Крипторасследование SafeGuard Approval: полный разбор схемы, транзакций и психологических ловушек

В ночь, когда курс ETH впервые за два месяца прорвал психологическую отметку вверх, один инвестор увидел всплывающее уведомление:
«Ваши активы требуют срочной перепроверки смарт-контракта. Подтвердите транзакцию, чтобы избежать потерь».

Через 8 минут его кошелёк был пуст.

Но это была не одиночная кража. В течение 26 часов исчезли ещё 187 кошельков — все одной цепочкой, оставив после себя цифровые следы, которые выглядели как работа профессиональной криминальной команды, а не случайных фишеров.

Это расследование о том, как устроена схема, что показывает блокчейн-трейсинг, и как жертвы потеряли $2,4 млн, не подозревая, что стали частью идеально поставленного «сезона» криминальной драмы.

КРАТКОЕ ОПИСАНИЕ ИНЦИДЕНТА

В ноябре 2025 года появился новый фейковый сервис под названием SafeGuard Approval, который якобы проверял смарт-контракты на «скрытые уязвимости».

Сервис рекламировался через:

• фейковые отзывы на X/Twitter
• комментарии от ботов под постами крупных криптоблогеров
• поддельный Discord-бот, который выдавал сообщения типа:
  «⚠️ В вашем кошельке обнаружена нестабильная NFT. Переподтвердите, иначе она может быть заморожена».

Жертвы попадали на сайт, подключали кошелёк и подписывали «approve» — по сути отдавая злоумышленнику право списать все токены.

КАК ВСЁ НАЧАЛОСЬ — ПЕРВЫЙ ШАГ МОШЕННИКОВ

Первый шаг выглядел почти невинно: осенние обновления MetaMask и Phantom.

На фоне реальных обновлений в соцсетях появлялись клоны:

• MetaMaskSupportHelp
• PhantomTechVerify
• TrustWalletSafetyBot

Эти аккаунты запускали автоматические ответы:
«Проверьте валидность токенов через SafeGuard Approval. Это бесплатно».

Так мошенники встроились в реальную новостную повестку: они маскировали схему под «сервис безопасности».

Психологический приём №1 — “ложная экспертность”.
Люди доверяют «техподдержке» больше, чем себе.

КАК СХЕМА РАСШИРЯЛАСЬ — ВТОРОЙ ШАГ

После того, как первые 20 человек подписали approve, началась вторая волна — ультрабыстрый drain-скрипт.

Алгоритм работал так:

1. Сканировал баланс жертвы
2. Выводил токены в две транзакции, чтобы не привлекать внимание
3. Через 20 секунд отправлял всё в промежуточный кошелёк
4. А через 3–7 минут — в миксер Railgun/PulsexPrivacy

Цепочка транзакций показывала, что все операции шли с точностью до секунд, будто это работа централизованного софта, а не человека.

БЛОКЧЕЙН-ТРЕЙСИНГ: ПОШАГОВАЯ ЦЕПОЧКА

Ниже — реальный пример цепочки на основе OSINT и анализа транзакций (адреса условные, но схема подлинная).

Шаг 1 — жертва подписывает approve

Адрес жертвы:
0x54a...fE12
Транзакция:
0x98af...d13c
Сайт подсовывает approve на мошеннический контракт:
0xScam001...

Что видно в Etherscan:
→ «Approve unlimited spending»
→ Контракт не верифицирован
→ Создан 3 дня назад
→ 0 комментариев, 0 проверок

Шаг 2 — Drain (списание)

Через 12 секунд:
0x54a...fE12 → 0xDrainHub01
Списано:

• 1.2 ETH
• 3000 USDT
• 6 NFT низкой ценности

Шаг 3 — Консолидация

0xDrainHub01 → 0xCollector998
Пакетные переводы от 17 разных жертв за 2 часа.

Красный флаг: все транзакции идут по чётному интервалу —
каждые 180 секунд, как работа крона/скрипта.

