Кошелёк опустошён одной подписью,
возможность возврата зависит от того, куда дальше ушли средства.
Атаки с опустошением кошелька отличаются от мошенничества на инвестиционных платформах тем, что здесь нет платформы, у которой можно было бы добиться возврата: злоумышленник получил одобрение на перемещение средств напрямую из кошелька жертвы, зачастую через единственную вредоносную подпись на поддельной странице минтинга, фальшивой раздаче токенов (airdrop) или под видом легитимного dApp. Возврат возможен, когда выведенные средства попадают на регулируемый exchange или в известный кластер кошельков, и значительно менее вероятен, когда они напрямую уходят в инфраструктуру миксеров.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Охватывает весь спектр: от опытных пользователей DeFi до новичков, впервые минтящих NFT. Опустошение кошельков часто затрагивает людей, считающих себя хорошо разбирающимися в криптовалютах: атака строится на убеждённости "я бы никогда на такое не попался", что снижает внимательность при проверке конкретного поддельного сайта, который оказывается успешным. Размер потерь варьируется чрезвычайно широко: от нескольких сотен долларов в тестовых токенах до семизначных позиций в DeFi.
Signals victims and bystanders should know.
- 01
Запрос на подключение кошелька с домена, на который вы попали не через официальный канал проекта
Поддельные сайты минтинга и airdrop обычно продвигаются через взломанные каналы Discord, фальшивые аккаунты в Twitter или платную рекламу в Google. Всегда переходите к dApp по проверенной официальной ссылке проекта.
- 02
Создание ощущения срочности: "получите в течение 24 часов" или "ограниченное количество"
Сконструировано так, чтобы помешать вам проверить URL. У легитимных проектов окна получения длятся несколько дней, и они не давят на участников.
- 03
Запрос подписи требует одобрения токена, а не конкретной транзакции
Подпись "approve" или "setApprovalForAll" даёт контракту постоянное разрешение перемещать ваши токены. Это нормально при легитимном использовании DEX, но вредоносные контракты применяют то же самое. Всегда проверяйте, что именно одобряет подпись и какому контракту.
- 04
Запрашивают вашу сид-фразу или приватный ключ
Ни один легитимный сервис никогда не нуждается в вашей фразе восстановления из 12 или 24 слов. Любой запрос этих данных является непосредственной попыткой опустошения кошелька, насколько бы легитимной ни выглядела окружающая страница.
The first 24 hours matter most.
- 01
Немедленно переведите оставшиеся средства на новый кошелёк
Если ваш кошелёк был опустошён, выданное одобрение может по-прежнему позволять продолжать вывод других токенов, которыми вы всё ещё владеете. Создайте новый кошелёк (с новой сид-фразой) и переведите всё, что ещё не выведено.
- 02
Отзовите ожидающие одобрения на старом кошельке
Используйте Revoke.cash или аналогичный сервис, чтобы отозвать все действующие одобрения токенов на скомпрометированном кошельке. Даже если вы выводите средства, оставленное активным одобрение создаёт риск вывода в будущем любых токенов, которые поступят обратно на этот адрес.
- 03
Зафиксируйте хеши транзакций
Вредоносная транзакция одобрения и последующая транзакция вывода средств навсегда остаются в блокчейне. Запишите их хеши: они служат доказательной базой для любых действий по возврату.
- 04
Уведомите соответствующие биржи и сети
Если выведенные средства попали на известный регулируемый exchange, немедленно свяжитесь с его комплаенс-отделом. Некоторые биржи способны заморозить кошелёк-получатель в течение нескольких часов, если действия начаты быстро.
- 05
Откройте запрос на рассмотрение дела в CryptoLeek
Мы отслеживаем вывод средств и в течение 24 часов сообщаем вам, является ли точка назначения пригодной для возврата. У опустошения кошельков есть характерный сценарий, при котором помогает быстрая профессиональная эскалация.
189 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net является подтверждённо мошенническим сайтом, включённым в чёрный список CryptoScamDB и действующим как имитация известного бренда Ethereum-кошелька с целью кражи учётных данных или вывода средств.
