Это последнее нападение произошло после предыдущих фишинговых кампаний, включая поддельные письма с брендом Ledger, которые были отправлены клиентам в апреле. Последнее обновление Pectra Ethereum также представило опасную уязвимость через EIP-7702, позволяя использовать вне блокчейна подписи, которые могут позволить хакерам взять под контроль кошельки без подтверждения пользователя. Это вызвало серьезные опасения среди исследователей безопасности, которые даже назвали угрозу критической. На BNB Chain токен Mobius Token (MBU) пострадал от эксплуатации на сумму 2,15 миллиона долларов, когда злонамеренный смарт-контракт вывел миллионы токенов и конвертировал их в стейблкоины.
Пользователи Ledger снова под прицелом
Поставщик аппаратных кошельков Ledger подтвердил, что его сервер Discord был защищен после того, как злоумышленник скомпрометировал аккаунт модератора 11 мая. Злоумышленник использовал его для публикации вредоносных ссылок, которые были направлены на обман пользователей с целью заставить их раскрыть свои фразы-синонимы для кошельков.
По словам члена команды Ledger Квинтина Боутрайта, утечка была быстро локализована. Скомпрометированная учетная запись модератора была удалена, вредоносный бот удален, мошеннический веб-сайт был сообщен, и все разрешения были пересмотрены и заблокированы, чтобы предотвратить дальнейшее злоупотребление. Однако некоторые члены сообщества утверждали, что злоумышленник злоупотребил привилегиями модератора, чтобы заблокировать и отключить пользователей, которые пытались сообщить о нарушении, что могло задержать первоначальный ответ Ledger.
Мошенничество заключалось в сообщении, утверждающем о недавно обнаруженной уязвимости в системах Ledger, и призывало пользователей проверить свои seed-фразы через мошенническую ссылку. Пользователей затем просили подключить свои кошельки и следовать поддельным инструкциям на экране, что создало серьезный риск потери средств. Хотя все еще неясно, попали ли какие-либо пользователи в ловушку мошенников, скриншоты обманчивых сообщений широко распространялись на X.
Эта последняя попытка фишинга следует за тревожной тенденцией. В апреле мошенники отправили физические письма владельцам аппаратных кошельков Ledger, призывая их вводить свои фразы восстановления через QR-коды под предлогом проверки безопасности. Эти письма имели официальное оформление и ссылки, чтобы казаться легитимными.
Некоторые получатели предположили, что рассылки были связаны с утечкой данных в июле 2020 года, когда личная информация более 270 000 клиентов Ledger — включая имена, номера телефонов и адреса — была размещена в интернете. В год после утечки несколько пользователей сообщили о получении поддельных устройств Ledger, оснащенных вредоносным ПО. В целом, кажется, что клиенты Ledger становятся целью для сложных мошенников.
Обновление Pectra вводит опасный недостаток
Остальным пользователям Ledger также следует быть осторожными. Недавнее обновление сети Pectra Ethereum, которое было запущено 7 мая, представило мощные новые функции, предназначенные для повышения масштабируемости и улучшения функциональности смарт-аккаунтов. Однако оно также выявило серьезную новую вектор атаки, который может позволить хакерам опустошить кошельки пользователей, используя лишь вне блокчейна подпись.
В центре проблемы находится EIP-7702, который является ключевой частью обновления, позволяющего пользователям делегировать контроль над своими внешними аккаунтами (EOAs) смарт-контракту, подписывая сообщение — без необходимости отправлять транзакцию в блокчейне.
Это изменение позволяет злоумышленникам использовать ничего не подозревающих пользователей с помощью попыток фишинга или поддельных приложений. Если злоумышленник получает действующую подпись, он может использовать (type 0x04) транзакции SetCode для установки кода в кошелек жертвы, который перенаправляет звонки на контракт, находящийся под контролем злоумышленника. Оттуда они могут переводить ETH или токены из кошелька без авторизации обычной транзакции со стороны пользователя. Исследователи в области безопасности, такие как Арда Усман и Егор Рудица, подтвердили, что этот риск является непосредственным и критическим. Смарт-контракты, которые зависят от устаревших предположений, таких как проверки tx.origin, теперь уязвимы.
