Хакер Coinbase Commerce проснулся и перевел 5,4 млн долларов на счет Tornado CashВзлом Coinbase Commerce (2024): связанный кошелек восстановился после почти двух лет бездействия. Данные блокчейна показывают, что злоумышленник начал переводить средства в январе 2026 года. В результате новых операций он внес в Tornado Cash Ethereum на сумму 5,4 миллиона долларов.
Перед внесением депозитов связанный с кражей адрес перевел примерно 5,8 миллиона долларов в DAI на новый кошелек. Эти DAI были обменяны на Ether. Затем ETH были разделены на несколько депозитов, и активность Tornado Cash следовала четкой схеме пакетной обработки. Злоумышленник отправил двадцать депозитов по 100 ETH, а затем последовали меньшие суммы. Среди них были 10 ETH, 1 ETH и дробные переводы. Однако на отдельном кошельке, связанном со злоумышленником, до сих пор хранится около 4,6 миллиона долларов в DAI.
Это происходит на фоне сильного давления со стороны продавцов на мировом криптовалютном рынке. За последние 7 дней Ethereum упал почти на 10%. В апреле 2024 года, когда произошла атака, ETH торговался в диапазоне $3100-$3700. На данный момент средняя цена Ether составляет $2890.
Уязвимость Coinbase Commerce
dent tracдо даты, указанной в апреле 2024 года. Специалист по анализу блокчейна ZachXBT сообщил о подозрительных оттоках средств изtracCoinbase Commerce. 21 апреля 2024 годаtracзафиксировал более 1700 USDC за 16 часов на Polygon. Общая сумма составила 15,97 миллиона долларов.
Схема указывала на то, что мошенничество совершил продавец, использующий Coinbase Commerce. Средства были украдены в результате многократных переводов. Украденные USDC позже были переведены с Polygon на Ethereum. Затем они были обменяны на Ether и распределены между тремя кошельками.
Злоумышленник возобновил свою деятельность после почти двухлетнего затишья и теперь переводит украденные средства на счет Tornado Cash.
На данный момент на счет поступило в общей сложности 5,4 миллиона долларов.
До этого с адреса, использованного для кражи, было переведено 5,8 млн DAI на новый кошелек, который впоследствии был обменен на… https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U
— Specter (@SpecterAnalyst) 26 января 2026 г.
Вскоре после кражи злоумышленник, использующий псевдоним «Excite», начал обсуждать украденные средства в личных чатах. ZachXBT связал эти заявления с адресами, имеющими отношение к оттоку средств. Он упомянул, что еще в мае 2024 года пользователь Telegram под ником «tezedasads12» отправил транзакцию в размере 1 DAI. Этот перевод был использован для подтверждения контроля над кошельком, в котором хранилось около 6 миллионов долларов, украденных в результате кражи.
Тот же актёр заявил о своих правах на имя пользователя в Instagram под именем «Excite». Он также пытался приобрести аналогичное имя пользователя в Telegram, но безуспешно. Аккаунт в Instagram изначально был закрытым, но позже стал публичным. На фотографиях в аккаунте были изображены дорогие часы и другие ценные вещи.
ZachXBT заявил , что, согласно информации из открытых источников, этот человек мог находиться в Дании. Эта деталь не была независимоdent. После первоначального этапа отмывания большая часть средств перестала перемещаться. Кошельки, связанные с эксплойтом, стали неактивными. Тем временем меньшая часть средств была позже переведена через децентрализованные биржи и платформы для стейкинга. Эти транзакции использовались для перевода активов в новые кошельки.
Один из адресов для внесения депозитов показал высокую степень близости к известной инфраструктуре водоотводных сооружений. Следователи расценили это как сигнал риска. Tornado Cash стало первой крупной операцией, связанной с этой эксплойтом, почти за два года.
Взлом Coinbase в 2025 году
Этот случай дополняет сериюdentв сфере безопасности, связанных с Coinbase. В мае 2025 года Coinbase сообщила об отдельной кибератаке. Компания заявила, чтоdent может обойтись до 400 миллионов долларов. В том случае злоумышленники получили ограниченные данные о клиентах, заплативtracи сотрудникам. Эти данные были использованы для того, чтобы выдать себя за Coinbase и обмануть пользователей.
Coinbase заявила, что пострадало менее 1% клиентов. Злоумышленники потребовали 20 миллионов долларов, но Coinbase отказалась платить. Приватные ключи не были скомпрометированы. Однако компания заявила, что возместит ущерб пострадавшим пользователям.
