Компания CertiK зафиксировала новый крупный инцидент в сети Ethereum: у владельца ERC-20-кошелька похитили около $340 000 в USDC через старое разрешение (approval), подписанное еще в октябре 2020 года на фишинговом ресурсе.
По данным аналитиков, злоумышленник, контролировавший прокси-контракт 0x0689…4B43, более пяти лет ждал, пока на кошельке появится значительный баланс. Когда сумма стала выгодной, он провел одну операцию и вывел все доступные стейблкоины с помощью функции transferFrom, которая не требует повторного подтверждения, если approval не был отозван.
В стандарте ERC-20 разрешения действуют бессрочно — до тех пор, пока пользователь не отменит их вручную. При этом простое «disconnect wallet» в интерфейсе не отменяет уже выданные доступы. CertiK подчеркивает, что забытые approvals становятся долгосрочным риском, особенно для стейблкоинов и ликвидных активов.
Подобные случаи случались и ранее
В августе 2025 года другой пользователь потерял $908 551 в USDC: вредоносное разрешение было подписано в апреле 2024 года, а вывод средств случился через 458 дней.
В мае 2024 года забытый USDC-approval стал причиной эксплойта протокола Hedgey Finance, откуда украли более 1,3 млн USDC и другие активы.
В апреле 2024 года похожая проблема возникла у Magpie Protocol, где забытые разрешения угрожали дополнительными потерями.
Специалисты по ончейн-безопасности рекомендуют регулярно проверять и отзывать разрешения через сервисы вроде Revoke.cash и удалять доступы для контрактов, которыми пользователь больше не пользуется.
Эксперты подчеркивают: даже однократная подпись на фишинговом сайте может оставаться активной годами и используется злоумышленником именно тогда, когда на кошельке появляется крупная сумма.