EthereumWallet
ethereum-wallet.info: домен из черного списка, отмеченный CryptoScamDB, который имитирует легитимную инфраструктуру Ethereum-кошельков, вероятно, с целью сбора приватных ключей, seed-фраз или опустошения подключенных кошельков.
account-kigo.net
account-kigo.net является домен из черного списка, внесенным CryptoScamDB как подтвержденная мошенническая операция, что соответствует схемам подмены аккаунтов или сбора учетных данных, нацеленным на держателей криптовалют.
aragonproject.io
aragonproject.io внесён в чёрный список CryptoScamDB как подтверждённая мошенническая операция; его доменное имя близко имитирует название известного протокола управления блокчейном, что указывает на схему подмены бренда.
bitcoin-wallet.net
bitcoin-wallet.net — подтверждённо мошеннический домен, внесённый в чёрный список CryptoScamDB; он выдаёт себя за легитимный сервис Bitcoin-кошелька, действуя как схема кражи учётных данных или похищения депозитов.
blocklichan.info
blocklichan.info является подтверждённой мошеннической криптовалютной платформой, включённой в чёрный список CryptoScamDB, и действует по схеме, при которой принимаются депозиты, а вывод средств впоследствии затрудняется или блокируется.
bloclkicihan.info
bloclkicihan.info: подтверждённо мошеннический домен, внесённый в чёрный список CryptoScamDB; его название построено по схеме перестановки символов, характерной для одноразовой инфраструктуры криптовалютного мошенничества.
coin-wallet.info
coin-wallet.info, это подтверждённо мошенническая криптовалютная кошельковая платформа, внесённая в чёрный список CryptoScamDB, что соответствует схемам хищения учётных данных или поддельного кастодиального хранения, нацеленным на розничных держателей криптовалюты.
coindash.ru
coindash.ru, это подтверждённо мошеннический домен, включённый в чёрный список CryptoScamDB; он использует подмену доменной зоны (TLD) для имитации известной криптовалютной платформы и сбора учётных данных или средств пользователей.
contribute-status.im
contribute-status.im, это внесённый в чёрный список домен, выдающий себя за экосистему Status Network и соответствующий поддельным порталам для взносов или стейкинга, созданным для перехвата учётных данных кошельков или вывода средств.
district-0x.io
district-0x.io представляет собой подтверждённо мошеннический сайт, внесённый в чёрный список CryptoScamDB; он использует домен-двойник для имитации известного бренда децентрализованной платформы и обмана пользователей криптовалют.
district0x.net
district0x.net: подтверждённый домен из чёрного списка, имитирующий брендинг известного проекта децентрализованного маркетплейса на базе Ethereum; CryptoScamDB классифицирует его как мошенническую операцию, нацеленную на пользователей криптовалют, ищущих легитимный сервис.
eos-bonus.com
eos-bonus.com, это подтвержденно мошенническая платформа, внесенная в черный список CryptoScamDB, которая под брендом EOS реализует схему с бонусами или вознаграждениями, нацеленную на пользователей криптовалют.
eos-io.info
eos-io.info, это подтверждённо мошеннический домен, отмеченный CryptoScamDB и построенный так, чтобы выдавать себя за бренд блокчейна EOS и вводить в заблуждение пользователей, ищущих легитимные сервисы, связанные с EOS.
ether-api.com
ether-api.com внесён в чёрный список CryptoScamDB как подтверждённая мошенническая операция, выдающая себя за связанный с Ethereum API-сервис, без признаков легитимной инфраструктуры или регуляторного статуса.
ether-wall.com
ether-wall.com является подтверждённо мошенническим сайтом, включённым в чёрный список CryptoScamDB; он выдаёт себя за сервис Ethereum-кошельков, но фактически занимается сбором учётных данных или хищением активов владельцев криптовалюты.
etherclassicwallet.com
etherclassicwallet.com является подтверждённо мошенническим сайтом, включённым в чёрный список CryptoScamDB, и функционирует как поддельный интерфейс кошелька Ethereum Classic, предназначенный для сбора приватных ключей или seed-фраз пользователей.
