Блокчейн-компания по безопасности PeckShield сообщила о масштабной краже криптовалюты на сумму около $27,3 млн. Инцидент связан со взломом мультиподписного кошелька (Gnosis Safe), идентифицированного как "0x1fC...d23Ac", который, по данным аналитиков, принадлежал частному инвестору («киту»), а не протоколу Aave. Первые признаки атаки были замечены в середине декабря 2025 года.
Механика атаки и отмывание средств: Получив контроль над кошельком, злоумышленник не просто вывел средства, а использовал их в серии сложных операций, что указывает на полный и продолжительный доступ. Значительная часть украденных активов была направлена в экосистему DeFi и через микшер Tornado Cash для обфускации следов. По последним данным PeckShield, через Tornado Cash уже было отмыто 6 300 ETH (примерно $19,4 млн по текущему курсу). В частности, хакер вывел 1 000 ETH (около $3,24 млн) из протокола Aave и немедленно перевёл их в микшер.
Рискованные финансовые операции хакера: Помимо отмывания, злоумышленник активно ведёт торговлю, используя украденные средства. В настоящее время он удерживает левериджованную длинную позицию на сумму около $9,75 млн на Aave, которая состоит из примерно $20,5 млн в ETH, предоставленных в качестве залога, и $10,7 млн в заёмных стейблкоинах DAI. Для минимизации риска ликвидации хакер постепенно выводит залог, а не закрывает позицию единовременно.
Контекст и последствия: Этот инцидент вновь поднимает вопросы о безопасности мультиподписных кошельков, которые, хотя и предназначены для снижения рисков за счёт необходимости множественных подписей, остаются уязвимыми при компрометации приватных ключей или систем подписания. Использование Tornado Cash серьёзно осложняет возможность возврата средств и создаёт регуляторные проблемы, так как взаимодействие с миксерами во многих юрисдикциях находится под запретом или пристальным наблюдением. PeckShield продолжает отслеживать адреса злоумышленника и призывает пользователей и протоколы к повышенной бдительности и аудиту настроек безопасности.
