Monad запустил мейннет 24 ноября в понедельник. Уже во вторник вечером сеть атаковали мошенники. В блокчейн-эксплорерах появились странные ERC-20 транзакции — они выглядели реальными, но на самом деле никакие средства не двигались. James Hunsaker, CTO и сооснователь проекта, первым забил тревогу: атакующие эксплуатируют особенности стандарта ERC-20, создавая фейковые события для социальной инженерии. По данным Cryptonews, атаки пришлись на самый хаотичный момент — когда более 76,000 кошельков получали airdrop и впервые взаимодействовали с сетью. Парадокс: несмотря на мошенничество, токен MON вырос на 43% за два дня и достиг капитализации почти $500 миллионов. Команда Octobit разбирается, что произошло и насколько это опасно.
Что произошло: фейковые трансферы на старте
Два дня — именно столько понадобилось мошенникам, чтобы атаковать свежий блокчейн.
Хронология событий:
James Hunsaker обнаружил проблему, когда пользователь показал ему странную активность. В своем кошельке появились транзакции, которые он точно не совершал.
Твит Hunsaker:
warning – there are fake ERC-20 transfers pretending to be from my wallethttps://t.co/TCZTfDfoTQ
example:https://t.co/wA1I8RFTdQ
you can see the txs are not sent by me
ERC-20 is just a token interface standard, it’s easy to write a smart contract that meets that standard…
— James (mainnet arc) (@_jhunsaker) November 25, 2025
Что видели пользователи в эксплорерах:
✓ Стандартные ERC-20 трансферы;
✓ Адреса отправителей выглядели легитимно;
✓ Суммы токенов казались реальными;
✓ Временные метки соответствовали активности сети;
✓ Всё выглядело как обычная торговая активность.
Что происходило на самом деле:
✗ Никакие средства не двигались.
✗ Никакие кошельки не подписывали транзакции.
✗ Балансы оставались неизменными.
✗ Это были просто события (events), а не реальные переводы.
Разница критическая. Эксплореры показывали активность, но блокчейн не фиксировал движение токенов. Атакующие научились создавать иллюзию легитимности.
Масштаб атаки:
- Десятки поддельных транзакций в час.
- Имитация известных кошельков (включая Hunsaker).
- Фейковые свопы и обмены.
- Искусственные торговые паттерны вокруг MON.
Timing идеальный для мошенников. Пользователи массово открывали новые кошельки, переводили активы, клеймили токены. Хаос первых дней — когда никто толком не понимает, что нормально, а что нет. Именно в этот момент и появились фейки.
Команда Octobit отмечает: атака произошла не из-за слабости Monad. Это классическая проблема EVM-совместимых сетей. Стандарт ERC-20 позволяет любому смарт-контракту эмитировать события, которые эксплореры интерпретируют как трансферы. Ethereum сталкивается с этим годами, Binance Smart Chain — тоже. Теперь очередь дошла до Monad.
Как работает атака: ERC-20 и его уязвимость
Теперь о механике. Почему это вообще возможно?
ERC-20 — это не закон, а соглашение. Стандарт описывает минимальный набор функций, которые должен поддерживать токен на Ethereum (и EVM-совместимых сетях). Любой может создать контракт, который соответствует этому стандарту. Вопрос лишь в том, что именно этот контракт делает.
Стандарт ERC-20 требует:
Но стандарт не контролирует, какие данные попадают в эти события. Атакующие эксплуатируют именно это.
Схема атаки (пошагово):
- Злоумышленник деплоит свой смарт-контракт.
- Контракт соответствует минимальным требованиям ERC-20.
- Контракт эмитирует события Transfer с произвольными адресами.
- События содержат чужие адреса (например, Hunsaker).
- Блокчейн-эксплореры видят события и отображают их.
- Пользователи видят “транзакции” в своей истории.
- На самом деле никакие токены не двигались.
События vs Реальные транзакции:
В одном из примеров, который показал Hunsaker, фейковый контракт генерировал:
→ Ложные swap-вызовы (как будто кто-то обменивал токены).
→ Имитацию торговой активности вокруг MON.
→ Искусственные сигнатуры, похожие на реальные.
→ Паттерны, напоминающие работу DEX.
Hunsaker подчеркнул важный момент: “Это не баг, но это спуфинг внутри их смарт-контракта, чтобы обмануть людей”. Разница принципиальная. Monad работает корректно. ERC-20 работает как задумано. Проблема в том, что стандарт изначально не защищён от таких манипуляций.
Примеры фейковой активности:
- Трансферы из кошелька Hunsaker, которые он не совершал;
- Свопы MON/USDC без реального обмена;
- Массовые переводы между случайными адресами;
- Имитация активности популярных DEX.
