злоумышленники продолжали свои операции в праздничный сезон. Ущерб варьировался от многомиллионных эксплойтов до сложных фишинговых кампаний.

Протокол Truebit теряет 26 млн $ из-за уязвимости в устаревшем коде

Первый крупный инцидент года произошел с протоколом Truebit 8 января. Злоумышленник похитил около 26 млн $ в результате того, что Extropy называет эксплойтом "зомби-кода".

Уязвимость возникла из-за целочисленного переполнения в устаревших смарт-контрактах. Эти старые контракты не имели встроенной защиты от переполнения современного Solidity. Злоумышленник создал миллионы токенов TRU практически без затрат.

После создания токены хлынули обратно в протокол. Вся доступная ликвидность исчезла в течение нескольких часов. Цена токена TRU обрушилась почти на 100% всего за 24 часа.

Extropy отмечает, что злоумышленник немедленно переместил 8 535 ETH через Tornado Cash. Позже службы безопасности связали кошелек с предыдущим эксплойтом протокола Sparkle. Это указывает на рецидивиста, специально нацеленного на заброшенные контракты.

Отчет предупреждает, что устаревшие контракты остаются критической уязвимостью. Проекты должны активно либо отслеживать, либо выводить из эксплуатации старый код.

TMXTribe наблюдает за утечкой 1,4 млн $ в течение 36 часов

С 5 по 7 января TMXTribe пострадал от более медленной, но столь же разрушительной атаки. Форк GMX на Arbitrum потерял 1,4 млн $ за 36 непрерывных часов.

Extropy описывает эксплойт как механически простой. Цикл создавал LP токены, обменивал их на стейблкоины, затем повторно снимал с депозита. Непроверенные контракты не позволили провести публичный анализ точной уязвимости.

Больше всего исследователей обеспокоил ответ команды. Согласно отчету, разработчики оставались активными в сети на протяжении всей атаки. Они развертывали новые контракты и выполняли обновления во время кражи средств.

Однако они так и не активировали функцию экстренной паузы. Вместо этого команда отправила злоумышленнику сообщение с предложением вознаграждения в сети. Вор проигнорировал его, перебросил средства на Ethereum и отмыл их через Tornado Cash.

Extropy задается вопросом, представляет ли это халатность или что-то худшее. Отчет подчеркивает, что непроверенные контракты служат тревожными сигналами для пользователей.

Клиенты Ledger сталкиваются с рисками физической безопасности

5 января Ledger подтвердил утечку данных, затронувшую его клиентскую базу. Утечка произошла из платежной системы Global-e, а не из оборудования Ledger.

Были скомпрометированы имена клиентов, адреса доставки и контактная информация. Extropy предупреждает, что это создает сценарии так называемых "атак с применением силы", как их называют эксперты по безопасности. Злоумышленники теперь располагают списком владельцев криптовалютных аппаратных кошельков и их местоположением.

Отчет отмечает горькую иронию. Ранее Ledger подвергался критике за взимание платы за функции безопасности. Теперь их платежная система подвергла пользователей физической опасности бесплатно.

Extropy советует пользователям ожидать сложных фишинговых попыток. Украденные данные позволяют злоумышленникам создать ложное доверие через персонализированные сообщения.

Связанное чтение: Обзор инцидентов безопасности, связанных с аппаратными кошельками Ledger

Фишинговая кампания против MetaMask похищает 107 000 $

Исследователь безопасности ZachXBT обнаружил сложную фишинговую операцию, направленную на пользователей MetaMask. Кампания похитила более 107 000 $ с сотен кошельков.

Жертвы получили профессиональные электронные письма с требованием обязательного обновления 2026 года. В сообщениях использовались легитимные маркетинговые шаблоны и модифицированный логотип MetaMask. Extropy описывает дизайн лисы в "праздничной шляпе" как обезоруживающе праздничный.

Мошенничество избегало запросов seed-фраз. Вместо этого оно предлагало пользователям подписать одобрения контрактов. Это позволило злоумышленникам перемещать неограниченное количество токенов из кошельков жертв.

Сохраняя отдельные кражи на уровне ниже 2 000 $, операция избежала крупных оповещений. Extropy подчеркивает, что подписи могут быть столь же опасны, как утечка ключей.

Пост Хаос Web3 наносит сильный удар: миллионы похищены всего за две недели 2026 года – Отчет впервые появился на Live Bitcoin News.