Проєкт 0 обіцяє повернути кошти після компрометації GitHub, що спричинила фішингову атаку на користувачів DeFi

У попередженні, оприлюдненому засновником Project 0 (P0) МакБреннаном Пітом, керівник зобов'язався повністю відшкодувати підтверджені збитки після того, як зловмисники проникли в систему, щоб перенаправити відвідувачів сайту на веб-сайт для крадіжки криптовалюти.

Публікація МакБреннана підтвердила, що принаймні один користувач втратив $1 000, коли спробував новий сайт «з цікавості».

Інцидент безпеки, спрямований на Project 0, доповнює рекордну кількість крадіжок криптовалюти зловмисниками, які використовують оновлення Fusaka, яке мало зробити комісії за транзакції несуттєвими для користувачів мережі Ethereum, додаючи до моделі атак, спрямованих на платформи з високою ліквідністю.

Project 0 повідомляє про останнє викрадення DeFi-домену

Згідно з розголошенням МакБреннана, зловмисники отримали доступ до облікового запису GitHub члена команди додатка, що дозволило їм перенаправляти відвідування користувачів з 21:45 до 22:19. 

Хоча він не вказав свій часовий пояс, користувачі, які намагалися відвідати веб-сайт Project 0 протягом 40-хвилинного вікна атаки, були перенаправлені на інший веб-сайт, що призвело до втрати принаймні $1 000. 

За даними Defillama, Project 0, власний для DeFi прайм-брокер, який дозволяє користувачам позичати під заставу всього свого DeFi-портфеля на кількох платформах, наразі утримує майже $90 мільйонів загальної заблокованої вартості (TVL), досягнувши піку понад $110 мільйонів з моменту початку відстеження наприкінці 2025 року. Проєкт також стверджує про підтримку Multicoin, Pantera та Solana Ventures. 

Такий рівень активності та статусу, хоча й привабливий для користувачів, також є маяком для зловмисників, які шукають високовартісні цілі. 

Cryptopolitan повідомляв, що OpenEden та BonkFun зазнали подібних атак, коли зловмисники скомпрометували домени, зареєстровані на проєкти. 

В обох випадках атака не вплинула на сховища проєктів або позиції користувачів, оскільки шкода в таких атаках зазвичай обмежується відвідувачами веб-сайту під час вікна експлойту, що зазвичай швидко усувається оперативними командами. 

Хоча точна сума втрат все ще не підтверджена, МакБреннан зобов'язався поширити компенсацію на будь-які інші перевірені втрати клієнтів під час атаки. 

Користувачі Ethereum стають мішенями атак викрадення адрес

Коли розробники Ethereum протягнули оновлення Fusaka у грудні 2025 року, вони рекламували оновлення як «фінального боса» у зробленні транзакцій мейннету доступними. 

Те, чого вони не побачили, це те, що воно стане останнім елементом пазла для зловмисників, що переслідують високовартісні цілі в багатій на ліквідність екосистемі Ethereum, яка утримує майже $60 мільярдів у протоколах DeFi та понад $160 мільярдів у ринковій капіталізації стейблкоїнів.  

Офіційний акаунт Etherscan на X звернув увагу на зростаючу загрозу у своїй статті «Атаки викрадення адрес зростають на Ethereum». Звіт посилався на дослідження 2025 року, порівнюючи спроби отруєння до і після оновлення Fusaka, щоб підкреслити поширення цих атак з моменту грудневого оновлення. 

Пилові перекази, які є невеликими депозитами (нижче $0,01), призначені для заміни адрес в історії транзакцій користувачів на гаманці, контрольовані зловмисниками, слідували тенденції, оскільки активність транзакцій на мейннеті Ethereum зросла приблизно на 30% по всіх напрямках протягом 90 днів після оновлення Fusaka, з супутнім зростанням на 78% створення нових адрес. 

Таблиця порівняння рівня атак викрадення адрес до і після оновлення Fusaka. 

Це гра чисел

Cryptopoitan повідомляв про кілька гучних втрат через нову біду користувачів Ethereum, причому втрата $50 мільйонів у грудні створила найбільший заголовок. Очевидно, жертва інциденту фактично надіслала $50 у тестовій транзакції, щоб переконатися, що у них правильна адреса. 

Однак за час, необхідний для тестування адреси та ініціювання фактичного переказу на $50 мільйонів, зловмисники розставили в історії транзакцій відправника свої власні пилові перекази, що зрештою призвело до втрати. 

Цей інцидент підкреслює масштаб і швидкість цих операцій, оскільки зловмисники фактично конкурують, щоб перевершити отруєння адрес потенційних жертв. Як підкреслив Etherscan, «лише два перекази стейблкоїнів» користувача його сервісу спровокували «більше 89 електронних листів із сповіщеннями про спостереження за адресами». 

Лише близько 1 із 10 000 спроб є успішними, але коли порівнюєш $79 мільйонів підтверджених втрат з 17 мільйонів спроб, спрямованих приблизно на 1,3 мільйона користувачів, математика працює на цих зловмисників, які витрачають менше $1 на кожну спробу. 

Не просто читайте новини про криптовалюту. Розумійте їх. Підпишіться на нашу розсилку. Це безкоштовно.