§ — · Glossary
Crypto-fraud terms,
defined plainly.
25 terms victims, investigators, and curious readers run into across crypto-recovery work. One-sentence definition first, context underneath. Every term has a permanent anchor link, so /glossary/#pig-butchering (and the others) point at the same definition forever.
A
-
Address poisoning
# address-poisoning - Мошенническая схема, нацеленная на криптокошельки, при которой в историю транзакций жертвы внедряется поддельный адрес, имитирующий первые и последние символы адреса, который жертва недавно использовала, в расчете на то, что при будущем переводе она скопирует и вставит неверный адрес.
- Злоумышленник отправляет крошечную (зачастую нулевую по стоимости) транзакцию с только что сгенерированного кошелька, адрес которого начинается и заканчивается теми же символами, что и адрес законного контрагента, которому жертва регулярно переводит средства. Поддельный адрес теперь отображается в истории кошелька жертвы. В следующий раз, когда жертва скопирует адрес из истории, а не у фактического контрагента, она может скопировать похожий адрес и отправить средства злоумышленнику. Всегда проверяйте адрес полностью, а не только первые и последние несколько символов.
-
Approval phishing
# approval-phishing - Атака на кошелёк, при которой жертва подписывает транзакцию `setApprovalForAll` или неограниченный `approve` на поддельном dApp, предоставляя контракту злоумышленника право в любой последующий момент выводить из кошелька определённые токены.
- Подпись выглядит рутинной, и жертва полагает, что одобряет единичную сделку или минт. В действительности она передаёт контролируемому злоумышленником контракту постоянное право переводить токены из кошелька. Списание может произойти как через несколько секунд, так и спустя недели, нередко уже после того, как жертва забыла об этом одобрении. Защита: проверяйте каждую подпись на наличие вызовов `approve` / `setApprovalForAll`, по возможности отдавайте предпочтение одноразовым подписям, а также периодически проверяйте и отзывайте активные одобрения через Revoke.cash либо встроенный в кошелёк менеджер одобрений.
Also: malicious approval · token approval phishing
B
-
Bridge attribution
# bridge-attribution - Криминалистический метод отслеживания похищенных средств через межсетевой мост (bridge) путём сопоставления депозита в блокчейне на исходной сети с соответствующим выводом в целевой сети, несмотря на различие идентификаторов кошельков.
- Злоумышленники регулярно перемещают похищенные средства через мосты (THORChain, LayerZero, Wormhole, Stargate), чтобы запутать след и переводить активы между сетями, которые предпочтительны для отмывочной инфраструктуры. Атрибуция мостов сопоставляет транзакцию депозита на исходной сети с её зеркальным отражением в целевой сети, сверяя время блока, сумму и журналы событий смарт-контракта моста. Именно так трассировка продолжается от Bitcoin к Ethereum и далее к Solana, не теряя нить.
C
-
CEX vs DEX
# cex-vs-dex - Централизованная биржа (CEX) хранит средства пользователей и работает под надзором регулятора; децентрализованная биржа (DEX) представляет собой смарт-контракт, который обменивает токены напрямую между wallet, без хранителя средств и без отдела комплаенса, которому можно было бы передать заявление о мошенничестве.
- Это различие важно для возврата средств: похищенные средства, попавшие на CEX, иногда удается заморозить через эскалацию в отдел комплаенса, поскольку биржа контролирует эти средства и подотчетна регулятору. Средства, проходящие только через обмены на DEX, заморозить невозможно: здесь нет оператора, к которому можно обратиться, есть лишь неизменяемый смарт-контракт. Поэтому работа по возврату средств в первую очередь направлена на выявление точек ввода на CEX в цепочке отмывания; как только средства вновь попадают в экосистему CEX, эскалация снова становится возможной.
-
CoinJoin
# coinjoin - Метод обеспечения конфиденциальности, при котором несколько пользователей Bitcoin объединяют свои транзакции в одну транзакцию с множеством входов и выходов, так что внешний наблюдатель не может определить, какой вход соответствует какому выходу.