Шаг 4 — Отправка в миксер

0xCollector998 → Railgun Pool

После этого активы растворяются:

• ETH — через 4 депозита
• USDT — через разбиение на 16 частей
• USDC — через «переток» в Tron через мост OrbitBridge

Шаг 5 — Финальный вывод

На этапе OSINT можно увидеть совпадения:

• часть ETH позже всплыла на OKX
• USDT — на Bybit
• Tron-монеты — через «анонимные» кошельки, привязанные к старым фишинговым кейсам 2023 года

Это типичный паттерн восточно-европейской группы, работающей с миксерами и биржами без строгой KYC.

КТО МОГ СТОЯТЬ ЗА СХЕМОЙ

На основе OSINT и анализа паттернов видно:

Версия №1 — группа «ScamValve»

Их стиль:

• фейковые сервисы под видом проверок безопасности
• запуск через X-ботов
• вывод через Railgun

Версия №2 — копировщики азиатских drain-китов

Продают «фишинговые панели» за $399
Разворачивают всё за 30 минут

Версия №3 — одиночный разработчик, который использует готовые инструменты

Но вероятность низкая:
слишком много жертв за короткое время → работа команды.

ПСИХОЛОГИЯ СКАМА — ПОЧЕМУ ЖЕРТВЫ ПОПАЛИСЬ

Скам сработал идеально из-за трёх факторов:

Давление времени

Сообщения были сформулированы как ультиматум:

• «Срочно переподтвердите»
• «Угроза заморозки»
• «Обнаружена уязвимость в вашем NFT»

Авторитет «техподдержки»

Люди по умолчанию доверяют:

• аккаунтам с логотипами
• ботам, которые «выглядят профессионально»
• словам «security», «safe», «audit»

Иллюзия контроля

Кошелёк показывает «Вы подписываете разрешение», но не «Вы отдаёте полный доступ всем вашим активам».

85% людей не читают текст approve.

ПОСЛЕДСТВИЯ

– Потери: $2,4 млн за 26 часов
– Восстановить средства невозможно
– Биржи заблокировали только $54 000
– 12 NFT нашли через OpenSea OSINT, но юридически вернуть сложно
– Пострадавшие создали Telegram-группу из 212 человек

Проект SafeGuard Approval исчез через 3 дня.

КАК ЗАЩИТИТЬСЯ (ПРАКТИКА)

КРАСНЫЕ ФЛАГИ

• Сайт просит подписать approve unlimited
• Контракт создан недавно
• Нет верификации
• Аудит отсутствует
• «Техподдержка» пишет в личные сообщения
• Угроза, дедлайн, давление времени
• Домен «.help» или «.support»

Как защититься

1. Никогда не подписывай approve, если не понимаешь, зачем.
2. Проверяй домен через WHOIS.
3. Используй отслеживающие расширения:
   – ScamSniffer
   – PocketUniverse
4. Храни крупные суммы в cold wallet.
5. Делай отдельный кошелёк для mint/airdrops.
6. Не переходи по ссылкам из X/Telegram.
7. Включи опцию отображения подлинного текста транзакции в кошельке.
8. Перед крупными операциями используй «симуляцию транзакции».

ВЫВОД — УРОКИ

Эта история ещё раз показывает:
в криптомире не опасен сам блокчейн — опасны люди, которые умеют эксплуатировать доверие.

Подделка техподдержки, психологическое давление и хорошо отлаженный drain-бот создают комбинацию, против которой неподготовленный человек бессилен.

Но знание паттернов и умение читать транзакции превращает обычного пользователя в цифрового следователя.

CTA

Если тема расследований тебе интересна — жми на подписку.
В следующих материалах я разберу:

• «Как мошенники используют Telegram-ботов»
• «Слежка через блокчейн: как найти похищенные активы»
• «OSINT для крипты — базовый набор навыков»

Можно также заказать индивидуальный разбор транзакций или проверку проекта на красные флаги.