Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Первые 30 минут после компрометации кошелька: чеклист действий

Компрометация кошелька — это не событие, а процесс: злоумышленник может выводить активы часами после получения доступа. Каждая минута промедления даёт ему время добраться до следующего токена или отозвать стейкинг. Шесть шагов ниже выстроены по убыванию срочности — первые три нужно выполнить до того, как читать остальное.

Автор: ~8 мин

Как понять, что кошелёк скомпрометирован, а не просто произошёл технический сбой?

Признаки компрометации: исходящие транзакции, которые вы не инициировали; запросы approve на незнакомые контракты; пропажа части баланса без вашего ведома. Проверьте историю адреса на Etherscan или соответствующем эксплорере — все транзакции публичны. Технический сбой кошелька не создаёт исходящих транзакций: если деньги ушли на чужой адрес, это не баг приложения. Нюанс: иногда атака начинается с малозаметного drain газа — злоумышленник выводит ETH мелкими суммами, чтобы не вызвать подозрений.

Источник: Чеклист безопасности криптокошелька — karcrypto.com

Почему первым шагом должен быть перевод активов, а не смена паролей?

Смена пароля от приложения кошелька не меняет приватный ключ и не лишает злоумышленника доступа к средствам. Если seed-фраза скомпрометирована — атакующий действует напрямую через блокчейн, минуя любые пароли. Единственное, что останавливает вывод — перемещение активов на новый кошелёк с новой seed-фразой до того, как злоумышленник их заберёт. Риск: если у атакующего автоматизированный дрейнер, он отслеживает входящие транзакции в реальном времени и выводит средства быстрее, чем вы успеваете реагировать.

Что такое «дрейнер» и почему он опаснее ручного вывода?

Дрейнер (drainer) — автоматизированный скрипт, который при получении доступа к кошельку немедленно сканирует балансы всех токенов и NFT, затем выводит их в оптимальном порядке: сначала самые дорогие, потом остальные. Ручной злоумышленник действует медленнее и может пропустить токены на неочевидных адресах. Дрейнер не пропускает ничего и обрабатывает несколько кошельков параллельно. Нюанс: дрейнер также отзывает активный стейкинг и ликвидность из DeFi-протоколов, если соответствующие функции доступны без дополнительного подтверждения.

Нужно ли отзывать approvals на скомпрометированном кошельке или это трата времени?

Отзыв approvals на скомпрометированном кошельке — вторичная задача. Если seed-фраза утечена, злоумышленник может выдать себе новые approvals в любой момент, пока на кошельке есть средства для оплаты газа. Приоритет — вывести активы на новый кошелёк. Отзыв approvals актуален, если вы подозреваете частичную компрометацию: например, подписали вредоносный approve, но seed-фраза цела. В этом случае revoke.cash останавливает атаку без смены кошелька.

Как зафиксировать доказательства для обращения в полицию или биржу?

Сохраните: хэши всех подозрительных транзакций, адрес атакующего, временны́е метки, скриншоты истории на Etherscan. Если средства прошли через биржу — напишите в поддержку с хэшами транзакций; биржи периодически замораживают выводы при поступлении жалоб. Для обращения в МВД РФ потребуется распечатка транзакций с Etherscan и заявление о мошенничестве (ст. 159 УК РФ). Нюанс: реальные шансы вернуть средства через правоохранительные органы в 2026 году остаются низкими, но фиксация доказательств ничего не стоит и иногда срабатывает.

Источник: Что делать при несанкционированных транзакциях — MetaMask Support

Что делать с биржевыми аккаунтами после компрометации кошелька?

Немедленно заморозьте вывод средств на всех биржах, где используется тот же email или где скомпрометированное устройство имело активные сессии. Смените пароли и перевыпустите 2FA с нового чистого устройства. Если злоумышленник получил доступ к email — сначала восстановите контроль над почтой, иначе смена пароля биржи бессмысленна. Риск: атаки на кошелёк и биржевой аккаунт часто идут параллельно, особенно если устройство заражено malware.

Источник: Chainabuse — база скам-адресов и отчётов о мошенничестве

Можно ли использовать скомпрометированный кошелёк после инцидента?

Нет. Если seed-фраза утечена, кошелёк необходимо считать навсегда скомпрометированным. Любые средства, поступившие на старый адрес в будущем, будут доступны злоумышленнику. Создайте новый кошелёк с новой seed-фразой и никогда не используйте старый.

