Кошелёк опустошён одной подписью,
возможность возврата зависит от того, куда дальше ушли средства.
Атаки с опустошением кошелька отличаются от мошенничества на инвестиционных платформах тем, что здесь нет платформы, у которой можно было бы добиться возврата: злоумышленник получил одобрение на перемещение средств напрямую из кошелька жертвы, зачастую через единственную вредоносную подпись на поддельной странице минтинга, фальшивой раздаче токенов (airdrop) или под видом легитимного dApp. Возврат возможен, когда выведенные средства попадают на регулируемый exchange или в известный кластер кошельков, и значительно менее вероятен, когда они напрямую уходят в инфраструктуру миксеров.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Охватывает весь спектр: от опытных пользователей DeFi до новичков, впервые минтящих NFT. Опустошение кошельков часто затрагивает людей, считающих себя хорошо разбирающимися в криптовалютах: атака строится на убеждённости "я бы никогда на такое не попался", что снижает внимательность при проверке конкретного поддельного сайта, который оказывается успешным. Размер потерь варьируется чрезвычайно широко: от нескольких сотен долларов в тестовых токенах до семизначных позиций в DeFi.
Signals victims and bystanders should know.
- 01
Запрос на подключение кошелька с домена, на который вы попали не через официальный канал проекта
Поддельные сайты минтинга и airdrop обычно продвигаются через взломанные каналы Discord, фальшивые аккаунты в Twitter или платную рекламу в Google. Всегда переходите к dApp по проверенной официальной ссылке проекта.
- 02
Создание ощущения срочности: "получите в течение 24 часов" или "ограниченное количество"
Сконструировано так, чтобы помешать вам проверить URL. У легитимных проектов окна получения длятся несколько дней, и они не давят на участников.
- 03
Запрос подписи требует одобрения токена, а не конкретной транзакции
Подпись "approve" или "setApprovalForAll" даёт контракту постоянное разрешение перемещать ваши токены. Это нормально при легитимном использовании DEX, но вредоносные контракты применяют то же самое. Всегда проверяйте, что именно одобряет подпись и какому контракту.
- 04
Запрашивают вашу сид-фразу или приватный ключ
Ни один легитимный сервис никогда не нуждается в вашей фразе восстановления из 12 или 24 слов. Любой запрос этих данных является непосредственной попыткой опустошения кошелька, насколько бы легитимной ни выглядела окружающая страница.
The first 24 hours matter most.
- 01
Немедленно переведите оставшиеся средства на новый кошелёк
Если ваш кошелёк был опустошён, выданное одобрение может по-прежнему позволять продолжать вывод других токенов, которыми вы всё ещё владеете. Создайте новый кошелёк (с новой сид-фразой) и переведите всё, что ещё не выведено.
- 02
Отзовите ожидающие одобрения на старом кошельке
Используйте Revoke.cash или аналогичный сервис, чтобы отозвать все действующие одобрения токенов на скомпрометированном кошельке. Даже если вы выводите средства, оставленное активным одобрение создаёт риск вывода в будущем любых токенов, которые поступят обратно на этот адрес.
- 03
Зафиксируйте хеши транзакций
Вредоносная транзакция одобрения и последующая транзакция вывода средств навсегда остаются в блокчейне. Запишите их хеши: они служат доказательной базой для любых действий по возврату.
- 04
Уведомите соответствующие биржи и сети
Если выведенные средства попали на известный регулируемый exchange, немедленно свяжитесь с его комплаенс-отделом. Некоторые биржи способны заморозить кошелёк-получатель в течение нескольких часов, если действия начаты быстро.
- 05
Откройте запрос на рассмотрение дела в CryptoLeek
Мы отслеживаем вывод средств и в течение 24 часов сообщаем вам, является ли точка назначения пригодной для возврата. У опустошения кошельков есть характерный сценарий, при котором помогает быстрая профессиональная эскалация.
109 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net is a confirmed-fraudulent site listed on CryptoScamDB's blacklist, operating as a credential-harvesting or fund-draining imitation of a well-known Ethereum wallet brand.
EthereumWallet
ethereum-wallet.info is a blacklisted domain flagged by CryptoScamDB that mimics legitimate Ethereum wallet infrastructure, likely to harvest private keys, seed phrases, or drain connected wallets.
account-kigo.net
account-kigo.net is a blacklisted domain listed by CryptoScamDB as a confirmed fraudulent operation, consistent with account-spoofing or credential-harvesting schemes targeting cryptocurrency holders.
aragonproject.io
aragonproject.io is blacklisted by CryptoScamDB as a confirmed fraudulent operation; its domain closely mimics the name of a recognised blockchain governance protocol, signalling a brand impersonation pattern.
bitcoin-wallet.net
bitcoin-wallet.net is a confirmed-fraudulent domain blacklisted by CryptoScamDB; it presents as a legitimate Bitcoin wallet service while operating as a credential-harvesting or deposit-theft scheme.
blocklichan.info
blocklichan.info is a confirmed fraudulent cryptocurrency platform listed on the CryptoScamDB blacklist, consistent with operations that solicit deposits and subsequently obstruct or deny withdrawal.
bloclkicihan.info
bloclkicihan.info is a confirmed-fraudulent domain listed on the CryptoScamDB blacklist, exhibiting a character-transposition naming pattern common to disposable crypto fraud infrastructure.
coin-wallet.info
coin-wallet.info is a confirmed-fraudulent cryptocurrency wallet platform listed on CryptoScamDB's blacklist, consistent with credential-harvesting or fake-custody wallet operations targeting retail crypto holders.
coindash.ru
coindash.ru is a confirmed-fraudulent domain listed on the CryptoScamDB blacklist, employing TLD substitution to impersonate a recognised cryptocurrency platform and harvest user credentials or funds.