Что делает эту атаку особенно опасной, так это то, как легко ее можно развернуть через обычные вне блокчейна взаимодействия — сообщения в Discord, фишинговые сайты или поддельные DApp. Интерфейсы кошельков, которые неправильно отображают или интерпретируют новый тип транзакции, особенно подвержены риску, и подписи могут даже повторно использоваться на любой совместимой с Ethereum цепочке из-за потенциала для подписей chain_id = 0. Rudytsia объяснил, что с этого момента даже аппаратные кошельки уязвимы для подписания вредоносных сообщений о делегировании.
Пользователям настоятельно рекомендуется не подписывать сообщения, которые они не понимают, особенно те, которые касаются нонсов аккаунта или нераспознанных форматов. Разработчики кошельков должны быстро адаптироваться, интегрируя парсинг подписей и четкие предупреждения о попытках делегирования, так как сообщения, разрешенные EIP-7702, часто обходят существующие стандарты, такие как EIP-191 и EIP-712.
Хотя мультиподписные кошельки предлагают большую защиту благодаря необходимости получения нескольких одобрений, кошельки с одним ключом все еще должны эволюционировать, чтобы обнаруживать эти новые угрозы. Наряду с EIP-7702, обновление Pectra также включало EIP-7251, увеличивающее предел ставок валидаторов до 2,048 ETH, и EIP-7691, который улучшает масштабируемость второго уровня, увеличивая количество данных блобов на блок. К сожалению, непреднамеренные последствия механизма делегирования уже оказываются главной проблемой безопасности.
Токен Mobius пострадал от эксплуатации
Тем временем более 2,15 миллиона долларов в цифровых активах были украдены из смарт-контрактов Mobius Token (MBU) на BNB Chain после целенаправленного эксплойта 11 мая, согласно информации от компании по безопасности блокчейна Cyvers Alerts. Атака была выполнена с точностью, начавшись всего через несколько минут после развертывания вредоносного смарт-контракта. Cyvers отметила это как подозрительное до того, как произошел эксплойт.
Атакующий инициировал эксплойт, используя адрес кошелька 0xb32a53… примерно в 07:33 UTC, всего через две минуты после развертывания вредоносного контракта. Эксплойт был нацелен на кошелек жертвы, идентифицированный как 0xb5252f…, и успешно вывел 28,5 миллиона токенов MBU. Украденные токены затем были быстро конвертированы в стейблкоины USDT, что привело к общей потере в $2,152,219.99. Cyvers подтвердил, что атакующий использовал адрес контракта 0x631adf… для проведения серии вредоносных транзакций.
Безопасная компания охарактеризовала уязвимость как "критическую", из-за подозрительной логики контракта и аномального поведения транзакций, которое использовал хакер. На данный момент кошелек злоумышленника остается активным, а украденные средства были депонированы в Tornado Cash.
Этот эксплойт является частью более широкой тенденции нарастающих краж криптовалют в 2025 году. Согласно отчету компании по безопасности блокчейна PeckShield, только в апреле было украдено почти 360 миллионов долларов в криптоактивах в результате 18 крупных хакерских инцидентов. Это было ошеломляющее увеличение потерь на 990% по сравнению с мартом, когда было потеряно всего 33 миллиона долларов из-за взломов.
Одним из самых серьезных событий, способствовавших общему итогу апреля, стал несанкционированный перевод $330 миллионов в биткойнах, который позже был подтвержден как результат атаки социальной инженерии, нацеленной на пожилого жителя США.
