How the scam operates.
Домен xn--mytherwallet-cok.com представляет собой интернационализированное доменное имя, которое при отображении большинством браузеров выглядит визуально идентично известному сервису некастодиального кошелька Ethereum. Оператор эксплуатирует документированную уязвимость в отображении punycode: символ Unicode в составе имени неотличим от своего ASCII-аналога при обычном размере чтения. Сайт почти наверняка воспроизводит полноценный интерфейс кошелька, копируя фирменный стиль и компоновку настоящего сервиса с достаточной точностью, чтобы пройти беглый осмотр.
Жертвы обычно попадают на сайт через фишинговые письма, вредоносную рекламу или ссылки в социальных сетях, где домен отображается в форме Unicode, что скрывает его punycode-кодировку. Оказавшись на странице, пользователь получает указание ввести seed-фразу, приватный ключ или keystore-файл, что подается как обычный доступ к кошельку или его восстановление. Эти учетные данные собираются на стороне сервера. Поскольку приватные ключи Ethereum и seed-фразы стандарта BIP-39 дают безусловный доступ к активам в блокчейне, одной отправки достаточно, чтобы оператор полностью опустошил кошелек.
Мошенничество, как правило, остается незамеченным до тех пор, пока кошелек жертвы уже не опустошен. Обнаружение, если оно вообще происходит, обычно наступает, когда внимательный пользователь рассматривает адресную строку браузера достаточно пристально, чтобы заметить префикс punycode или едва различимо искаженный символ в имени. К этому моменту средства обычно уже утрачены: транзакции в блокчейне необратимы, кошелек по своей конструкции является некастодиальным, и нет посредника, который мог бы заморозить или вернуть перевод.
Red flags we documented.
- 01Доменное имя с punycode-омоглифамиПрефикс xn-- указывает на интернационализированное доменное имя, кодирующее символы, отличные от ASCII. Этот прием используется для создания адресов, которые при отображении в браузере выглядят визуально идентично легитимным сервисам. Его наличие в данном случае в сочетании с близким фонетическим сходством с известным брендом кошелька Ethereum убедительно свидетельствует о намеренной имитации, а не о случайном совпадении имен.
- 02Запрос seed-фразы и приватного ключаЛюбая платформа, которая запрашивает seed-фразу, приватный ключ или keystore-файл пользователя, действует за рамками обычных норм безопасности. Легитимные интерфейсы некастодиальных кошельков не требуют передачи этих учетных данных по сетевому соединению. Запрос таких данных является определяющим механизмом операций по сбору учетных данных, нацеленных на владельцев самостоятельно хранимых кошельков.
- 03Подтверждение в черном списке CryptoScamDBДомен числится в общественном черном списке CryptoScamDB, независимом репозитории с открытым исходным кодом, содержащем подтвержденные вредоносные адреса и поддерживаемом сообществом специалистов по безопасности блокчейна. Включение основано на представленных доказательствах мошеннической деятельности и сопровождается классификацией как подтвержденное мошенничество.
- 04Отсутствие проверяемой личности оператораОперации подобного рода обычно используют регистрацию домена с сокрытием данных о владельце, офшорный или анонимный хостинг, а также короткий срок существования домена. Отсутствие проверяемой личности оператора, физического адреса или регистрации в регулирующих органах означает, что у жертв нет официального канала для обращения, а у следователей возникают значительные препятствия при установлении ответственных лиц.
- 05Необратимость потерь как элемент замыслаВыбор некастодиального кошелька Ethereum в качестве объекта имитации не случаен. После того как учетные данные собраны, а средства переведены в блокчейне, транзакция не может быть отменена какой-либо третьей стороной. Эта структурная необратимость не является побочным обстоятельством; именно поэтому операции по сбору учетных данных последовательно нацелены на пользователей самостоятельно хранимых кошельков, а не на владельцев счетов на биржах.
What you can do now.
Бесплатная оценка вашего дела в течение 24 часов от CryptoLeek +
Расскажите нам, что произошло. Старший аналитик изучает ваше дело в течение 24 часов и отвечает честным заключением о перспективах возврата средств: да, нет или при определенных условиях. Оценка бесплатна. Если мы не можем вернуть средства, мы прямо об этом говорим, в том числе указываем, к какому (бесплатному) каналу регулятора вам следует обратиться вместо этого. Если мы принимаем дело, мы открываем нумерованное досье и выставляем письменное предложение с фиксированным гонораром за расследование до начала любых работ, рассчитанным с учетом сложности дела, задействованных юрисдикций и следа в блокчейне.
Отслеживание ваших средств в блокчейне с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, L2-решениях на базе EVM, Solana, Tron, а также по основным стейблкоинам, используя тот же инструментарий, что и регуляторы и команды комплаенса бирж первого эшелона. Результатом является криминалистический отчет, привязанный к конкретным хэшам транзакций и высотам блоков, то есть к доказательствам, на основании которых биржи, платежные процессоры и юридические консультанты реально предпринимают действия. Возврат средств начинается отсюда.
Возврат средств с юридическими консультантами там, где гражданский иск оправдан +
Там, где отслеживание приводит в юрисдикцию с готовыми к сотрудничеству банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданского иска и вынесения судебных приказов о замораживании активов (по типу приказа Mareva). Адвокаты выставляют счета вам напрямую; гонорар CryptoLeek за расследование не зависит от гонораров юридических консультантов. Итогом становится возврат средств на указанный вами кошелек или банковский счет.