В ночь на 14 января 2026 года в маркетплейсе Portals выявили баг, позволявший дюпать телеграм-подарки.
Уязвимость позволила злоумышленнику продавать подарки из коллекции Durov Cap, которых фактически не существовало в маркете. В результате десятки пользователей лишились средств, купив фантомные активы.
Как предположительно работала схема
Злоумышленник нашел способ дублировать существующие чужие подарки, которые он отправлял на продажу другим пользователям двумя способами:
- первый — через создание очень дешевых ордеров, чтобы быстро найти покупателей;
- второй — через закрытие активных офферов.
В обоих случаях покупатели оплачивали всю стоимость подарка, но по факту он им не передавался.
По итогу схемы общий объем торгов кепками резко вырос. За 24 часа произошло обменов на 26,8 тысяч TON.
Кто пострадал и сколько денег потеряли жертвы
Под удар попали пользователи, открывшие заявки на приобретение Durov Cap, а также те, кто купил подарки из коллекции самостоятельно.
Точные цифры потерь пока не подтверждены официально, но минимальная оценка ущерба — около $22 250. По более пессимистичным подсчетам — свыше $40 000.
После обнаружения бага команда Portals остановила все выводы, а после закрыла маркет на техобслуживание.