- CoinJoin сам по себе не является инструментом мошенничества: пользователи, заботящиеся о конфиденциальности, применяют его на законных основаниях, однако операторы регулярно используют его для того, чтобы разорвать ончейн-след между похищенными средствами и кошельком, в котором они в конечном итоге оказываются. Наборы выходов CoinJoin иногда удаётся разделить с помощью статистических эвристик (анализ паттернов CoinJoin), однако вероятность успеха зависит от размера микса и терпения аналитика. Wasabi Wallet и Whirlpool являются двумя наиболее распространёнными реализациями.
-
Cold wallet vs hot wallet
# cold-wallet-hot-wallet - Холодный кошелёк хранит приватный ключ офлайн (аппаратное устройство или бумажный носитель); горячий кошелёк хранит его в программном обеспечении, подключённом к интернету. Холодное хранение существенно безопаснее против большинства атак с опустошением кошельков и phishing.
- Различие между горячими и холодными кошельками связано с поверхностью атаки. Горячие кошельки подписывают транзакции автоматически, когда вы нажимаете кнопку в dApp, что удобно, но делает вас уязвимыми к вредоносным запросам на подпись и к вредоносному ПО, подменяющему буфер обмена. Холодные кошельки требуют физического подтверждения на устройстве для каждой подписи, что предотвращает большинство попыток approval-phishing и отравления адресов (address poisoning). Для значимых сумм стандартная рекомендация: холодное хранение, при этом горячий кошелёк используется только для небольших оборотных остатков.
-
Compliance hold (vs withdrawal-block extortion)
# compliance-hold - Подлинная блокировка по требованиям комплаенса (compliance hold), это инициированная регулятором заморозка средств на бирже на время проверки по правилам AML/KYC; она удерживается из имеющегося баланса и не требует от пользователя никаких платежей. Вымогательство через блокировку вывода (withdrawal-block extortion), это фиктивная блокировка, при которой от пользователя требуют внести дополнительную плату до какого-либо разблокирования средств.
- Настоящие блокировки по требованиям комплаенса: они прописаны в условиях биржи, сообщаются через внутреннюю систему сообщений платформы от имени конкретного отдела комплаенса и никогда не требуют от пользователя перевода новых средств. Вымогательство через блокировку вывода: такая блокировка придумывается на ходу («сбор за налоговую очистку», «депозит по противодействию отмыванию денег», «платеж за повышение уровня аккаунта»), требует новых средств и после каждого платежа порождает новый запрос на оплату. Любой «комплаенс» процесс, который требует от вас внести дополнительные средства, является вариантом вымогательства, насколько бы официально ни звучали формулировки.
D
-
Demixing
# demixing - Внутрицепочечный криминалистический анализ, цель которого восстановить соответствие между входами и выходами в транзакции CoinJoin, то есть вернуть связь между отправителем и получателем, которую микширование было призвано скрыть.
- Demixing использует сочетание временно́го анализа, анализа сумм, эвристик кластеризации адресов и сигнатур шаблонов, характерных для Wasabi/Whirlpool. Этот метод носит вероятностный, а не детерминированный характер: успешный демиксинг возвращает не единственный ответ, а взвешенный по достоверности набор вероятных связей. Средства, прошедшие именно через Tornado Cash, демиксировать значительно труднее, чем те, что были пропущены через протоколы CoinJoin, и поэтому средства, прошедшие через Tornado, нередко представляют собой реалистичный предел возможностей по возврату.
-
Drainer-as-a-service (DaaS)
# drainer-as-a-service - Подписочная модель, при которой команда разработчиков создаёт и поддерживает смарт-контракт для опустошения кошельков и панель администратора, а затем сдаёт их в аренду партнёрам, которые управляют фишинговыми сайтами и делят полученную прибыль с разработчиками.
