Monad запустив мейннет 24 листопада в понеділок. Уже у вівторок ввечері мережу атакували шахраї. У блокчейн-експлорерах з’явилися дивні ERC-20 транзакції — вони виглядали реальними, але насправді ніякі кошти не рухалися. James Hunsaker, CTO і співзасновник проекту, першим забив на сполох: зловмисники експлуатують особливості стандарту ERC-20, створюючи фейкові події для соціальної інженерії. За даними Cryptonews, атаки припали на найхаотичніший момент — коли понад 76 000 гаманців отримували airdrop і вперше взаємодіяли з мережею. Парадокс: незважаючи на шахрайство, токен MON виріс на 43% за два дні і досяг капіталізації майже $500 мільйонів. Команда Octobit розбирається, що сталося і наскільки це небезпечно.
Що сталося: фейкові трансфери на старті
Два дні — саме стільки знадобилося шахраям, щоб атакувати новий блокчейн.
Хронологія подій:
Джеймс Хансакер виявив проблему, коли користувач показав йому дивну активність. У його гаманці з’явилися транзакції, яких він точно не здійснював.
Твіт Хансакера:
warning – there are fake ERC-20 transfers pretending to be from my wallethttps://t.co/TCZTfDfoTQ
example:https://t.co/wA1I8RFTdQ
you can see the txs are not sent by me
ERC-20 is just a token interface standard, it’s easy to write a smart contract that meets that standard…
— James (mainnet arc) (@_jhunsaker) November 25, 2025
Що бачили користувачі в експлорерах:
✓ Стандартні ERC-20 трансфери;
✓ Адреси відправників виглядали легітимно;
✓ Суми токенів здавалися реальними;
✓ Тимчасові мітки відповідали активності мережі;
✓ Все виглядало як звичайна торгова активність.
Що відбувалося насправді:
✗ Жодні кошти не рухалися.
✗ Жодні гаманці не підписували транзакції.
✗ Баланси залишалися незмінними.
✗ Це були просто події (events), а не реальні перекази.
Різниця критична. Експлорери показували активність, але блокчейн не фіксував рух токенів. Зловмисники навчилися створювати ілюзію легітимності.
Масштаб атаки:
- Десятки підроблених транзакцій на годину.
- Імітація відомих гаманців (включаючи Hunsaker).
- Фейкові свопи та обміни.
- Штучні торгові патерни навколо MON.
Ідеальний момент для шахраїв. Користувачі масово відкривали нові гаманці, переказували активи, клеймили токени. Хаос перших днів — коли ніхто до кінця не розуміє, що нормально, а що ні. Саме в цей момент і з’явилися фейки.
Команда Octobit зазначає: атака сталася не через слабкість Monad. Це класична проблема EVM-сумісних мереж. Стандарт ERC-20 дозволяє будь-якому смарт-контракту емітувати події, які експлорери інтерпретують як трансфери. Ethereum стикається з цим роками, Binance Smart Chain — теж. Тепер черга дійшла до Monad.
Як працює атака: ERC-20 і його вразливість
Тепер про механіку. Чому це взагалі можливо?
ERC-20 — це не закон, а угода. Стандарт описує мінімальний набір функцій, які повинен підтримувати токен на Ethereum (і EVM-сумісних мережах). Будь-хто може створити контракт, який відповідає цьому стандарту. Питання лише в тому, що саме цей контракт робить.
Стандарт ERC-20 вимагає:
Але стандарт не контролює, які дані потрапляють у ці події. Зловмисники експлуатують саме це.
Схема атаки (покроково):
- Зловмисник розгортає свій смарт-контракт.
- Контракт відповідає мінімальним вимогам ERC-20.
- Контракт емітує події Transfer з довільними адресами.
- Події містять чужі адреси (наприклад, Hunsaker).
- Блокчейн-експлорери бачать події і відображають їх.
- Користувачі бачать «транзакції» у своїй історії.
- Насправді ніякі токени не рухалися.
Події vs Реальні транзакції:
В одному з прикладів, який показав Hunsaker, фейковий контракт генерував:
→ Помилкові swap-виклики (ніби хтось обмінював токени).
→ Імітацію торгової активності навколо MON.
→ Штучні сигнатури, схожі на реальні.
→ Патерни, що нагадують роботу DEX.
Hunsaker підкреслив важливий момент: «Це не баг, але це спуфінг всередині їхнього смарт-контракту, щоб обдурити людей». Різниця принципова. Monad працює коректно. ERC-20 працює як задумано. Проблема в тому, що стандарт спочатку не захищений від таких маніпуляцій.
Приклади фейкової активності:
- Трансфери з гаманця Hunsaker, які він не здійснював;
- Свопи MON/USDC без реального обміну;
- Масові перекази між випадковими адресами;
- Імітація активності популярних DEX.
