Первый час после обнаружения взлома — единственное окно, когда часть средств ещё можно спасти. Приоритет действий: сначала остановить текущий слив, потом вывести остаток, потом разбираться что произошло. Паника и хаотичные действия в этот период обычно приводят к потере того, что ещё оставалось.
Признаки компрометации: несанкционированные исходящие транзакции в истории, неожиданное обнуление баланса одного или нескольких токенов, незнакомые approvals в revoke.cash. Зависший интерфейс — это отсутствие новых транзакций в блокчейне. Проверьте адрес на etherscan.io: если там есть исходящие транзакции, которые вы не инициировали — кошелёк скомпрометирован. Источник: support.ledger.com/ru/article/7624842382621-zd.
Немедленно зайдите на revoke.cash и отзовите все активные approvals со скомпрометированного адреса — это остановит drainer-контракты, которые ещё не успели вывести токены. Параллельно: отключите кошелёк от всех dApp через настройки браузерного расширения. Не тратьте время на выяснение причины — сначала блокировка, потом анализ. Источник: medium.com/@mintonfin/your-crypto-wallet-was-just-compromised.
Переведите все оставшиеся активы на новый кошелёк с чистой seed-фразой, созданный на незаражённом устройстве. Порядок: сначала стейблкоины и ценные токены, затем нативная монета (ETH, BNB) с учётом gas на последнюю транзакцию. Если средства на бирже — заморозьте вывод через поддержку или смените пароль и 2FA немедленно. Источник: karcrypto.com/ru/checklist.
Откройте etherscan.io, введите скомпрометированный адрес, отфильтруйте транзакции по времени. Найдите первую подозрительную транзакцию — она покажет точку входа атаки (какой контракт получил approve или приватный ключ). Сохраните hash всех несанкционированных транзакций: они понадобятся для обращения в поддержку биржи и, при необходимости, в правоохранительные органы.
В поддержку биржи — если средства ещё не ушли с биржевого аккаунта или если атакующий отправил токены на известную биржу. Крупные биржи могут заморозить подозрительный адрес. В полицию РФ — для фиксации факта, но реальное расследование крипто-краж редко приводит к возврату средств. Компания MatchSystems и аналоги предоставляют блокчейн-криминалистику — платно, результат не гарантирован.
В большинстве случаев — нет. Блокчейн-транзакции необратимы. Шансы есть только если: средства ушли на верифицированную биржу с KYC (биржа может заморозить), атакующий допустил операционную ошибку (редко), или используется мост с задержкой вывода. Средства в DeFi-протоколах или на анонимных адресах практически невозможно вернуть. Профилактика — единственная реальная защита.
Drainer-боты работают по приоритетам: сначала стейблкоины и топовые токены по ликвидности. Мелкие или неликвидные токены могут остаться — на их вывод нужен gas, а profit/cost ratio низкий. Используйте это окно немедленно.
| Временное окно | Приоритетное действие | Инструмент |
|---|---|---|
| Минуты 1–10 | Отозвать все approvals, отключить dApp | revoke.cash, настройки MetaMask |
| Минуты 10–30 | Перевести остаток на новый чистый кошелёк | Новый аппаратник или чистый MetaMask |
| Минуты 30–60 | Анализ транзакций, фиксация хешей | etherscan.io, блокчейн-эксплорер сети |
| После 60 минут | Контакт с биржей, смена паролей, отчёт | Поддержка биржи, 2FA-сброс |
| Критерий | Скомпрометирован приватный ключ | Выдан вредоносный approve |
|---|---|---|
| Что может атакующий | Любые транзакции от вашего имени | Только вывод одобренного токена |
| Нужна ли миграция на новый кошелёк | Обязательно | Только если ключ тоже утёк |
| Скорость атаки | Мгновенно, боты действуют за секунды | Зависит от логики контракта |
| Вероятность частичного спасения | Низкая (если боты уже работают) | Высокая при быстром отзыве |
Проверьте адрес на etherscan.io — найдите несанкционированные исходящие транзакции. Не закрывайте вкладку — она понадобится для анализа.
Зайдите на revoke.cash, подключите скомпрометированный кошелёк, отзовите все активные разрешения начиная с крупных сумм. Одновременно отключите кошелёк от всех dApp в настройках расширения.
На чистом устройстве (не том, через который произошла атака) создайте новый кошелёк. Запишите seed-фразу офлайн немедленно — до перевода средств.
Отправьте оставшиеся активы на новый адрес: сначала стейблкоины и ценные токены, в конце — нативную монету с учётом gas. Тестовую транзакцию пропустите — время дороже.
Сохраните хеши всех несанкционированных транзакций. Обратитесь в поддержку биржи, если туда ушли средства. Смените пароли и 2FA на всех связанных аккаунтах.
Drainer-боты работают по приоритетам: сначала стейблкоины и топовые токены по ликвидности. Мелкие или неликвидные токены могут остаться — на их вывод нужен gas, а profit/cost ratio низкий. Используйте это окно немедленно.
Отключение интернета не поможет: транзакции уже в сети, а seed-фраза у атакующего — офлайн-режим его не остановит. Интернет нужен, чтобы самому быстро действовать: отзывать approvals и переводить остаток.
Основные векторы: фишинговый сайт с запросом seed-фразы, вредоносное расширение браузера, заражённый файл (fake Ledger Live, fake MetaMask), clipboard hijacker, компрометация облачного хранилища где была сохранена фраза. Реже — атака на само устройство через уязвимость ПО.
Факт кражи не отменяет налоговые обязательства по предыдущим операциям с прибылью. Если вы продавали крипту с прибылью до взлома — НДФЛ уплачивается в обычном порядке. Убытки от кражи не уменьшают налоговую базу по действующему законодательству РФ.
Не сразу. Сначала завершите все защитные действия — публикация может привлечь дополнительных мошенников, предлагающих «помощь в возврате» (это отдельная схема обмана). После завершения протокола — предупредите сообщество, это поможет другим.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