Эксклюзив от ИнвестХомяка

Временно́е окно реакции и его влияние на сохранность активов

Время с момента компрометацииТипичные действия злоумышленникаЧто ещё можно спасти
0–5 минутСканирование балансов, вывод топ-токеновПочти всё, если действовать немедленно
5–30 минутВывод оставшихся токенов, NFT, отзыв стейкингаТокены на нестандартных адресах, застейканные позиции
30–120 минутПопытки получить доступ к связанным аккаунтамБиржевые аккаунты, если успеть заморозить
Более 2 часовСредства уже конвертированы и выведены через миксерТолько доказательная база для правоохранителей

Частичная компрометация против полной: разные протоколы реагирования

КритерийВредоносный approve (seed цел)Утечка seed-фразы
Приоритетное действиеОтозвать approve через revoke.cashНемедленно вывести активы на новый кошелёк
Нужна ли новая seed-фразаНет, текущий кошелёк можно сохранитьДа, старый кошелёк необходимо заменить полностью
Смена паролей помогаетЧастично (ограничивает доступ к приложению)Нет (злоумышленник действует через блокчейн)
Временно́е давлениеСреднее: approve действует до отзываКритическое: каждая секунда на счету
Устройство нужно менятьТолько если заражено malwareОбязательно, использовать чистое устройство

Шесть шагов в первые 30 минут после обнаружения взлома

  1. Создайте новый кошелёк на чистом устройстве

    Используйте телефон или компьютер, который точно не контактировал со скомпрометированным устройством. Запишите новую seed-фразу на бумаге, не в цифровом виде.

  2. Переведите все доступные активы на новый адрес

    Начните с наиболее ценных токенов. Если на скомпрометированном кошельке не хватает ETH на газ — сначала пополните его с нового кошелька, но только минимум для транзакций.

  3. Отзовите активные approvals через revoke.cash

    Подключите скомпрометированный кошелёк к revoke.cash и отзовите все разрешения. Это останавливает дальнейший доступ к токенам, которые остались или поступят на старый адрес.

  4. Заморозьте биржевые аккаунты и смените доступы

    Войдите на все биржи, заморозьте вывод средств, смените пароли и 2FA. Если использовался тот же email — сначала защитите почту, потом биржи.

  5. Зафиксируйте все доказательства

    Сохраните хэши транзакций, адрес злоумышленника, скриншоты с Etherscan с временны́ми метками. При наличии значимой суммы — подайте заявление в МВД и напишите в поддержку бирж, через которые прошли средства.

Частые вопросы

Можно ли использовать скомпрометированный кошелёк после инцидента?

Нет. Если seed-фраза утечена, кошелёк необходимо считать навсегда скомпрометированным. Любые средства, поступившие на старый адрес в будущем, будут доступны злоумышленнику. Создайте новый кошелёк с новой seed-фразой и никогда не используйте старый.

Что делать, если на скомпрометированном кошельке нет ETH для оплаты газа?

Отправьте минимально необходимое количество ETH с нового кошелька на скомпрометированный адрес — ровно столько, чтобы провести транзакции вывода. Действуйте быстро: если злоумышленник отслеживает адрес, он может перехватить даже этот ETH автоматически через дрейнер.

Стоит ли публично сообщать об адресе злоумышленника в соцсетях?

Публикация адреса атакующего в Twitter/X или крипто-сообществах иногда помогает: биржи мониторят такие сигналы и могут заморозить аккаунт при поступлении средств. Укажите адрес в базах скам-адресов (chainabuse.com). Риск: публичная огласка не заменяет официальное заявление в поддержку биржи.

Нужно ли сообщать о краже крипты в налоговую РФ?

Кража криптоактивов не создаёт налогового события (нет реализации). Декларировать убыток от кражи в счёт будущих доходов в рамках действующего законодательства РФ 2026 года затруднительно — нормативная база для этого не сформирована. Рекомендуется сохранить все документы об инциденте на случай будущих изменений в регулировании.

Почему MetaMask не предупреждает о вредоносных транзакциях заранее?

MetaMask показывает предупреждения при взаимодействии с адресами из известных баз фишинга, но не может блокировать все вредоносные транзакции. Если сайт новый или адрес контракта ещё не помечен, предупреждения не будет. Rabby Wallet и некоторые другие кошельки дополнительно симулируют транзакцию и показывают изменения баланса до подтверждения — это снижает риск неожиданных потерь.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники