Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Украли крипту из кошелька: что делать немедленно

Кража криптовалюты из некастодиального кошелька происходит при компрометации приватного ключа или сид-фразы — через фишинг, вредоносное ПО или одобрение вредоносного смарт-контракта. В отличие от биржевой кражи, блокчейн-транзакция необратима: остановить вывод уже невозможно. Главные задачи после обнаружения — зафиксировать доказательства, защитить оставшиеся активы и создать доказательную базу для полиции.

Автор: ~8 мин

Как крадут крипту из некастодиального кошелька?

Четыре основных вектора. Фишинг: поддельный сайт кошелька или DeFi-протокола запрашивает сид-фразу — введя её, вы передаёте полный доступ. Вредоносное ПО: кейлоггер или клипбординфектор подменяет адрес при копировании или перехватывает данные кошелька. Вредоносный approve: подписав вредоносную транзакцию на фишинговом DeFi-сайте, вы даёте контракту право тратить ваши токены. Скам-NFT или токены: получив в кошелёк неизвестный токен, пользователь взаимодействует с ним и подписывает вредоносную транзакцию.

Источник: ЦБ РФ

Можно ли остановить транзакцию после кражи из кошелька?

В большинстве случаев — нет. Подтверждённая блокчейн-транзакция необратима — это фундаментальное свойство децентрализованных сетей. Исключение: если транзакция ещё не попала в блок (находится в мемпуле), теоретически можно попытаться «заменить» её через replace-by-fee (RBF) — но для этого нужен доступ к кошельку и технические знания. На практике мошенники используют высокую комиссию для ускорения транзакции, оставляя жертве секунды. Риск: любые онлайн-сервисы «отмены транзакции» — мошенничество.

Что значит «вредоносный approve» и как понять, что вы его подписали?

Approve — разрешение, которое вы даёте смарт-контракту тратить ваши токены. Вредоносный approve даёт мошенническому контракту безлимитный доступ к вашим средствам — он спишет их в любой момент. Признаки: внезапное исчезновение токенов без явной транзакции с вашей стороны; в истории транзакций есть Approve на неизвестный контракт. Проверить активные approvals: сервис revoke.cash позволяет отозвать разрешения — сделайте это немедленно при подозрении, не дожидаясь кражи.

Что нужно сделать с оставшимися активами сразу после обнаружения кражи?

Если в кошельке остались другие токены или монеты — немедленно переведите их на новый кошелёк с новой сид-фразой. Логика: если сид-фраза скомпрометирована, злоумышленник имеет доступ ко всем активам на всех адресах этого кошелька — он вернётся за остальным. Создайте новый кошелёк на чистом устройстве, запишите новую сид-фразу офлайн, переведите все оставшиеся активы. Риск: для перевода нужен ETH или нативный токен сети на оплату газа — если его украли тоже, получите небольшую сумму через P2P.

Как зафиксировать доказательства кражи из кошелька для полиции?

Соберите следующие данные: адрес вашего кошелька-жертвы, адрес получателя (злоумышленника), хэши всех подозрительных транзакций (вывод средств, вредоносные approve), временные метки, скриншоты истории в etherscan.io или другом блокчейн-эксплорере, скриншоты сайта или сообщения, через которые произошёл взлом (если помните). Это доказательная база для заявления в МВД. On-chain след в блокчейне публичен и неизменяем — это работает в вашу пользу при следствии.

Источник: ЦБ РФ

Стоит ли обращаться в полицию при краже крипты из кошелька?

Да — даже если шансы на возврат средств минимальны. Причины. Первая: если злоумышленник выведет средства на идентифицированную CEX, полиция может запросить данные через международное сотрудничество. Вторая: ваше заявление может стать частью более крупного дела против той же группы мошенников. Третья: официальный документ о хищении полезен для налоговой отчётности. Обращайтесь в отдел «К» МВД с полным пакетом on-chain доказательств. Риск: расследования по крипто-краже из кошелька занимают месяцы и годы без гарантии результата.

Источник: ЦБ РФ

Что такое revoke.cash и как им пользоваться?

Revoke.cash — сервис для просмотра и отзыва approve-разрешений, выданных вашим кошельком смарт-контрактам. Подключите кошелёк на сайте revoke.cash (проверьте URL) — увидите список всех активных разрешений. Отзовите подозрительные или все разрешения нажатием «Revoke». Каждый отзыв — отдельная транзакция с оплатой газа. Делайте это регулярно в качестве профилактики.

