Ill Bloom: перевірте адресу криптогаманця, а не seed-фразу

Ill Bloom пов’язана зі слабкими seed-фразами криптогаманців і крадіжкою з 431 акаунта. Дізнайтеся, як безпечно перевірити адресу та перейти на новий seed.

Мобільний криптогаманець із зів’ялими пелюстками seed-фрази як образ вразливості Ill Bloom.

Coinspect розкрила Ill Bloom — активно експлуатовану вразливість створення криптогаманців, через яку деякі seed-фрази виявилися значно передбачуванішими, ніж мали бути. В одному дослідженому наборі адрес скоординоване виведення 27 травня 2026 року спорожнило 431 обліковий запис приблизно на $3,14 млн. Реагувати потрібно незвично: перевіряти лише публічну адресу, ніколи не вводити seed-фразу та перенести активи до новоствореного гаманця, якщо адреса збігається.

Ill Bloom — це не шкідливий token approval і не фальшива форма відновлення. Coinspect пов’язує проблему зі слабкою випадковістю під час створення певних 12-слівних seed-фраз. Імпорт тієї самої слабкої фрази в іншу програму не виправляє проблему, адже вона й далі контролює ті самі ключі.

Хто може постраждати від Ill Bloom

Повний список уразливих застосунків ще не оприлюднений. За блокчейн-адресою неможливо визначити, яка програма створила seed, тому називати конкретний гаманець без доказів було б неправильно. За оцінкою Coinspect, найбільше уваги потребують люди, які створювали seed у маловідомому мобільному програмному гаманці. Seed-фрази, створені апаратними гаманцями, не зачіпає описана вразливість, а більшість сучасних програмних гаманців також не вважають уразливими.

Апаратний гаманець має іншу модель ризику: лазерна атака на картки Tangem потребує фізичного доступу й лабораторного обладнання, але змінює план дій, якщо картку втрачено або викрадено.

Станом на 30 червня дослідники виміряли 2 114 активних адрес у Bitcoin, Ethereum, Tron, Rootstock і Polygon. Уразливий seed може контролювати адреси в багатьох мережах, тому перевірки лише тієї мережі, де помітили крадіжку, недостатньо. Інструмент Coinspect приймає повні публічні адреси EVM, Bitcoin, Tron і Solana.

СитуаціяРизик і наступне рішення
Seed створив апаратний гаманецьПоточні дані Ill Bloom не вказують на ураження таких seed-фраз. Продовжуйте дотримуватися звичайних правил безпеки пристрою та резервної копії.
Seed створено в маловідомому мобільному гаманціПріоритетна перевірка. Вводьте в інструмент Coinspect лише публічні адреси та перевірте всі мережі, які контролює цей seed.
Адреса змінилася перед переказомЦе більше схоже на clipboard malware або криптокліпер, а не Ill Bloom. Припиніть роботу на пристрої й звірте адресу отримувача на чистому екрані.
Гаманець під’єднували до airdrop або claim-сторінкиПеревірте дозволи й підписи. Це типовий шлях wallet drainer, який відрізняється від слабкого seed, створеного під час налаштування.
Кошти зникли без підпису, витоку seed або підозрілого сайтуIll Bloom стає одним із можливих пояснень, особливо для старого seed із мобільного гаманця. Перевірте публічні адреси й збережіть дані транзакцій.

Як безпечно перевірити адресу

  1. Відкрийте точний сайт дослідження: самостійно введіть illbloom.org або скористайтеся первинним джерелом наприкінці статті. Уникайте реклами, приватних повідомлень і сторінок “підтримки”, що копіюють назву.
  2. Вставляйте лише публічну адресу. Вона призначена для отримання коштів і видима в блокчейн-оглядачі. Це не seed-фраза, приватний ключ, пароль, файл резервної копії чи експорт гаманця.
  3. Перевірте кожну потрібну мережу й обліковий запис. Один seed може створювати багато адрес у різних мережах. Збіг будь-якої адреси означає, що seed потрібно вважати скомпрометованим.
  4. Не підключайте гаманець і нічого не підписуйте. Перевірка Coinspect виконує локальний пошук і не потребує wallet connection, token approval, seed-фрази чи підпису транзакції.
Сторінка Ill Bloom просить публічну адресу й застерігає не вводити seed-фразу та приватні ключі.
Інструмент Ill Bloom від Coinspect просить лише публічну адресу. На сторінці прямо заборонено вводити seed-фразу, приватний ключ, пароль або файл резервної копії.

Клон, який просить 12 або 24 слова, не виконує опубліковану перевірку Ill Bloom. Негайно закрийте його. Якщо головний симптом — підміна адреси між копіюванням і вставленням, порівняйте ситуацію з кампанією Silent Swap.

Що робити, якщо адреса збігається

  1. Створіть повністю новий гаманець із новою seed-фразою. Використайте надійний сучасний або апаратний гаманець на чистому пристрої. Переконайтеся, що налаштування показує інший набір із 12 чи 24 слів.
  2. Не імпортуйте стару фразу. Відновлення старого seed в іншій програмі створить ті самі вразливі ключі й адреси.
  3. Перенесіть усі активи, які контролює seed. Перевірте Bitcoin, EVM-мережі, Tron, Solana та інші мережі, якими користувалися. Надсилайте кошти на адреси нового seed.
  4. Спочатку зробіть малий тестовий переказ. Звірте нову адресу отримувача на іншому надійному екрані, надішліть невелику суму, дочекайтеся підтвердження й лише тоді переносьте решту.
  5. Більше не використовуйте старий seed. Не залишайте його для “порожнього” облікового запису, іншої мережі, стейкінгу, NFT чи майбутніх надходжень. Зловмисник, який може вивести ключі, здатен стежити за ним безстроково.

Оновлення програми може запобігти створенню нових слабких seed-фраз, але не посилить уже наявну. Захищеними кошти стають лише після переходу на ключі, створені з нового безпечного seed.

Якщо кошти вже зникли

Збережіть публічні адреси, хеші транзакцій, дати, суми, адреси отримувачів, назву й версію wallet app та дані про пристрій, на якому спочатку створювався seed. Повідомте розробника гаманця, відповідну біржу або емітента стейблкоїна, якщо їх можна визначити, а також профільний підрозділ кіберполіції. Не публікуйте seed-фразу як “доказ”.

Блокчейн-перекази зазвичай неможливо скасувати. Людина, яка обіцяє гарантоване повернення, “перевірку” приватного ключа або вимагає спеціальну плату за трасування, може повторно атакувати вже постраждалого користувача.

Що означає негативний результат

Негативний результат не підтверджує безпеку гаманця. Він означає лише, що публічної адреси немає в поточних наборах Ill Bloom. Вони не є вичерпними, а методика охоплює вибрані типи seed, шляхи derivation і мережі. Якщо були незрозумілі перекази, продовжуйте перевіряти malware, шкідливі дозволи, підміну скопійованої адреси, phishing, витік резервної копії та компрометацію біржового акаунта.

Джерела

  1. Coinspect. “Ill Bloom: Crypto Wallet Vulnerability.” Coinspect Security Research, липень 2026 року, дата звернення: 10 липня 2026 року. опис Ill Bloom та перевірка публічної адреси.
  2. Coinspect. “Ill Bloom: Wallet Drain Analysis (July 2026).” Coinspect Security Research, зріз станом на 30 червня 2026 року, дата звернення: 10 липня 2026 року. он-чейн аналіз викрадення.
  3. Coinspect. “Ill Bloom: Dataset Construction Methodology.” Coinspect Security Research, липень 2026 року, дата звернення: 10 липня 2026 року. методика побудови набору адрес.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.