Система мониторинга Cyvers Alerts зафиксировала серию подозрительных транзакций в сети Arbitrum (ARB), которые привели к утечке средств на сумму около $1,5 миллиона. Инцидент, произошедший 5 января 2026 года, связан с манипуляцией прокси-контрактом, используемым проектами USDGambit и TLP.
Предварительный анализ указывает, что единственный разработчик (деплоер) этих проектов, вероятно, утратил доступ к своим учётным данным, что позволило злоумышленнику получить контроль. Атакующий, используя адрес 0x763…12661, сфокусировался на контракте типа TransparentUpgradeableProxy. Манипулируя структурой ProxyAdmin — ключевым уровнем управления в обновляемых контрактах, — злоумышленник обошёл стандартные ограничения доступа и осуществил несанкционированный перевод USDT с адреса жертвы (0x67a…e1cb4) на свой собственный.
После успешной атаки средства были быстро выведены из экосистемы Arbitrum. Похищенные активы были переброшены (bridged) в сеть Ethereum, а затем для запутывания следов внесены в децентрализованный протокол конфиденциальности Tornado Cash. Это значительно осложняет любые попытки отслеживания и возврата средств.
Инцидент вновь поднимает острые вопросы операционной безопасности и управления привилегированным доступом в DeFi-секторе, выходящие за рамки проверки самого кода смарт-контрактов. Уязвимость связана не с ошибкой в логике контракта, а с потерей контроля над административными ключами. Это заставляет команды пересматривать практики управления ключами, процедуры обновлений и системы оперативного обнаружения подозрительной активности.
На момент публикации новости официальных заявлений от представителей пострадавших проектов не последовало. Рыночные данные показывают, что токен ARB торговался на уровне около $0,22 с рыночной капитализацией ~$1,25 млрд. За последние 90 дней его цена упала почти на 49%, однако за неделю выросла на 14%. Объём торгов за 24 часа увеличился на 45%, составив $115 млн.
