Децентрализованный протокол Balancer подвергся одной из крупнейших атак 2025 года.

По данным аналитических сервисов, злоумышленник вывел активы на сумму около $116 млн, действуя с высокой степенью подготовки и продуманной схемой маскировки транзакций.

⚙️ Ход атаки

Хакер использовал мелкие транши через Tornado Cash — по 0.1 ETH — чтобы не вызывать подозрений.
По словам директора Coinbase Коннора Грогана, средства на кошельке преступника могли быть связаны с другими эксплойтами.

«Атакующий опытен: он грамотно использовал анонимные транзакции, избежал утечек и продемонстрировал высокий уровень понимания on-chain-инфраструктуры», — отметил Гроган.

🧠 Аналитика экспертов

Компания Cyvers Security назвала этот взлом «одной из самых продуманных атак года».
CEO Cyvers Дедди Лавид отметил, что речь идёт не о баге в коде, а об ошибках в операционном управлении и недостаточном уровне мониторинга.

«Аудит больше не гарантирует защиту. Без постоянного анализа активности в смарт-контрактах риски остаются крайне высокими», — подчеркнул эксперт.

Что произошло

Core-разработчик Ethereum Зак Коул лишился части средств из-за вредоносного AI-расширения для Cursor.
Плагин contractshark.solidity-lang выглядел как полноценный инструмент:
— аккуратная иконка,
— хорошее описание,
— более 54 000 установок.

Однако в коде был встроен функционал, считывающий .env-файл и отправляющий приватный ключ на сервер атакующего. Это дало злоумышленнику доступ к горячему кошельку разработчика на три дня.

Потери оказались незначительными — «пара сотен долларов» в ETH, так как горячие кошельки использовались для тестов, а основные активы хранились на холодных.

Рост активности крипто-дрейнеров

• В сентябре 2024 года поддельный WalletConnect в Google Play 5 месяцев воровал активы, похитив более $70 000.

• Мошенники часто маскируют вредоносные расширения под полезные утилиты и используют typosquatting (похожие названия) для кражи ключей.

Как снизить риски (по данным Cyvers Security)

• Проверяйте издателей и репутацию расширений.