ethereum-wallet.net
ethereum-wallet.net является внесённым в чёрный список доменом, подтверждённым CryptoScamDB, который выдаёт себя за легитимную инфраструктуру Ethereum-кошельков с целью сбора учётных данных или перехвата средств у пользователей криптовалют.
ethereumchamber.com
ethereumchamber.com числится в черном списке CryptoScamDB как подтвержденная мошенническая операция, использующая бренд Ethereum для привлечения криптовалютных депозитов от ничего не подозревающих пользователей.
ethereumchamber.net
ethereumchamber.net включён в чёрный список CryptoScamDB как подтверждённая мошенническая операция, которая выдаёт себя за платформу, аффилированную с Ethereum, с целью привлечения вкладчиков криптовалюты.
ethereumchest.com
ethereumchest.com внесён в чёрный список CryptoScamDB как подтверждённая мошенническая операция; судя по всему, ресурс создан для эксплуатации бренда Ethereum с целью привлечения держателей криптовалюты и хищения их средств.
ethereumchest.net
ethereumchest.net является подтвержденной мошеннической операцией, включенной в черный список CryptoScamDB: ресурс выдает себя за сервис по работе с активами на базе Ethereum, фактически служа инструментом для хищения средств пользователей.
etherswap.org
etherswap.org является подтверждённо мошеннической платформой, включённой в общественный чёрный список CryptoScamDB; она представляется сервисом обмена токенов на базе Ethereum, действуя при этом как механизм хищения средств у держателей криптовалюты.
etherwallet.co.za
etherwallet.co.za это подтверждённо мошеннический домен из чёрного списка CryptoScamDB, созданный для имитации известного интерфейса Ethereum-кошелька и сбора учётных данных или приватных ключей пользователей.
Questions victims of this pattern ask us most.
Могу ли я вернуть украденную из кошелька криптовалюту? +
Я отозвал одобрение, но мои токены уже исчезли. Что теперь? +
Насколько быстро нужно действовать после опустошения кошелька? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Атака, в ходе которой оператор получает право выводить токены из wallet жертвы, как правило через вредоносное одобрение токенов (token approval) или похищенный приватный ключ, и переводит баланс wallet на подконтрольный ему адрес.
Атака на кошелёк, при которой жертва подписывает транзакцию `setApprovalForAll` или неограниченный `approve` на поддельном dApp, предоставляя контракту злоумышленника право в любой последующий момент выводить из кошелька определённые токены.
Подписочная модель, при которой команда разработчиков создаёт и поддерживает смарт-контракт для опустошения кошельков и панель администратора, а затем сдаёт их в аренду партнёрам, которые управляют фишинговыми сайтами и делят полученную прибыль с разработчиками.
Разновидность фишинга, эксплуатирующая стандарт подписей `Permit2` от Uniswap: жертва подписывает офчейн-сообщение, которое злоумышленник затем отправляет в сеть, чтобы вывести одобренные токены, причём без затрат на gas и без следов в блокчейне вплоть до момента самого вывода средств.
Автоматизированная программа, которая отслеживает скомпрометированный кошелёк (тот, чей приватный ключ теперь известен оператору) и мгновенно переводит любые поступающие средства на адрес, контролируемый злоумышленником, делая кошелёк навсегда непригодным для жертвы.
Мошенническая схема, нацеленная на криптокошельки, при которой в историю транзакций жертвы внедряется поддельный адрес, имитирующий первые и последние символы адреса, который жертва недавно использовала, в расчете на то, что при будущем переводе она скопирует и вставит неверный адрес.
Холодный кошелёк хранит приватный ключ офлайн (аппаратное устройство или бумажный носитель); горячий кошелёк хранит его в программном обеспечении, подключённом к интернету. Холодное хранение существенно безопаснее против большинства атак с опустошением кошельков и phishing.
Кошелёк, для авторизации любой исходящей транзакции требующий подписей от нескольких приватных ключей (например, по схеме 2 из 3 или 3 из 5): это означает, что компрометация одного ключа не позволяет опустошить кошелёк.
Сервис или смарт-контракт, который объединяет криптовалюту множества вкладчиков и выплачивает эквивалентные суммы на новые адреса, разрывая ончейн-связь между исходными и целевыми кошельками.