В целом, эксплуатация токена Mobius служит еще одним ярким напоминанием об urgent необходимости улучшения аудита контрактов и систем обнаружения угроз в реальном времени на платформах DeFi.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Хакеры используют аккаунт модератора Ledger для распространения фишинговых ссылок
Это последнее нападение произошло после предыдущих фишинговых кампаний, включая поддельные письма с брендом Ledger, которые были отправлены клиентам в апреле. Последнее обновление Pectra Ethereum также представило опасную уязвимость через EIP-7702, позволяя использовать вне блокчейна подписи, которые могут позволить хакерам взять под контроль кошельки без подтверждения пользователя. Это вызвало серьезные опасения среди исследователей безопасности, которые даже назвали угрозу критической. На BNB Chain токен Mobius Token (MBU) пострадал от эксплуатации на сумму 2,15 миллиона долларов, когда злонамеренный смарт-контракт вывел миллионы токенов и конвертировал их в стейблкоины.
Пользователи Ledger снова под прицелом
Поставщик аппаратных кошельков Ledger подтвердил, что его сервер Discord был защищен после того, как злоумышленник скомпрометировал аккаунт модератора 11 мая. Злоумышленник использовал его для публикации вредоносных ссылок, которые были направлены на обман пользователей с целью заставить их раскрыть свои фразы-синонимы для кошельков.
По словам члена команды Ledger Квинтина Боутрайта, утечка была быстро локализована. Скомпрометированная учетная запись модератора была удалена, вредоносный бот удален, мошеннический веб-сайт был сообщен, и все разрешения были пересмотрены и заблокированы, чтобы предотвратить дальнейшее злоупотребление. Однако некоторые члены сообщества утверждали, что злоумышленник злоупотребил привилегиями модератора, чтобы заблокировать и отключить пользователей, которые пытались сообщить о нарушении, что могло задержать первоначальный ответ Ledger.
Мошенничество заключалось в сообщении, утверждающем о недавно обнаруженной уязвимости в системах Ledger, и призывало пользователей проверить свои seed-фразы через мошенническую ссылку. Пользователей затем просили подключить свои кошельки и следовать поддельным инструкциям на экране, что создало серьезный риск потери средств. Хотя все еще неясно, попали ли какие-либо пользователи в ловушку мошенников, скриншоты обманчивых сообщений широко распространялись на X.
Эта последняя попытка фишинга следует за тревожной тенденцией. В апреле мошенники отправили физические письма владельцам аппаратных кошельков Ledger, призывая их вводить свои фразы восстановления через QR-коды под предлогом проверки безопасности. Эти письма имели официальное оформление и ссылки, чтобы казаться легитимными.
Некоторые получатели предположили, что рассылки были связаны с утечкой данных в июле 2020 года, когда личная информация более 270 000 клиентов Ledger — включая имена, номера телефонов и адреса — была размещена в интернете. В год после утечки несколько пользователей сообщили о получении поддельных устройств Ledger, оснащенных вредоносным ПО. В целом, кажется, что клиенты Ledger становятся целью для сложных мошенников.
Обновление Pectra вводит опасный недостаток
Остальным пользователям Ledger также следует быть осторожными. Недавнее обновление сети Pectra Ethereum, которое было запущено 7 мая, представило мощные новые функции, предназначенные для повышения масштабируемости и улучшения функциональности смарт-аккаунтов. Однако оно также выявило серьезную новую вектор атаки, который может позволить хакерам опустошить кошельки пользователей, используя лишь вне блокчейна подпись.
В центре проблемы находится EIP-7702, который является ключевой частью обновления, позволяющего пользователям делегировать контроль над своими внешними аккаунтами (EOAs) смарт-контракту, подписывая сообщение — без необходимости отправлять транзакцию в блокчейне.
Это изменение позволяет злоумышленникам использовать ничего не подозревающих пользователей с помощью попыток фишинга или поддельных приложений. Если злоумышленник получает действующую подпись, он может использовать (type 0x04) транзакции SetCode для установки кода в кошелек жертвы, который перенаправляет звонки на контракт, находящийся под контролем злоумышленника. Оттуда они могут переводить ETH или токены из кошелька без авторизации обычной транзакции со стороны пользователя. Исследователи в области безопасности, такие как Арда Усман и Егор Рудица, подтвердили, что этот риск является непосредственным и критическим. Смарт-контракты, которые зависят от устаревших предположений, таких как проверки tx.origin, теперь уязвимы.
