Хаос у Web3: мільйони виведені всього за два тижні 2026 року – звіт

Extropy повідомляє про основні крипто-хакі у січні 2026 року. Truebit втрачає $26М, витік даних Ledger відкриває користувачам, та зростає кількість фішингових атак.

Перші два тижні 2026 року принесли хвилю інцидентів безпеки на платформах Web3.

Extropy опублікувала свій звіт Security Bytes, документуючи ці події. Висновки малюють тривожну картину сучасного ландшафту загроз.

Згідно з доповіддю, зловмисники продовжували свою діяльність під час святкових днів. Збитки коливалися від багатомільйонних експлойтів до складних фішингових кампаній.

Truebit Protocol втрачає $26 Мільйон через ваду у спадщинному коді

Перша велика інцидент у 2026 році стався з Truebit Protocol 8 січня. Зловмисник зняв приблизно $26 мільйон у тому, що Extropy називає експлойтом «зомбі-коду».

Уразливість виникла через переповнення цілого числа у спадщинних смарт-контрактах. Ці старі контракти не мали сучасних захистів Solidity від переповнення. Зловмисник створив мільйони токенів TRU майже безкоштовно.

Після створення, токени повернулися у протокол. Вся доступна ліквідність зникла за кілька годин. Ціна токена TRU обвалилася майже на 100% всього за 24 години.

Extropy зазначає, що зловмисник одразу переказав 8 535 ETH через Tornado Cash. Пізніше компанії з безпеки пов’язали цей гаманець з попереднім експлойтом Sparkle Protocol. Це свідчить про повторного порушника, який цілеспрямовано атакує закинуті контракти.

У звіті попереджають, що спадщинний код залишається критичною вразливістю. Проєкти повинні або активно моніторити, або застарілий код застаріває.

TMXTribe витрачає $1.4М за 36 годин

Між 5 та 7 січня TMXTribe зазнав повільнішої, але не менш руйнівної атаки. Форк GMX на Arbitrum втратив $1.4 мільйона за 36 безперервних годин.

Extropy описує експлойт як механічно простий. Цикл створював LP-токени, обмінював їх на стабількоі, потім повторно знімав. Неверифіковані контракти не дозволяли провести точний аналіз вразливості.

Найбільше тривогу викликала реакція команди. За даними звіту, розробники залишалися активними в мережі під час атаки. Вони розгортали нові контракти та виконували оновлення під час зливу.

Однак, вони так і не активували функцію аварійної зупинки. Замість цього команда надіслала повідомлення з нагородою через мережу зловмиснику. Ворог ігнорував його, переказав кошти на Ethereum і відмив їх через Tornado Cash.

Extropy ставить питання, чи це прояв недбалості, чи щось гірше. У звіті наголошується, що неверифіковані контракти є червоними прапорами для користувачів.

У перші дні січня ми вже побачили весь спектр збоїв Web3: зомбі-контракти, що друкують гроші, управління, що перетворюється на громадянську війну, неверифіковані форки, що повільно витікають, витоки ланцюгів поставок, що ставлять користувачів під фізичний ризик, фішинг, що озброює… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 січня 2026

Клієнти Ledger стикаються з фізичними ризиками безпеки

5 січня Ledger підтвердив витік даних, що вплинув на його клієнтську базу. Витік виник через платіжного процесора Global-e, а не через апаратне забезпечення Ledger.

Були скомпрометовані імена клієнтів, адреси доставки та контактна інформація. Extropy попереджає, що це створює сценарії, які фахівці з безпеки називають «викруткою» (wrench attack). Зловмисники тепер мають список власників криптоапаратних гаманців та їх місцезнаходжень.

У звіті зазначена гірка іронія. Раніше Ledger критикували за стягнення плати за функції безпеки. Тепер їх платіжний процесор відкрив користувачам фізичну небезпеку безкоштовно.

Extropy радить користувачам очікувати більш складних фішингових спроб. Вкрадені дані дозволяють зловмисникам встановлювати фальшиву довіру через персоналізовані повідомлення.

Пов’язане читання: Огляд інцидентів безпеки, що стосуються апаратних гаманців Ledger

Кампанія фішингу MetaMask витрачає $107,000

Дослідник безпеки ZachXBT вказав на складну фішингову операцію, спрямовану на користувачів MetaMask. Кампанія зняла понад $107,000 з сотень гаманців.

Жертви отримували професійні електронні листи з вимогою оновлення до 2026 року. У повідомленнях використовувалися легітимні шаблони маркетингу та змінений логотип MetaMask. Extropy описує дизайн «шапки-party» у вигляді лиса як досить святковий.

Мошенники не просили фрази відновлення. Замість цього, вони змушували користувачів підписувати дозволи на контракти. Це дозволяло зловмисникам переміщати необмежену кількість токенів з гаманців жертв.

Зберігаючи окремі крадіжки менше ніж на $2,000, операція уникала великих сповіщень. Extropy наголошує, що підписи можуть бути так само небезпечними, як і викрадені ключі.