В блокчейне Binance обнаружено масштабное ограблен...

Относительно малоизвестный токен под названием ATM, развернутый в смарт-цепочке $BNB (BSC), стал последней жертвой уязвимости смарт-контракта. Злоумышленник похитил около $243 500, воспользовавшись нестандартной логикой в функции TransferFrom() токена.

Платформы мониторинга безопасности TenArmor сообщили об инциденте 4 июня 2026 года. Оповещения показали, как механика пользовательских токенов, часто добавляемая для комиссий, предоставления ликвидности или вознаграждений, может создавать серьезные уязвимости, которые можно использовать, если они не защищены должным образом.

#CertiKInsight

Мы видели эксплойт на токене банкомата на сумму около 243 тысяч долларов. TransferFrom() включает в себя логику для обмена 20% суммы перевода банкомата на BSC-USD, поэтому злоумышленник может неоднократно обменять лишнюю сумму после перевода. https://t.co/mf6uhujZgK

Будьте бдительны! pic.twitter.com/hwN1B3Xt0m

– Оповещение CertiK (@CertiKAlert) 4 июня 2026 г.

Согласно анализу CertiK, основная проблема заключается в реализации TransferFrom() контракта токена. Вместо выполнения стандартной передачи токенов эта функция автоматически запускала обмен 20% от суммы перевода через банкомат в BSC-USD (или эквивалент) через децентрализованный обменный маршрутизатор.

Такое скрытое поведение позволило злоумышленнику неоднократно инициировать передачи, которые принесли гораздо большую ценность, чем могли бы позволить обычные утверждения. Хэш основной транзакции атаки: 0x37b90a…dcfd86.

Адрес контракта: 0x4fd087…d5a205

Предупреждения безопасности блокчейна обнаружили подозрительную активность на ранней стадии. Адрес злоумышленника, 0x7e7C1f…CdBAFE, был связан с предыдущими эксплойтами контрактов токенов с 2025 года. Атака не основывалась на срочных кредитах или реентерабельности, а использовала непредвиденные экономические побочные эффекты пользовательской логики передачи.

Этот последний инцидент усиливает тревожную волну эксплойтов в сети $BNB. Всего несколькими днями ранее TesseraDAO подверглась крупной атаке, в ходе которой эксплуататор отчеканил около 99 миллионов токенов TSR, сбросил их и истощил около 2,5 миллионов долларов США в USDT. После инцидента токен TSR упал почти на 99%.

Публичная информация о проекте ОрВД остается очень скудной. Не существует широкодоступного официального веб-сайта, технического документа или подробной дорожной карты. Судя по всему, проект не является основным протоколом DeFi, и подробности его предполагаемого варианта использования, опыта работы команды или общей заблокированной стоимости (TVL) до эксплойта недостаточно документированы.

По состоянию на 5 июня 2026 года команда проекта ATM не опубликовала никаких официальных публичных заявлений относительно инцидента, будь то приостановка действия контракта, статус ликвидности или какие-либо усилия по восстановлению.

Такие уязвимости не являются изолированными. В конце мая 2026 года злоумышленники воспользовались устаревшими шкафчиками ликвидности на DxSale и украли около 7,3 миллиона долларов из более чем 1400 пулов, манипулируя временными метками разблокировки и выводя токены LP. Это показывает, что даже более старая «заблокированная» ликвидность предыдущих циклов может оставаться под угрозой.

Этот инцидент служит классическим примером опасностей, связанных с механизмами индивидуального налога при передаче или автоматического обмена в контрактах, подобных ERC-20. Хотя такие функции могут служить законным целям, они значительно увеличивают сложность и поверхность атаки.

Эксперты по безопасности блокчейна постоянно предупреждают, что сочетание TransferFrom() с внешними вызовами, например, к маршрутизаторам DEX, требует тщательного аудита, формальной проверки и обширного тестирования в крайних случаях.

Всегда тщательно проверяйте смарт-контракты перед взаимодействием с ними.

Регулярно отзывайте одобрение токенов, особенно для неизвестных токенов или токенов с низкой капитализацией.

Отдавайте предпочтение проектам с многочисленными независимыми аудитами и прозрачными методами обеспечения безопасности.

Несмотря на то, что по стандартам 2026 года это эксплойт среднего размера, такие инциденты продолжают подрывать доверие к более широкой экосистеме DeFi. Меньшие токены в цепочках, таких как $BNB Smart Chain, остаются частыми целями из-за поспешного развертывания и недостаточных мер безопасности.

Пользователям настоятельно рекомендуется проявлять крайнюю осторожность при работе с новыми или малозаметными токенами.