- DaaS превратил опустошение кошельков из штучного преступления, требующего навыков работы со смарт-контрактами, в готовый комплект, который может арендовать любой фишер. На наиболее упоминаемые комплекты (Pink, Inferno, Angel, MS) в совокупности приходится значительная доля всех зарегистрированных случаев опустошения кошельков. Со стороны возврата средств: ончейн-контракты для опустошения повторно используются в сотнях кампаний, поэтому кластеризация кошельков, связанных с DaaS, часто даёт больший объём пригодных доказательств, чем можно было бы предположить по отдельному инциденту.
-
Dusting attack
# dusting-attack - Атака на конфиденциальность, при которой злоумышленник отправляет крошечные суммы криптовалюты на множество адресов, которые он хочет деанонимизировать, а затем отслеживает, не будет ли эта пыль потрачена вместе с другими монетами получателя, что подтверждает принадлежность адресов одному и тому же кошельку.
- После того как подтверждается, что два адреса относятся к одному кошельку, злоумышленник может сопоставить активность кошелька с офчейн-признаками личности (депозиты на известные биржи, упоминание в публичной записи и т. д.), чтобы деанонимизировать владельца. Дастинг редко является конечной целью: обычно он служит подготовкой к последующей фишинговой или вымогательской кампании, нацеленной на установленного владельца кошелька. Защита: не тратьте «запыленные» UTXO без необходимости; многие кошельки теперь позволяют помечать и изолировать подозрительную входящую пыль.
Also: DaaS · wallet drainer kit
E
-
Evidence pack
# evidence-pack - Структурированное досье, которое следственная компания формирует по делу о возврате средств: трассировка по хешам транзакций, анализ кластеров кошельков, атрибуция контрагентов, подтверждающие скриншоты и переписка, а также рекомендация по пути возврата средств, оформленные по стандарту, который примет регулятор или суд.
- Обоснованный evidence pack привязан к конкретным хешам транзакций и высотам блоков: каждое содержащееся в нем утверждение должно быть воспроизводимо на основе публичных данных блокчейна. Он включает исходные данные (необработанный граф транзакций), интерпретацию аналитика и оценку уверенности, присвоенную каждой атрибуции. Принципиальное различие между настоящей компанией по возврату средств и мошеннической схемой состоит в том, формирует ли она evidence pack вообще: настоящие компании это делают, мошенники предлагают лишь расплывчатые заверения.
L
-
Liquidity pool exit scam
# liquidity-pool-exit-scam - Мошенническая схема, при которой разработчики токена создают пул ликвидности на DEX, привлекают депозиты, а затем единовременно выводят всю парную ликвидность, оставляя держателей с ничего не стоящими токенами, которые невозможно продать.
- Со стороны всё выглядит как обычный запуск DeFi-токена: новый токен в паре с ETH или стейблкоином в пуле формата Uniswap. Разработчики сохраняют контроль над LP-токенами (или вовсе не блокируют их) и выводят их в момент пиковой ликвидности. Типичные тревожные признаки: анонимная команда, отсутствие аудита, период блокировки ликвидности менее 30 дней либо его полное отсутствие, кошельки основателей с непропорционально крупными долями токенов. Возврат средств редко бывает реалистичным, поскольку операторы были анонимны с самого начала, а средства, как правило, сразу направляются в миксеры.
Also: rug pull
M
-
Multi-sig wallet
# multi-sig-wallet - Кошелёк, для авторизации любой исходящей транзакции требующий подписей от нескольких приватных ключей (например, по схеме 2 из 3 или 3 из 5): это означает, что компрометация одного ключа не позволяет опустошить кошелёк.
- Multi-sig является стандартом для институционального хранения криптовалют и для частных лиц, удерживающих крупные балансы. Распространённые реализации: Gnosis Safe (сети EVM), Casa и Unchained (Bitcoin). Компромисс: multi-sig радикально снижает риск единой точки отказа, но добавляет трения к каждой транзакции и зависит от безопасного хранения нескольких ключей, что само по себе становится проблемой безопасности.