Це поширена проблема. Ethereum стикається з подібним спуфінгом з 2018 року. Binance Smart Chain — регулярно. Polygon — теж. Будь-яка EVM-сумісна мережа вразлива, тому що стандарт ERC-20 один і той самий.
Чому експлорери трапляються:
| Експлорер бачить | Експлорер думає | Реальність |
| Подія Transfer | Переказ токенів | Просто лог |
| Адреса в полі «from» | Відправник | Вигадані дані |
| Адреса в полі «to» | Одержувач | Вигадані дані |
| Сума токенів | Реальний переказ | Фікція |
Команда Octobit знає цю проблему не з чуток. Ми неодноразово попереджали користувачів про спуфінг-атаки в різних мережах. Технічне рішення існує — експлорери можуть верифікувати підписи перед відображенням транзакцій. Але це вимагає додаткових ресурсів, і більшість експлорерів просто показують всі події поспіль. Виходить, що довіряти можна тільки тому, що підписано вашим приватним ключем. Все інше — потенційно фейк.
Соціальна інженерія: мета атаки
Технічно атака складна. Але мета проста — обдурити людей.
Шахраї вибрали ідеальний момент. Перші 48 годин після запуску будь-якого блокчейну — це хаос. Користувачі не знають, чого очікувати, роблять все вперше, поспішають не втратити можливості.
Що відбувалося в перші дні Monad:
→ 76 000 гаманців масово таврували airdrop.
→ Користувачі створювали нові адреси спеціально для MON.
→ Бриджили кошти з інших мереж.
→ Додавали токени в MetaMask/Trust Wallet.
→ Перевіряли баланси кожні 5 хвилин.
→ Історія транзакцій була порожньою або хаотичною.
→ Ніхто не розумів, що нормально, а що підозріло.
У цій метушні зловмисники запускають свою схему. Вони використовують так звані vanity addresses — адреси-двійники.
Як працюють vanity addresses:
| Ваша справжня адреса | Адреса шахраїв |
| 0x1234…abc5678 | 0x1234…xyz5678 |
| Перші 4 символи | Збігаються |
| Останні 4 символи | Збігаються |
| Середина | Відрізняється (але хто перевіряє?) |
Shān Zhang, головний спеціаліст з інформаційної безпеки SlowMist, пояснює механізм в інтерв’ю Decrypt:
“Під час запуску мережі, як у Monad, користувачі постійно налаштовують нові гаманці, переказують кошти, додають контракти токенів. Шахраї знають, що ваша історія транзакцій порожня або хаотична. Вони генерують адреси, які збігаються з першими і останніми 4 символами вашої реальної адреси депозиту на біржі або холодному гаманці. Потім спамлять вас підробленим трансфером з цієї схожої адреси, сподіваючись, що коли ви захочете зробити міст або переказ, ви ліниво скопіюєте “останню” адресу з історії.”
Схема соціальної інженерії:
- Зловмисники створюють vanity address, схожий на ваш.
- Генерують фейкову транзакцію «від вас» або «до вас».
- Транзакція з’являється в історії вашого гаманця.
- Ви поспішаєте, бачите «знайому» адресу.
- Копіюєте її з історії замість реальної.
- Відправляєте кошти шахраям.
Кінцеві цілі атаки:
✗ Фішинг-сайти з «клеймом додаткових токенів»;
✗ Шкідливі контракти, що запитують approve;
✗ Підроблені DEX з «вигідними свопами»;
✗ Дренери, що маскуються під офіційні dApps.
Як перевірити, чи є транзакція реальною:
| Питання | Перевірка | Вердикт |
| Чи підписував я цю транзакцію? | Перевірте ініціатора (from) | Якщо не ви → фейк |
| Чи змінився мій баланс? | Порівняйте до/після | Немає змін → фейк |
| Чи збігається адреса контракту? | Перевірте офіційну адресу MON | Не збігається → фейк |
| Чи є підпис? | Перегляньте дані транзакції | Немає підпису → фейк |
Zhang дає просте правило: «Якщо ви не підписували транзакцію, неможливо, щоб кошти покинули ваш гаманець, якщо тільки ваш приватний ключ не скомпрометований».
У Twitter ситуація загострилася. Хештег «#MonadScam» потрапив у тренди на кілька годин. Користувачі панікували, публікували новини і скріншоти дивних транзакцій, вимагали пояснень. Команда швидко відреагувала, Hunsaker опублікував роз’яснення, тренд вщух. Але осад залишився.
Команда Octobit настійно рекомендує: ніколи не копіюйте адреси з історії транзакцій в перші дні після запуску нової мережі. Використовуйте тільки перевірені джерела — офіційні сайти, збережені закладки, адресні книги в гаманцях. Шахраї знають психологію користувачів: у поспіху люди роблять помилки. Не давайте їм цього шансу. Перевіряйте кожен символ адреси перед відправкою коштів. Так, це нудно. Але дешевше, ніж втратити все.
