How the scam operates.
Домен xn--mythrwallt-1nbcf.com использует конструкцию омографа на основе интернационализированного доменного имени (IDN): его punycode-кодировка преобразуется в строку, которая при отображении в адресной строке большинства браузеров визуально неотличима от названия широко используемого сервиса Ethereum-кошелька. Внешнее оформление почти наверняка имитирует интерфейс кошелька, предлагая пользователям импортировать существующие кошельки, ввести фразы восстановления или подключить аппаратные устройства подписи. Операция нацелена на держателей Ether и токенов ERC-20, которым требуется штатный доступ к своим средствам.
Механизм основан на визуальном обмане на уровне домена. Жертвы попадают сюда по фишинговым ссылкам в социальных сетях, мессенджерах или поисковой рекламе, либо допуская опечатку в знакомом URL, которая приводит к домену-омографу. Оказавшись на сайте, пользователь сталкивается с запросом единственного учётного реквизита, дающего необратимый контроль над некастодиальным кошельком: seed-фразы или приватного ключа. Оператор получает эти данные незаметно; затем интерфейс может имитировать успешный вход, чтобы отсрочить обнаружение и максимально расширить окно для вывода активов.
Обман становится очевидным, когда жертва пытается провести операцию и обнаруживает, что баланс обнулён, либо когда она сверяет домен с инструментом безопасности и находит запись в чёрном списке. К этому моменту кошелёк уже скомпрометирован. Поскольку у некастодиальных кошельков нет центрального органа, способного отменить транзакции, восстановление зависит от того, остаются ли средства неподтверждёнными, и от того, можно ли отследить операцию методами анализа блокчейна. Получив приватный реквизит, оператор не сталкивается с какими-либо дальнейшими техническими препятствиями для свободного перемещения активов.
Red flags we documented.
- 01Конструкция IDN-омографа имитирует название известного кошелькаPunycode-домен кодирует похожие по начертанию символы Unicode, чтобы в адресной строке большинства браузеров отобразить строку, визуально идентичную названию известного сервиса кошелька. Этот приём является характерным признаком операций по сбору учётных данных, нацеленных на пользователей, которые ориентируются по узнаваемому виду домена, а не проверяют его посимвольно.
- 02Включение в чёрный список CryptoScamDBДомен присутствует в общественном чёрном списке CryptoScamDB, совместно поддерживаемом реестре адресов, связанных с подтверждённой мошеннической деятельностью. Включение в чёрный список отражает зафиксированные инциденты, а не просто подозрения, и указывает на ранее пострадавших жертв либо на активную пометку со стороны специалистов по безопасности.
- 03Отсутствие проверяемого оператора или регуляторного присутствияС этим доменом публично не связаны ни лицензия, ни регуляторная регистрация, ни корпоративная принадлежность. Легитимные сервисы кошельков, работающие со средствами пользователей, обладают проверяемым юридическим и комплаенс-следом. Полное отсутствие подобной информации соответствует операции, рассчитанной на прекращение деятельности после короткого периода активности.
- 04Запрос seed-фразы как основной вектор атакиОперации такого типа структурно рассчитаны на получение seed-фраз или приватных ключей под предлогом импорта кошелька или восстановления учётной записи. Любой веб-интерфейс, запрашивающий seed-фразу вне контекста локально выполняемого приложения или аппаратного устройства, следует рассматривать как потенциальную операцию по сбору учётных данных, независимо от того, насколько знакомым выглядит домен.
- 05Необратимость создаёт асимметричный риск для жертвыПосле передачи приватного ключа или seed-фразы враждебной платформе все связанные средства подвергаются немедленному и необратимому риску. Здесь нет механизма возврата платежа и нет оператора, к которому можно обратиться за возмещением. Именно эта необратимость представляет собой ту асимметрию, на эксплуатацию которой рассчитаны омограф-операции подобного рода.
What you can do now.
Откройте бесплатную оценку дела за 24 часа в CryptoLeek +
Расс��ажите нам, что произошло. Старший аналитик изучает ваше дело в течение 24 часов и отвечает честным «да/нет/при определённых условиях» относительно перспектив возврата. Оценка бесплатна. Если мы не можем вернуть средства, мы прямо об этом сообщаем, в том числе указываем, к какому (бесплатному) регуляторному каналу вам следует обратиться вместо этого. Если мы принимаем дело, мы открываем пронумерованное досье и выставляем письменное предложение по фиксированному гонорару за расследование до начала любых работ, рассчитанному исходя из сложности дела, задействованных юрисдикций и блокчейн-следа.
Отследите свои средства в блокчейне вместе с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, EVM L2, Solana, Tron и по основным стейблкоинам, используя тот же набор инструментов, что и регуляторы и комплаенс-команды бирж первого уровня. Результатом становится форензик-отчёт, привязанный к конкретным хешам транзакций и высотам блоков, то есть доказательная база, на которую действительно реагируют биржи, платёжные провайдеры и юристы. Возврат начинается отсюда.
Возвращайте средства с привлечением юристов там, где гражданский иск оправдан +
Если след приводит в юрисдикцию с сотрудничающими банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданского иска и получения постановлений о замораживании активов (по типу Mareva). Адвокаты выставляют счета напрямую вам; гонорар CryptoLeek за расследование не зависит от адвокатских гонораров. Итог: средства возвращаются на указанный вами кошелёк или банковский счёт.