P
-
Peel chain
# peel-chain - Схема отмывания, при которой крупная сумма криптовалюты перемещается через последовательность кошельков, причём на каждом этапе небольшая часть отщепляется и выводится на биржу или в точку обналичивания, тогда как основной объём продолжает движение дальше.
- Схемы peel chain предназначены для дробления одной крупной подозрительной транзакции на множество мелких, которые не достигают пороговых значений AML для отдельного депозита на принимающих биржах. Как правило, они охватывают сотни промежуточных адресов и могут занимать недели. Разбор peel chain представляет собой особый метод ончейн-расследования: каждое отщепление следует узнаваемому шаблону (крупный вход, небольшой вывод на биржу, крупный выход сдачи, который становится следующим входом), что позволяет аналитику проследить цепочку через транзакции, на первый взгляд кажущиеся не связанными между собой.
-
Permit2 phishing
# permit2-phishing - Разновидность фишинга, эксплуатирующая стандарт подписей `Permit2` от Uniswap: жертва подписывает офчейн-сообщение, которое злоумышленник затем отправляет в сеть, чтобы вывести одобренные токены, причём без затрат на gas и без следов в блокчейне вплоть до момента самого вывода средств.
- Permit2 был разработан для того, чтобы пользователи могли одобрять расходование токенов одной подписью вместо оплаты gas за отдельную транзакцию `approve`. Обратная сторона: офчейн-подпись остаётся невидимой до тех пор, пока злоумышленник не решит её исполнить, что затрудняет её обнаружение или отзыв до вывода средств. Интерфейсы wallet постепенно адаптируются, начиная распознавать подписи Permit2 и показывать, что именно они авторизуют, однако по состоянию на 2026 год многие wallet по-прежнему отображают подпись как непрозрачные «типизированные данные EIP-712»: внимательно читайте каждое диалоговое окно подписи.
R
-
Rug pull
# rug-pull - Мошенническая схема вывода средств из пула ликвидности в DeFi, при которой основатели токена единовременно изымают всю парную ликвидность из пула на DEX, оставляя держателей с обесцененными токенами, которые невозможно продать.
- Описание механизма см. в `liquidity-pool-exit-scam`. Термин является разговорным и нередко употребляется в широком смысле для обозначения любого DeFi-проекта, основатели которого исчезают со средствами пользователей, включая более сложные варианты: атаки на управление (governance attacks), вредоносные обновляемые контракты и вывод активов из хранилищ с временной блокировкой, опустошающий хранилище. Будь то классическое изъятие ликвидности или атака на управление, профиль ончейн-форензики одинаков: отследить кошельки основателей, выявить точки вывода средств на CEX, по возможности передать дело на эскалацию.
S
-
Sweeper bot
# sweeper-bot - Автоматизированная программа, которая отслеживает скомпрометированный кошелёк (тот, чей приватный ключ теперь известен оператору) и мгновенно переводит любые поступающие средства на адрес, контролируемый злоумышленником, делая кошелёк навсегда непригодным для жертвы.
- Обнаружив, что их кошелёк скомпрометирован, жертвы иногда пытаются "спасти" средства, отправляя на него ETH для оплаты gas, необходимого для спасательной транзакции. Sweeper bot опережает их и забирает средства на gas в тот же момент, когда они поступают, не давая провести спасение. Защита: не отправляйте ничего на скомпрометированный кошелёк; вместо этого переводите любые поступающие средства в источнике, либо используйте приватные транзакции Flashbots, чтобы провести спасение с более высоким приоритетом, чем способен обеспечить бот.
See also: wallet drain
W
-
Withdrawal-block extortion
# withdrawal-block - Вторая стадия схемы по извлечению средств, при которой мошенническая торговая платформа отказывается выдать «заработанные» жертвой деньги до тех пор, пока жертва не оплатит растущие комиссии: налоговую очистку, AML-проверку, повышение уровня аккаунта, ни одна из которых ничего не разблокирует.
