forklog.com
I've been in crypto for over 10 years and I’ve Never been hacked. Perfect OpSec record.
— zak.eth (@0xzak) August 12, 2025
Yesterday, my wallet was drained by a malicious @cursor_ai extension for the first time.
If it can happen to me, it can happen to you. Here’s a full breakdown. 🧵👇
«Я в криптоиндустрии уже больше 10 лет, и меня ни разу не взламывали. Идеальная репутация по безопасности. Однако вчера мой кошелек впервые опустошил дрейнер в виде ИИ-ассистента Cursor», — написал он.
Коул установил расширение contractshark.solidity-lang, не заметив ничего подозрительного. У него был профессиональный дизайн иконки, подробное описание и более чем 54 000 загрузок.
Однако плагин незаметно скопировал .env-файл разработчика, содержащий приватный ключ, и отправил его на сервер злоумышленников. В течение трех дней у хакеров был доступ к кошельку Коула, но они вывели средства только 10 августа.
По словам жертвы, убытки составили «несколько сотен» долларов в эфире. Основную часть средств разработчик хранит на аппаратных кошельках.
Коул заметил уведомление о переводе средств. Именно тогда он понял, что его взломали. Изучив отчеты «Лаборатории Касперского» и других компаний по кибербезопасности, Ethereum-разработчик обнаружил, что дрейнер является частью кампании, в рамках которой злоумышленники уже похитили свыше $500 000.
Он также выделил «красные флаги», на которые не обратил внимания при установке расширения:
- неофициальный создатель;
- отсутствие ссылки на GitHub;
- большое количество загрузок и ноль отзывов;
- недавняя дата загрузки — июль 2025;
- имитация названия известного расширения.
«Спешка = игнорирование инстинктов», — подчеркнул Коул.
Столкнувшимся со взломом пользователям он посоветовал сменить все ключи, проверить Etherscan на наличие несанкционированных транзакций, отозвать все разрешения, создать новые кошельки и задокументировать инцидент.
Напомним, в мае хакеры создали вредоносный клон Ledger Live для macOS. Злоумышленники заменили официальное приложение фейковым, которое собирало сид-фразы и опустошает кошельки.
В апреле стало известно, что операторы ПО для кражи криптовалют начали сдавать свои инструменты в аренду. Начинающие мошенники за разовую плату в $100-300 получают в аренду набор необходимых инструментов.