Project 0 zobowiązuje się do zwrotu środków po tym, jak kompromitacja GitHub wywołała atak phishingowy na użytkowników DeFi

W alertcie udostępnionym przez założyciela Project 0 (P0) MacBrennana Peeta, dyrektor zobowiązał się do pełnego zwrotu potwierdzonych strat po tym, jak atakujący infiltrowali system, aby przekierować odwiedziny użytkowników na stronie internetowej do witryny kradnącej kryptowaluty.

Post MacBrennana potwierdził, że co najmniej jeden użytkownik stracił 1000 USD, kiedy wypróbował nową stronę "z ciekawości".

Incydent bezpieczeństwa wymierzony w Project 0 zwiększa rekordową liczbę kradzieży kryptowalut przez złych aktorów wykorzystujących aktualizację Fusaka, która miała sprawić, że opłaty transakcyjne staną się nieistotne dla użytkowników sieci Ethereum, dodając do wzorca ataków wymierzonych w miejsca bogate w płynność.

Project 0 zgłasza najnowsze przejęcie domeny DeFi

Zgodnie z ujawnieniem MacBrennana, atakujący uzyskali dostęp do konta GitHub członka zespołu aplikacji, co pozwoliło im przekierowywać odwiedziny użytkowników między 21:45 a 22:19. 

Chociaż nie sprecyzował swojej strefy czasowej, użytkownicy, którzy próbowali odwiedzić stronę Project 0 w 40-minutowym oknie ataku, zostali przekierowani na inną stronę, co doprowadziło do straty co najmniej 1000 USD. 

Według danych Defillama, Project 0, natywny dla DeFi dom maklerski typu prime brokerage, który pozwala użytkownikom pożyczać pod zastaw całego portfela DeFi w wielu miejscach, obecnie posiada prawie 90 milionów USD w całkowitej zablokowanej wartości (TVL), osiągając szczyt powyżej 110 milionów USD od rozpoczęcia śledzenia pod koniec 2025 roku. Projekt twierdzi również, że ma wsparcie Multicoin, Pantera i Solana Ventures. 

Ten poziom aktywności i status, choć atrakcyjny dla użytkowników, jest również sygnałem dla atakujących szukających celów o wysokiej wartości. 

Cryptopolitan poinformował, że OpenEden i BonkFun przetrwały podobne ataki, gdy atakujący skompromitowali domeny zarejestrowane dla projektów. 

W obu przypadkach atak nie wpłynął na skarbce projektów ani pozycje użytkowników, ponieważ szkody w tego rodzaju atakach są zazwyczaj ograniczone do odwiedzających witrynę podczas okna exploitu, co zwykle jest szybko łagodzone przez responsywne zespoły. 

Podczas gdy dokładna kwota straty jest nadal niepotwierdzona, MacBrennan zobowiązał się do rozszerzenia zwrotu na wszelkie inne zweryfikowane straty klientów podczas ataku. 

Użytkownicy Ethereum stają się celami ataków zatrucia adresów

Kiedy deweloperzy Ethereum przeprowadzili aktualizację Fusaka w grudniu 2025 roku, reklamowali aktualizację jako "ostatecznego bossa" w uczynieniu transakcji mainnet przystępnymi cenowo. 

Czego nie przewidzieli, to że stanie się to ostatnim elementem układanki dla atakujących polujących na cele o wysokiej wartości w bogatym w płynność ekosystemie Ethereum, który posiada prawie 60 miliardów USD w protokołach DeFi i ponad 160 miliardów USD w kapitalizacji rynkowej stablecoinów.  

Oficjalne konto Etherscan na X zwróciło uwagę na rosnące zagrożenie w swoim artykule "Ataki zatrucia adresów rosną na Ethereum". Raport przytoczył badanie z 2025 roku porównujące próby zatrucia przed i po aktualizacji Fusaka, aby podkreślić proliferację tych ataków od grudniowej aktualizacji. 

Transfery dust, które są małymi depozytami (poniżej 0,01 USD) mającymi na celu zastąpienie adresów w historii transakcji użytkowników portfelami kontrolowanymi przez atakujących, podążały za trendem, ponieważ aktywność transakcyjna w sieci głównej Ethereum wzrosła o około 30% we wszystkich obszarach w ciągu 90 dni po aktualizacji Fusaka, z towarzyszącym 78% wzrostem tworzenia nowych adresów. 

Tabela porównująca wskaźnik ataków zatrucia adresów przed i po aktualizacji Fusaka. 

To gra liczbowa

Cryptopolitan informował o kilku głośnych stratach związanych z nową zmorą użytkowników Ethereum, przy czym strata 50 milionów USD z grudnia stworzyła największy nagłówek. Najwyraźniej ofiara w incydencie faktycznie wysłała 50 USD w testowej transakcji, aby upewnić się, że ma prawidłowy adres. 

Jednak w czasie, który zajęło przetestowanie adresu i zainicjowanie rzeczywistego przelewu 50 milionów USD, źli aktorzy przerwali historię transakcji nadawcy własnymi transferami dust, co ostatecznie doprowadziło do straty. 

Ten incydent podkreśla skalę i prędkość tych operacji, ponieważ atakujący faktycznie konkurują, aby zatruć adresy potencjalnych ofiar. Jak podkreślił Etherscan, "zaledwie dwa transfery stablecoinów" przez użytkownika jego usługi wywołały "ponad 89 e-maili z alertami o obserwacji adresów". 

Tylko około 1 na 10 000 prób jest udanych, ale kiedy porównuje się 79 milionów USD potwierdzonych strat w 17 milionach prób wymierzonych w około 1,3 miliona użytkowników, matematyka działa na korzyść tych atakujących, którzy ponoszą mniej niż 1 USD na każdą próbę. 

Nie tylko czytaj wiadomości krypto. Zrozum je. Zasubskrybuj nasz newsletter. Jest darmowy.