- Практически каждая мошенническая схема с поддельной инвестиционной платформой выходит на блокировку вывода средств, как только жертва внесла достаточно, чтобы её было выгодно «доить». Комиссии звучат правдоподобно (они заимствуют язык настоящих процедур комплаенса), а интерфейс платформы продолжает отображать баланс жертвы так, будто он реален. Каждая оплаченная комиссия порождает новый запрос на оплату. Основная сумма была выведена задолго до всего этого: блокировка вывода существует исключительно для того, чтобы вытянуть дополнительные деньги. Специализированное руководство CryptoLeek: /scams/withdrawal-block/.
Also: frozen-withdrawal scam · release-fee scam
З
-
Забой свиньи (sha zhu pan)
# pig-butchering - Многомесячная мошенническая схема, начинающаяся с романтических отношений и переходящая в инвестиции, в рамках которой оператор неделями выстраивает эмоциональное доверие с жертвой, а затем знакомит её с поддельной торговой платформой, демонстрирующей сфабрикованную прибыль до тех пор, пока жертва не вложит достаточно средств, чтобы их было выгодно изъять.
- Термин представляет собой перевод китайского 殺豬盤 («заколоть свинью») и отсылает к схеме «откорма» жертвы за счёт выстраивания отношений перед изъятием средств. Контакт завязывается вне какого-либо инвестиционного контекста (приложения для знакомств, LinkedIn, обращения под видом ошибочно набранного номера), а к инвестициям жертва приходит будто бы «самостоятельно», без прямого предложения. Забой свиньи представляет собой категорию с самыми крупными потерями в сфере криптомошенничества во всём мире. Специальное руководство CryptoLeek: /scams/romance/.
Also: sha zhu pan · romance-into-investment scam
К
-
Кластеризация кошельков
# wallet-clustering - Метод ончейн-форензики, который объединяет множество криптовалютных адресов в «кластеры», предположительно контролируемые одним и тем же оператором, на основе эвристик общих входов, типичных схем расходования средств и поведенческих отпечатков.
- Одна мошенническая операция обычно контролирует от десятков до тысяч адресов, каждый из которых используется недолго, а затем отбрасывается. Алгоритмы кластеризации определяют, какие адреса ведут себя как один кошелёк: например, по их совместному расходованию в рамках одной транзакции (что доказывает наличие общего контролирующего лица). Именно эффективная кластеризация делает возврат средств реально возможным: она позволяет аналитику отслеживать основную массу средств даже тогда, когда оператор постоянно создаёт новые, «свежие» адреса для их получения.
М
-
Микшер (криптовалюта)
# mixer - Сервис или смарт-контракт, который объединяет криптовалюту множества вкладчиков и выплачивает эквивалентные суммы на новые адреса, разрывая ончейн-связь между исходными и целевыми кошельками.
- Tornado Cash (Ethereum) является наиболее часто упоминаемым примером; Sinbad, ChipMixer и Wasabi/Whirlpool, распространённые аналоги для Bitcoin. Микшеры активно используются организаторами криптомошенничества для отмывания похищенных средств, поэтому ряд из них попал под санкции OFAC и других регуляторов. Возврат средств значительно сложнее после того, как они попадают в настоящий микшер, чем после их прохождения через обычную биржу. В частности, в случае Tornado Cash возврат, как правило, невозможен без содействия оператора.
-
Мошенничество с возвратом средств
# recovery-scam - Мошенническая схема, нацеленная на тех, кто ранее пострадал от криптовалютного мошенничества: жертвам без их запроса поступают холодные обращения с предложениями о "возврате средств" и требованием оплаты при отсутствии письменного описания объёма работ. Реальный возврат средств при этом никогда не происходит, а дополнительные деньги нередко выманиваются поэтапно.
