Что произошло
В начале июля 2026 аудиторская фирма Coinspect раскрыла уязвимость Ill Bloom. Суть простая и страшная.
Seed-фраза из 12 слов должна давать такое число комбинаций, что перебор невозможен физически. Но часть кошельков генерировала seed через слабый генератор случайных чисел. Итог: вместо астрономического числа вариантов - всего около 4 миллиардов комбинаций.
4 миллиарда для видеокарты - это не защита
Несколько GPU перебирают весь диапазон меньше чем за сутки. Атакующий не «взламывает» твой кошелёк. Он просто генерирует все возможные уязвимые кошельки у себя и смотрит, на каких лежат деньги.
С конца мая 2026 таким способом украдено уже больше $5 млн. Под ударом адреса в Bitcoin, Ethereum, Tron, Solana, Polygon, BNB Chain, Rootstock: одна уязвимая фраза открывает средства сразу во всех сетях. Уязвимая генерация существовала минимум с 2018 года, то есть под риском кошельки, созданные за последние 8 лет.
Проверь, уязвим ли ты (5 минут)
- Прогони свои публичные адреса через чекер Coinspect на illbloom.org. Он сверяет адрес с базой известных уязвимых кошельков. Вводится ТОЛЬКО публичный адрес. Любой «чекер», который просит seed-фразу или приватный ключ - это скам, закрывай сразу.
- Вспомни, чем ты генерировал каждый кошелёк. Малоизвестное мобильное приложение, старый генератор с сайта, «кошелёк из Telegram-бота» - красная зона, даже если чекер ничего не нашёл.
- Особое внимание кошелькам 2018-2026 годов из неосновных приложений: уязвимость жила все эти годы.
- Если адрес в базе - обновление приложения НЕ спасает. Фраза уже скомпрометирована математически. Единственное лечение - миграция (блок 5).
Как правильно генерить seed
- Seed генерирует аппаратный кошелёк (Ledger, Trezor и аналоги) со своим сертифицированным источником случайности. Не сайт, не бот, не «генератор фраз».
- Программный кошелёк - только массовый, с открытым кодом и историей аудитов.
- Никогда не используй «красивые» или самодельные фразы. Человеческая «случайность» перебирается ещё быстрее, чем слабый генератор.
- Один кошелёк - одна задача. Seed от холодного хранения никогда не касается устройства, где стоят DeFi-кошельки.
Холодное хранение
- Фраза записана на физическом носителе: бумага минимум, металлическая пластина лучше (переживает пожар и воду).
- Две копии в двух разных местах. Одна копия - это ставка на то, что в квартире никогда ничего не случится.
- Копии не подписаны словами «seed», «крипта», «кошелёк».
- Раз в полгода: проверил, что копии на месте и читаемы.
Что НИКОГДА не делать
- Не фотографировать фразу. Фотоплёнка синхронизируется в облако, облака взламывают.
- Не хранить в облаке, заметках, email, мессенджерах, Google Docs. Ни целиком, ни «половинками».
- Не вводить в онлайн-менеджеры паролей.
- Не вводить фразу ни на одном сайте. Ни для «проверки», ни для «синхронизации», ни для «airdrop». Фраза вводится только в сам кошелёк при восстановлении.
- Не диктовать вслух рядом с колонками и телефонами и не «проверять» фразу по просьбе «поддержки». Поддержка seed не спрашивает никогда.
План миграции, если ты под риском
- Не паникуй, но не откладывай. У атакующих тот же список уязвимых адресов, что у чекера.
- Создай новый кошелёк с новой фразой на чистом устройстве, в идеале на аппаратном кошельке. Не в том приложении, которое сгенерировало уязвимый seed.
- Переведи сначала самые ликвидные активы (стейблы, BTC, ETH), потом остальное. Помни про все сети: один seed - это адреса везде.
- Проверь и выведи стейкинг, LP-позиции, лендинги, привязанные к старым адресам. Отзови approvals со старых адресов.
- Старый кошелёк считай сожжённым навсегда. Ничего на него больше не принимать.
Если держишь $100k+
- Пассфраза (25-е слово) поверх seed: даже украденная фраза без пассфразы не открывает основной кошелёк. Пассфраза хранится отдельно от seed.
- Мультисиг 2-из-3 для основного капитала: компрометация одного ключа не значит потерю денег.
- Деление на контуры: холодный (не двигается), рабочий DeFi (ограниченная сумма), горячий (мелочь на газ и тесты).
- План наследования: близкие знают, КАК получить доступ при форс-мажоре, не зная самих фраз сейчас.
Честный итог
Ill Bloom - не последняя такая история. Уязвимость жила 8 лет, и всё это время кошельки выглядели абсолютно нормально. Защита - это не разовое действие, а конструкция: правильная генерация, холодное хранение, разделение контуров, регулярная проверка.
Хочешь, чтобы этим занимались за тебя?
Я управляю DeFi-капиталом некастодиально, и вся эта конструкция - моя ежедневная практика, не теория. Если хочешь, чтобы капиталом от $100k управляли за тебя, с выстроенной безопасностью и публичным портфелем - это DeFi Capital:
Telegram: @defi_cap_botМатериал подготовлен на основе публичных данных по состоянию на июль 2026 года (раскрытие Coinspect, illbloom.org). Технические детали уязвимости исследователи пока не публикуют, рекомендации могут уточняться. Это не финансовая консультация и не индивидуальная инвестиционная рекомендация.