Chaos w Web3 uderza mocno: miliony wyprowadzone w zaledwie dwa tygodnie 2026 roku – raport

Extropy donosi o poważnych hackach kryptowalutowych w styczniu 2026. Truebit traci 26 mln USD, naruszenie danych Ledger ujawnia użytkowników, a ataki phishingowe gwałtownie rosną.

Pierwsze dwa tygodnie 2026 roku przyniosły falę incydentów bezpieczeństwa na platformach Web3. 

Extropy opublikowało raport Security Bytes dokumentujący te wydarzenia. Ustalenia przedstawiają niepokojący obraz obecnego krajobrazu zagrożeń.

Według raportu, atakujący kontynuowali swoje działania przez okres świąteczny. Szkody wahały się od wielomilionowych exploitów po zaawansowane kampanie phishingowe.

Protokół Truebit traci 26 milionów dolarów z powodu błędu w starszym kodzie

Pierwszy poważny incydent w tym roku dotknął protokół Truebit 8 stycznia. Atakujący wykradł około 26 milionów dolarów w tym, co Extropy nazywa exploitem „kodu zombie".

Podatność wynikała z przepełnienia liczby całkowitej w starszych inteligentnych kontraktach. Te starsze kontrakty nie posiadały natywnych zabezpieczeń przed przepełnieniem obecnych w nowoczesnym Solidity. Atakujący wybił miliony tokenów TRU praktycznie bez żadnych kosztów.

Po utworzeniu, tokeny zalały z powrotem protokół. Cała dostępna płynność zniknęła w ciągu kilku godzin. Cena tokena TRU spadła o prawie 100% w zaledwie 24 godziny.

Extropy zauważa, że atakujący natychmiast przeniósł 8 535 ETH przez Tornado Cash. Firmy bezpieczeństwa później powiązały portfel z poprzednim exploitem protokołu Sparkle. To sugeruje, że sprawca wielokrotnie celuje w porzucone kontrakty.

Raport ostrzega, że starsze kontrakty pozostają krytyczną podatnością. Projekty muszą aktywnie monitorować lub wycofywać stary kod.

TMXTribe obserwuje wykradanie 1,4 mln USD w ciągu 36 godzin

Między 5 a 7 stycznia TMXTribe doznał wolniejszego, ale równie niszczycielskiego ataku. Fork GMX na Arbitrum stracił 1,4 miliona dolarów w ciągu 36 ciągłych godzin.

Extropy opisuje exploit jako mechanicznie prosty. Pętla biła tokeny LP, wymieniała je na stablecoiny, a następnie wielokrotnie je odstakowywała. Niezweryfikowane kontrakty uniemożliwiły publiczną analizę dokładnej wady.

Najbardziej niepokojąca dla badaczy była reakcja zespołu. Według raportu, deweloperzy pozostali aktywni on-chain przez cały czas ataku. Wdrożyli nowe kontrakty i wykonali aktualizacje podczas wykradania.

Jednak nigdy nie uruchomili funkcji awaryjnej pauzy. Zamiast tego zespół wysłał wiadomość on-chain z nagrodą do atakującego. Złodziej ją zignorował, przeniósł środki do Ethereum i wyprał je przez Tornado Cash.

Extropy kwestionuje, czy jest to zaniedbanie, czy coś gorszego. Raport podkreśla, że niezweryfikowane kontrakty stanowią sygnał ostrzegawczy dla użytkowników.

Klienci Ledger narażeni na zagrożenia bezpieczeństwa fizycznego

5 stycznia Ledger potwierdził naruszenie danych dotyczące jego bazy klientów. Naruszenie pochodziło od procesora płatności Global-e, a nie od sprzętu Ledger.

Zostały naruszone imiona i nazwiska klientów, adresy wysyłki i dane kontaktowe. Extropy ostrzega, że stwarza to scenariusze tzw. „ataków z użyciem klucza". Atakujący posiadają teraz listę właścicieli krypto portfeli sprzętowych i ich lokalizacje.

Raport zauważa gorzką ironię. Ledger wcześniej spotkał się z krytyką za pobieranie opłat za funkcje bezpieczeństwa. Teraz ich procesor płatności wystawił użytkowników na fizyczne niebezpieczeństwo bez żadnych kosztów.

Extropy radzi użytkownikom spodziewać się zaawansowanych prób phishingu. Skradzione dane pozwalają atakującym na budowanie fałszywego zaufania poprzez spersonalizowaną komunikację.

Powiązana lektura: Podsumowanie incydentów bezpieczeństwa dotyczących portfeli sprzętowych Ledger

Kampania phishingowa MetaMask wykrada 107 000 USD

Badacz bezpieczeństwa ZachXBT oznaczył zaawansowaną operację phishingową celującą w użytkowników MetaMask. Kampania wykradła ponad 107 000 USD z setek portfeli.

Ofiary otrzymały profesjonalne e-maile informujące o obowiązkowej aktualizacji w 2026 roku. Wiadomości wykorzystywały legalne szablony marketingowe i zawierały zmodyfikowane logo MetaMask. Extropy opisuje projekt liska z „czapeczką imprezową" jako rozbrajająco świąteczny.

Oszustwo unikało pytania o frazy seed. Zamiast tego prosiło użytkowników o podpisanie zatwierdzeń kontraktowych. To pozwoliło atakującym na przenoszenie nieograniczonej liczby tokenów z portfeli ofiar.

Utrzymując indywidualne kradzieże poniżej 2 000 USD, operacja uniknęła większych alarmów. Extropy podkreśla, że podpisy mogą być równie niebezpieczne jak wycieknięte klucze.

Post Web3 Chaos Hits Hard: Millions Drained in Just Two Weeks of 2026 – Report ukazał się najpierw w Live Bitcoin News.