Как безобидная иконка опустошила кошелек: крипторазработчик стал жертвой собственной невнимательности

"10 лет безупречной репутации — и всего один плагин свел всё на нет" — так Зак Коул, один из ключевых разработчиков Ethereum, описал свою первую в карьере крупную ошибку в безопасности. Его историю взлома уже называют классическим примером того, как даже опытные специалисты могут стать жертвами хитроумных схем.

Как это произошло

Коул установил расширение contractshark. solidity-lang для работы с Solidity — языком смарт-контрактов Ethereum. На первый взгляд всё выглядело легально:

• профессиональный дизайн иконки;
• детальное описание;
• более 54 000 загрузок.

Но уже через несколько дней разработчик обнаружил несанкционированный перевод средств. Оказалось, что плагин незаметно скопировал его.env-файл с приватным ключом и отправил злоумышленникам.

"Я в криптоиндустрии уже больше 10 лет, и меня ни разу не взламывали. Идеальная репутация по безопасности. Однако вчера мой кошелек впервые опустошил дрейнер в виде ИИ-ассистента Cursor", — написал Коул.

Хакеры выждали три дня, прежде чем вывести средства. Потери составили "несколько сотен долларов" в эфире — к счастью, основная часть активов хранилась на аппаратном кошельке.

Красные флаги, которые пропустил даже эксперт

Разбирая ситуацию, Коул выделил несколько тревожных сигналов, которые обычно указывают на мошенничество.

Неофициальный создатель — расширение не принадлежало известным разработчикам.

Отсутствие ссылки на GitHub — не было публичного кода для проверки.

Много загрузок, но ноль отзывов — явный признак накрутки.

Слишком свежая дата публикации — июль 2025, что подозрительно для плагина с десятками тысяч установок.

Название-имитация — напоминало legit-расширение, но с измененным URL.

"Спешка = игнорирование инстинктов", — резюмировал разработчик.

Что делать, если вас взломали

Коул дал четкие рекомендации для тех, кто столкнулся с кражей криптовалюты:

1. Немедленно сменить все приватные ключи.
2. Проверить Etherscan на подозрительные транзакции.
3. Отозвать выданные разрешения у смарт-контрактов.
4. Создать новый кошелек.
5. Задокументировать инцидент для анализа.

Масштабы атаки

Изучив отчеты "Лаборатории Касперского", Коул выяснил, что стал частью крупной кампании: злоумышленники уже похитили свыше $500 000 через подобные схемы.

Интересный факт: В мае 2025 года хакеры аналогичным образом атаковали пользователей macOS, подменив официальное приложение Ledger Live на фейковое, которое крало сид-фразы.