contribute-status.im
contribute-status.im is a blacklisted domain impersonating the Status Network ecosystem, consistent with fake contribution or staking portals designed to harvest wallet credentials or divert funds.
district-0x.io
district-0x.io is a confirmed-fraudulent site listed on CryptoScamDB's blacklist, employing a lookalike domain to impersonate an established decentralised-platform brand and deceive cryptocurrency users.
district0x.net
district0x.net is a confirmed-blacklisted domain that mimics the branding of a known Ethereum-based decentralised marketplace project; CryptoScamDB lists it as a fraud operation targeting crypto users seeking the legitimate service.
eos-bonus.com
eos-bonus.com is a confirmed-fraudulent platform listed on CryptoScamDB's blacklist, operating a bonus or reward-themed scheme targeting cryptocurrency users under the EOS brand.
eos-io.info
eos-io.info is a confirmed-fraudulent domain flagged by CryptoScamDB, structured to impersonate the EOS blockchain brand identity and mislead users seeking legitimate EOS-related services.
ether-api.com
ether-api.com is listed on the CryptoScamDB blacklist as a confirmed fraudulent operation presenting itself as an Ethereum-linked API service, with no evidence of legitimate infrastructure or regulatory standing.
ether-wall.com
ether-wall.com is a confirmed-fraudulent site listed on the CryptoScamDB blacklist, presenting as an Ethereum wallet service while operating as a credential-harvesting or asset-theft operation targeting cryptocurrency holders.
etherclassicwallet.com
etherclassicwallet.com is a confirmed-fraudulent site listed on the CryptoScamDB blacklist, operating as a fake Ethereum Classic wallet interface designed to harvest private keys or seed phrases from users.
ethereum-wallet.net
ethereum-wallet.net is a blacklisted domain confirmed by CryptoScamDB that impersonates legitimate Ethereum wallet infrastructure to harvest credentials or intercept funds from cryptocurrency users.
ethereumchamber.com
ethereumchamber.com appears on the CryptoScamDB blacklist as a confirmed fraudulent operation leveraging Ethereum branding to solicit cryptocurrency deposits from unsuspecting users.
ethereumchamber.net
ethereumchamber.net is listed on the CryptoScamDB blacklist as a confirmed fraudulent operation, presenting itself as an Ethereum-affiliated platform to attract cryptocurrency depositors.
ethereumchest.com
ethereumchest.com is listed on the CryptoScamDB blacklist as a confirmed fraudulent operation; it appears designed to exploit the Ethereum brand to attract cryptocurrency holders and extract funds.
ethereumchest.net
ethereumchest.net is a confirmed fraudulent operation listed on the CryptoScamDB blacklist, presenting as an Ethereum-related asset service while functioning as a vehicle for user fund theft.
etherswap.org
etherswap.org is a confirmed-fraudulent platform listed on CryptoScamDB's community blacklist, presenting as an Ethereum-based token swap service while operating as a theft mechanism targeting cryptocurrency holders.
etherwallet.co.za
etherwallet.co.za is a confirmed-fraudulent domain on the CryptoScamDB blacklist, structured to impersonate a well-known Ethereum wallet interface and harvest user credentials or private keys.
Questions victims of this pattern ask us most.
Могу ли я вернуть украденную из кошелька криптовалюту? +
Я отозвал одобрение, но мои токены уже исчезли. Что теперь? +
Насколько быстро нужно действовать после опустошения кошелька? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Атака, в ходе которой оператор получает право выводить токены из wallet жертвы, как правило через вредоносное одобрение токенов (token approval) или похищенный приватный ключ, и переводит баланс wallet на подконтрольный ему адрес.
Атака на кошелёк, при которой жертва подписывает транзакцию `setApprovalForAll` или неограниченный `approve` на поддельном dApp, предоставляя контракту злоумышленника право в любой последующий момент выводить из кошелька определённые токены.
Подписочная модель, при которой команда разработчиков создаёт и поддерживает смарт-контракт для опустошения кошельков и панель администратора, а затем сдаёт их в аренду партнёрам, которые управляют фишинговыми сайтами и делят полученную прибыль с разработчиками.
Разновидность фишинга, эксплуатирующая стандарт подписей `Permit2` от Uniswap: жертва подписывает офчейн-сообщение, которое злоумышленник затем отправляет в сеть, чтобы вывести одобренные токены, причём без затрат на gas и без следов в блокчейне вплоть до момента самого вывода средств.
Автоматизированная программа, которая отслеживает скомпрометированный кошелёк (тот, чей приватный ключ теперь известен оператору) и мгновенно переводит любые поступающие средства на адрес, контролируемый злоумышленником, делая кошелёк навсегда непригодным для жертвы.
Мошенническая схема, нацеленная на криптокошельки, при которой в историю транзакций жертвы внедряется поддельный адрес, имитирующий первые и последние символы адреса, который жертва недавно использовала, в расчете на то, что при будущем переводе она скопирует и вставит неверный адрес.
Холодный кошелёк хранит приватный ключ офлайн (аппаратное устройство или бумажный носитель); горячий кошелёк хранит его в программном обеспечении, подключённом к интернету. Холодное хранение существенно безопаснее против большинства атак с опустошением кошельков и phishing.
Кошелёк, для авторизации любой исходящей транзакции требующий подписей от нескольких приватных ключей (например, по схеме 2 из 3 или 3 из 5): это означает, что компрометация одного ключа не позволяет опустошить кошелёк.
Сервис или смарт-контракт, который объединяет криптовалюту множества вкладчиков и выплачивает эквивалентные суммы на новые адреса, разрывая ончейн-связь между исходными и целевыми кошельками.