Эксклюзив от ИнвестХомяка

Типы кражи из кошелька и шансы на частичное восстановление средств

Способ кражиМеханизмШанс на возврат
Фишинг сид-фразыПрямой доступ ко всем средствамМинимальный (если средства ушли на анонимный адрес)
Вредоносный approve токеновКонтракт списывает одобренные токеныМинимальный; отзыв approve спасает неодобренное
Подмена адреса (клипбординфектор)Средства ушли на чужой адресМинимальный (если адрес на CEX — средний)
Взлом горячего кошелька (ПО)Извлечение ключа с заражённого устройстваМинимальный

Кража через фишинг сид-фразы vs вредоносный approve: в чём разница

КритерийФишинг сид-фразыВредоносный approve
Что скомпрометированоВесь кошелёк (все активы, все сети)Только одобренные токены на одном контракте
Можно ли спасти другие активыТолько немедленным переводом на новый кошелёкДа (отзыв approve через revoke.cash)
Когда происходит кражаНемедленно или отложенноВ любой момент после подписания
Как обнаружитьИсчезновение всех средствИсчезновение конкретных токенов
Первое действиеСоздать новый кошелёк + перевести остаткиОтозвать approve на revoke.cash

Что делать немедленно после обнаружения кражи из кошелька: алгоритм

  1. Остановитесь и не взаимодействуйте с кошельком дальше

    Не пытайтесь «вернуть» средства через тот же кошелёк — каждая транзакция платит комиссию мошеннику или открывает новые векторы атаки. Если подозреваете вредоносный approve — перейдите на revoke.cash (только с официального URL) и немедленно отзовите все разрешения для подозрительных контрактов.

  2. Переведите оставшиеся активы на новый кошелёк

    На чистом устройстве (без установленных расширений и подозрительных приложений) создайте новый кошелёк MetaMask или подключите аппаратный кошелёк. Запишите новую сид-фразу офлайн. Переведите все оставшиеся активы со скомпрометированного адреса на новый — начните с наиболее ценных.

  3. Соберите on-chain доказательства

    Откройте etherscan.io (для ETH-сети) или соответствующий эксплорер. Введите адрес своего кошелька. Зафиксируйте все подозрительные транзакции: хэш, адрес получателя, сумму, время. Сохраните скриншоты. Если помните сайт или источник атаки — зафиксируйте его URL (не переходите на него повторно).

  4. Проверьте, не ушли ли средства на CEX

    Введите адрес злоумышленника в блокчейн-эксплорер и посмотрите дальнейшее движение средств. Если они поступили на адрес известной биржи (Binance, OKX, Bybit) — немедленно создайте тикет в поддержку этой биржи с хэшем транзакции и запросом заморозки. Чем быстрее — тем выше шанс.

  5. Подайте заявление в МВД и очистите устройство

    Обратитесь в отдел «К» МВД с полным пакетом доказательств (адреса, хэши, скриншоты). Параллельно: полностью переустановите операционную систему заражённого устройства или сбросьте телефон до заводских настроек — вредоносное ПО остаётся на устройстве до полной очистки. Не используйте скомпрометированное устройство для крипто-операций.

Частые вопросы

Что такое revoke.cash и как им пользоваться?

Revoke.cash — сервис для просмотра и отзыва approve-разрешений, выданных вашим кошельком смарт-контрактам. Подключите кошелёк на сайте revoke.cash (проверьте URL) — увидите список всех активных разрешений. Отзовите подозрительные или все разрешения нажатием «Revoke». Каждый отзыв — отдельная транзакция с оплатой газа. Делайте это регулярно в качестве профилактики.

Могут ли украсть крипту, если я только посмотрел на незнакомый сайт без подключения кошелька?

Без подключения кошелька и подписания транзакции — нет. Само посещение сайта не даёт доступа к средствам. Риск начинается с момента подключения кошелька и особенно — подписания любой транзакции или сообщения. Никогда не подключайте кошелёк к незнакомым сайтам и не подписывайте транзакции, которые не понимаете.

Что значит «drain» атака и как её распознать?

Drain (дренаж) — атака, при которой вредоносный смарт-контракт автоматически выводит все доступные токены после подписания одной транзакции. Признаки: вас просят «подтвердить», «верифицировать» или «заклеймить» что-то на незнакомом сайте; транзакция не содержит ясного описания в кошельке; запрашиваются разрешения на все активы. Правило: никогда не подписывайте транзакцию, не понимая её содержания.

Нужно ли платить налог с активов, которые украли?

Технически украденные активы остаются вашим имуществом по 418-ФЗ — налог с них не платится до момента продажи (которой нет). Налоговое событие не возникает. Однако для налоговой отчётности полезно иметь официальный документ о хищении (справка из МВД) — он подтверждает факт потери актива.

Как проверить, не скомпрометирован ли мой адрес до кражи?

Регулярно проверяйте историю транзакций своего адреса на etherscan.io. Признаки компрометации: незнакомые исходящие транзакции, approve на неизвестные контракты, получение странных токенов или NFT. Используйте revoke.cash для аудита разрешений ежемесячно. При обнаружении подозрительной активности — немедленно переводите средства на новый кошелёк.

Похожие материалы

Источники