- Мошенники, специализирующиеся на возврате средств, собирают контактные данные из публичных баз жалоб на мошенничество, постов в социальных сетях и тематических форумов о возврате средств. Они выходят на жертв холодными обращениями, ссылаются на полномочия, которые не могут подтвердить ("партнёр FBI", "авторизованы FCA"), утверждают, что уже нашли средства, и требуют "плату за заморозку активов" или "плату за подачу заявления" без письменных, конкретных результатов работы. Добросовестные фирмы по возврату средств не звонят без запроса, оценивают дело до выставления стоимости и предоставляют письменное описание объёма работ с фиксированным гонораром, в котором точно указано, что именно покрывает плата. Центр IC3 при FBI прямо предупреждает о схеме "холодное обращение плюс плата без описания работ".
Also: tumbler
Also: second-stage scam
О
-
Опустошение wallet
# wallet-drain - Атака, в ходе которой оператор получает право выводить токены из wallet жертвы, как правило через вредоносное одобрение токенов (token approval) или похищенный приватный ключ, и переводит баланс wallet на подконтрольный ему адрес.
- Опустошение wallet отличается от мошенничества с инвестиционными платформами тем, что здесь нет платформы, к которой можно было бы обратиться с претензией: потеря происходит напрямую из самостоятельно управляемого (self-custody) wallet жертвы. Два наиболее распространённых вектора: (1) фишинг одобрений (approval phishing), когда жертва подписывает вредоносную транзакцию одобрения токенов на поддельном dApp, и (2) компрометация seed-фразы, когда жертва вводит свою фразу восстановления на фишинговом сайте, выдающем себя за службу поддержки wallet. Возврат средств возможен, когда выведенные средства поступают на регулируемую CEX до того, как будут отмыты, и менее вероятен, когда они направляются напрямую в миксер. Профильное руководство CryptoLeek: /scams/wallet-drain/.
Also: drainer attack
П
-
Подмена SIM-карты (в контексте криптовалют)
# sim-swap - Атака, в ходе которой злоумышленник методами социальной инженерии вынуждает мобильного оператора жертвы перенести её номер телефона на SIM-карту, контролируемую злоумышленником, после чего использует коды двухфакторной аутентификации (2FA) из SMS, чтобы получить контроль над аккаунтами жертвы на бирже и её электронной почтой.
- Подмена SIM-карты является наиболее часто упоминаемым способом проникновения в аккаунт криптовалютной биржи, не связанным с фишингом. Злоумышленник мог узнать данные жертвы в результате предшествующей утечки данных, посредством социальной инженерии или через подкупленного инсайдера у оператора связи. Защита: не используйте SMS в качестве второго фактора ни на одном аккаунте, который хранит криптовалюту или управляет ею. Используйте TOTP (Google Authenticator, Authy) или аппаратные токены (YubiKey). Мобильные операторы всё чаще позволяют установить PIN-код для запрета переноса номера (port-out PIN): используйте эту возможность.
See also: wallet drain
С
-
Самостоятельное хранение (self-custody) против кастодиального
# self-custody-vs-custody - При самостоятельном хранении вы контролируете приватный ключ, и платформа не может распоряжаться вашими средствами; в кастодиальных схемах (большинство бирж, брокерских приложений, управляющих фондов) ключ хранит платформа, а вы владеете лишь правом требования к ней, то есть ваш «баланс» зависит от платёжеспособности и добросовестности этой платформы.
- Это различие лежит в основе принципа «не твои ключи, не твои монеты» (not your keys, not your coins). Кастодиальные схемы удобны и предлагают клиентскую поддержку; самостоятельное хранение требует, чтобы вы сами управляли резервным копированием, безопасностью и соблюдением нормативных требований. Значительная доля потерь в сфере криптовалют связана с кастодиальными платформами, которые становятся неплатёжеспособными, подвергаются взлому или отказывают в выводе средств. Для долгосрочного хранения стандартная рекомендация состоит в самостоятельном хранении в холодном кошельке (cold wallet), а использование кастодиальных сервисов следует ограничивать активной торговлей.