Это распространённая проблема. Ethereum сталкивается с подобным спуфингом с 2018 года. Binance Smart Chain — регулярно. Polygon — тоже. Любая EVM-совместимая сеть уязвима, потому что стандарт ERC-20 один и тот же.
Почему эксплореры попадаются:
| Эксплорер видит | Эксплорер думает | Реальность |
| Событие Transfer | Перевод токенов | Просто лог |
| Адрес в поле “from” | Отправитель | Выдуманные данные |
| Адрес в поле “to” | Получатель | Выдуманные данные |
| Сумма токенов | Реальный перевод | Фикция |
Команда Octobit знает эту проблему не понаслышке. Мы неоднократно предупреждали пользователей о спуфинг-атаках на разных сетях. Техническое решение существует — эксплореры могут верифицировать подписи перед отображением транзакций. Но это требует дополнительных ресурсов, и большинство эксплореров просто показывают все события подряд. Получается, что доверять можно только тому, что подписано вашим приватным ключом. Всё остальное — потенциально фейк.
Социальная инженерия: цель атаки
Технически атака сложная. Но цель простая — обмануть людей.
Мошенники выбрали идеальный момент. Первые 48 часов после запуска любого блокчейна — это хаос. Пользователи не знают, чего ожидать, делают всё впервые, торопятся не упустить возможности.
Что происходило в первые дни Monad:
→ 76,000 кошельков массово клеймили airdrop.
→ Пользователи создавали новые адреса специально для MON.
→ Бриджили средства из других сетей.
→ Добавляли токены в MetaMask/Trust Wallet.
→ Проверяли балансы каждые 5 минут.
→ История транзакций была пустой или хаотичной.
→ Никто не понимал, что нормально, а что подозрительно.
В этой суматохе атакующие запускают свою схему. Они используют так называемые vanity addresses — адреса-двойники.
Как работают vanity addresses:
| Ваш настоящий адрес | Адрес мошенников |
| 0x1234…abc5678 | 0x1234…xyz5678 |
| Первые 4 символа | Совпадают |
| Последние 4 символа | Совпадают |
| Середина | Отличается (но кто проверяет?) |
Shān Zhang, главный специалист по информационной безопасности SlowMist, объясняет механизм в интервью Decrypt:
“Во время запуска сети, как у Monad, пользователи постоянно настраивают новые кошельки, бриджат средства, добавляют контракты токенов. Мошенники знают, что ваша история транзакций пустая или хаотичная. Они генерируют адреса, которые совпадают с первыми и последними 4 символами вашего реального адреса депозита на бирже или холодного кошелька. Затем спамят вас поддельным трансфером с этого похожего адреса, надеясь, что когда вы захотите сделать бридж или перевод, вы лениво скопируете ‘последний’ адрес из истории.”
Схема социальной инженерии:
- Атакующие создают vanity address, похожий на ваш.
- Генерируют фейковую транзакцию “от вас” или “к вам”.
- Транзакция появляется в истории вашего кошелька.
- Вы спешите, видите “знакомый” адрес.
- Копируете его из истории вместо реального.
- Отправляете средства мошенникам.
Финальные цели атаки:
✗ Фишинг-сайты с “клеймом дополнительных токенов”;
✗ Вредоносные контракты, запрашивающие approve;
✗ Поддельные DEX с “выгодными свопами”;
✗ Дренеры, маскирующиеся под официальные dApps.
Как проверить, реальна ли транзакция:
| Вопрос | Проверка | Вердикт |
| Подписывал ли я эту транзакцию? | Проверьте инициатора (from) | Если не вы → фейк |
| Изменился ли мой баланс? | Сравните до/после | Нет изменений → фейк |
| Совпадает ли адрес контракта? | Проверьте официальный адрес MON | Не совпадает → фейк |
| Есть ли подпись? | Посмотрите данные транзакции | Нет подписи → фейк |
Zhang даёт простое правило: “Если вы не подписывали транзакцию, невозможно, чтобы средства покинули ваш кошелек, если только ваш приватный ключ не скомпрометирован”.
В Twitter ситуация накалилась. Хештег “#MonadScam” попал в тренды на несколько часов. Пользователи паниковали, публиковали новости и скриншоты странных транзакций, требовали объяснений. Команда быстро отреагировала, Hunsaker опубликовал разъяснения, тренд утих. Но осадок остался.
Команда Octobit настоятельно рекомендует: никогда не копируйте адреса из истории транзакций в первые дни после запуска новой сети. Используйте только проверенные источники — официальные сайты, сохраненные закладки, адресные книги в кошельках. Мошенники знают психологию пользователей: в спешке люди делают ошибки. Не давайте им этого шанса. Проверяйте каждый символ адреса перед отправкой средств. Да, это скучно. Но дешевле, чем потерять всё.
