Компания по ончейн-безопасности CertiK зафиксировала инцидент с выводом средств через старое разрешение в кошельке: эксплойт прокси-контракта 0x0689…4B43 привел к потере около $340 тыс. в USDC. Неосмотрительный клиент оставил разрешение более 5 лет назад на фишинговом ресурсе.
По данным аналитиков, пользователь подписал разрешение на расходы токенов еще 2 октября 2020 года, речь шла об одобрении операций с USDC по фишинговой ссылке. После этого владелец кошелька забыл о нем, а злоумышленник — нет: он годами не трогал адрес и просто ждал, пока на нем появится существенный баланс. Дождался — и в конце концов провел одну операцию, забрав все доступные стейблкоины.
Механизм подобных атак базируется на стандартной логике ERC-20: подписанное approval действует до тех пор, пока оно не отозвано, что позволяет вредоносным контрактам использовать операцию вывода — так называемый transferFrom — без дополнительного подтверждения владельца. Поэтому забытые разрешения становятся долгосрочным риском, особенно для стейблкоинов и ликвидных активов. CertiK отмечает, что «disconnect wallet» не отменяет доступы — approvals сохраняются на уровне блокчейна.
Похожие инциденты случались и раньше. В августе 2025 года пользователь потерял $908 551 в USDC из-за «отложенного» списания: вредоносное approval было подписано 30 апреля 2024 года, а drain произошел через 458 дней, когда на кошельке появился почти $1 млн. Атакер, связанный с pink-drainer.eth, вывел все средства одной операцией. Scam Sniffer после этого отдельно призвал пользователей отозвать старые разрешения, подчеркивая, что гигиена approvals напрямую определяет уровень безопасности.
В мае 2024-го подобная логика позволила атаковать протокол Hedgey Finance: из-за ошибки не отозвался USDC-approval, что позволило через ту же transferFrom вывести более 1,3 млн USDC и другие токены, которые были проданы примерно на $600 тыс. К атаке присоединились копикеты. В апреле 2024 года Magpie Protocol после эксплойта публично подчеркнула важность отзыва approvals в нескольких сетях, чтобы избежать дальнейших потерь.
Специалисты советуют регулярно проверять разрешения через Revoke.cash или другие инструменты и удалять доступы для контрактов, которыми не пользуются. Все кейсы демонстрируют один вывод: даже одноразовая подпись на фишинговом ресурсе может оставаться активным годами и срабатывать именно тогда, когда на кошельке появляется значительный баланс. Насчет фишинга следует быть максимально осторожным: на фоне роста стоимости активов и увеличения количества отложенных drain-атак аудит permissions должен стать базовой практикой ончейн-пользователей.
Источник: X