Что делает эту атаку особенно опасной, так это то, как легко ее можно развернуть через обычные вне блокчейна взаимодействия — сообщения в Discord, фишинговые сайты или поддельные DApp. Интерфейсы кошельков, которые неправильно отображают или интерпретируют новый тип транзакции, особенно подвержены риску, и подписи могут даже повторно использоваться на любой совместимой с Ethereum цепочке из-за потенциала для подписей chain_id = 0. Rudytsia объяснил, что с этого момента даже аппаратные кошельки уязвимы для подписания вредоносных сообщений о делегировании.
Пользователям настоятельно рекомендуется не подписывать сообщения, которые они не понимают, особенно те, которые касаются нонсов аккаунта или нераспознанных форматов. Разработчики кошельков должны быстро адаптироваться, интегрируя парсинг подписей и четкие предупреждения о попытках делегирования, так как сообщения, разрешенные EIP-7702, часто обходят существующие стандарты, такие как EIP-191 и EIP-712.
Хотя мультиподписные кошельки предлагают большую защиту благодаря необходимости получения нескольких одобрений, кошельки с одним ключом все еще должны эволюционировать, чтобы обнаруживать эти новые угрозы. Наряду с EIP-7702, обновление Pectra также включало EIP-7251, увеличивающее предел ставок валидаторов до 2,048 ETH, и EIP-7691, который улучшает масштабируемость второго уровня, увеличивая количество данных блобов на блок. К сожалению, непреднамеренные последствия механизма делегирования уже оказываются главной проблемой безопасности.
Токен Mobius пострадал от эксплуатации
Тем временем более 2,15 миллиона долларов в цифровых активах были украдены из смарт-контрактов Mobius Token (MBU) на BNB Chain после целенаправленного эксплойта 11 мая, согласно информации от компании по безопасности блокчейна Cyvers Alerts. Атака была выполнена с точностью, начавшись всего через несколько минут после развертывания вредоносного смарт-контракта. Cyvers отметила это как подозрительное до того, как произошел эксплойт.
Атакующий инициировал эксплойт, используя адрес кошелька 0xb32a53… примерно в 07:33 UTC, всего через две минуты после развертывания вредоносного контракта. Эксплойт был нацелен на кошелек жертвы, идентифицированный как 0xb5252f…, и успешно вывел 28,5 миллиона токенов MBU. Украденные токены затем были быстро конвертированы в стейблкоины USDT, что привело к общей потере в $2,152,219.99. Cyvers подтвердил, что атакующий использовал адрес контракта 0x631adf… для проведения серии вредоносных транзакций.
Безопасная компания охарактеризовала уязвимость как "критическую", из-за подозрительной логики контракта и аномального поведения транзакций, которое использовал хакер. На данный момент кошелек злоумышленника остается активным, а украденные средства были депонированы в Tornado Cash.
Этот эксплойт является частью более широкой тенденции нарастающих краж криптовалют в 2025 году. Согласно отчету компании по безопасности блокчейна PeckShield, только в апреле было украдено почти 360 миллионов долларов в криптоактивах в результате 18 крупных хакерских инцидентов. Это было ошеломляющее увеличение потерь на 990% по сравнению с мартом, когда было потеряно всего 33 миллиона долларов из-за взломов.
Одним из самых серьезных событий, способствовавших общему итогу апреля, стал несанкционированный перевод $330 миллионов в биткойнах, который позже был подтвержден как результат атаки социальной инженерии, нацеленной на пожилого жителя США.
В целом, эксплуатация токена Mobius служит еще одним ярким напоминанием об urgent необходимости улучшения аудита контрактов и систем обнаружения угроз в реальном времени на платформах DeFi.