Приватный ключ засветился на блокчейне: как быстро вывести активы до дрейна

Атакующие используют автоматизированные боты, которые мониторят мемпул и известные утёкшие ключи в реальном времени. Как только ключ засвечивается — например, загружается в публичный репозиторий или отправляется через незащищённый канал, — бот формирует транзакцию с повышенным gas и опережает легитимного владельца. Задержка от обнаружения до дрейна исторически составляет от 2 до 30 секунд. Нюанс: на сетях с медленным консенсусом (низкий throughput) окно чуть шире, но всё равно критически мало.

Zero-delay drain — атака, при которой бот без паузы переводит все средства с взломанного адреса на адрес атакующего. Скрипт заранее подписан закрытым ключом жертвы и ждёт лишь подтверждения утечки. Используются транзакции с max priority fee, чтобы войти в следующий блок. Источник механики — разбор реальных инцидентов на matchsystems.com: там зафиксированы случаи, когда жертва переходила по фишинговой ссылке, и средства исчезали ещё до закрытия вкладки браузера. Риск: дрейн распространяется и на ERC-20 апрувы, а не только на нативный ETH.

Создайте новый кошелёк на чистом устройстве (офлайн), запишите сид-фразу на бумагу, никуда не копируйте. Затем с другого незаражённого устройства отправьте транзакцию перевода со скомпрометированного адреса с максимально возможным gas — это ваш «sweep». Если на кошельке нет ETH для gas, используйте сервисы gasless rescue (например, через ERC-2771 мета-транзакции). Нюанс: ERC-20 токены требуют отдельных транзакций — приоритизируйте самые ликвидные. Перевод между собственными кошельками не создаёт налоговое событие по НДФЛ в РФ.

Технически — да, через «replace-by-fee» (RBF): отправляете транзакцию с тем же nonce, но более высоким gas, переводя средства на свой чистый адрес. Если ваша транзакция попадает в блок раньше транзакции дрейнера — активы спасены. Но боты-дрейнеры обычно уже выставляют максимальный gas, поэтому конкуренция выиграна не всегда. Реальные случаи успешного RBF-rescue описаны в разборах matchsystems.com. Риск: в сетях без RBF (например, некоторые L2) метод не работает.

Сид-фразу (12 или 24 слова BIP-39) нельзя фотографировать, копировать в облако, вводить на сайтах или хранить в виде файла на подключённом устройстве. Рекомендованные методы: бумага в несгораемом сейфе, металлические пластины (Cryptosteel, Bilodeau), зашифрованный USB без сетевого доступа. Подробная методология — на cryptofishka.com. Риск: любой цифровой носитель, побывавший в сети, считается потенциально скомпрометированным.

Поддельные кошельки визуально копируют интерфейс MetaMask, Trust Wallet или Phantom, но при импорте сид-фразы отправляют её на серверы злоумышленников. Признаки подделки: домен не совпадает с официальным, расширение скачано не из официального магазина, ID расширения Chrome отличается от оригинального (MetaMask — nkbihfbeogaeaoehlefnkodbefgpgknn). Проверка по finvex.ru: сверяйте хеш расширения и всегда устанавливайте кошельки только с официальных сайтов разработчика. Риск: после ввода сид-фразы в фейковый кошелёк средства исчезают в течение минут.

Немедленно зафиксируйте txhash транзакции дрейна и адрес получателя. Подайте заявку в блокчейн-аналитические компании (Chainalysis, Elliptic, Match Systems) — они могут отследить движение средств и помочь с заморозкой на централизованных биржах. В РФ факт кражи можно зафиксировать в полиции, однако международные механизмы возврата крипто работают медленно и без гарантий.