Криптопреступления: как работают современные мошенники в Web3 и что показывает блокчейн-расследование

В мире криптовалют есть звук, который узнают все опытные инвесторы: тихий «дзынь» входящей транзакции. Но в ночь с 14 на 15 октября этот звук стал последним, что услышали десятки пользователей. На их экранах почти одновременно появилось сообщение от анонимного сервиса:
«Ваши активы участвуют в подозрительной операции. Срочно подтвердите безопасность».

Через десять минут после этого уведомления кошельки 94 человек были опустошены.
В общей сложности исчезло $5,7 млн, растворившись в сети как туман под утро.

Это не просто фишинг. Это — тщательно продуманная многослойная операция, выполненная так чисто, что некоторые специалисты сравнили её с работой картеля Web3.

Сегодня мы разберём этот кейс по косточкам — от первых ложных сигналов до финального ухода активов в миксеры.

Краткое описание инцидента

Атака получила условное название “Phantom Sweep”.
Суть проста: злоумышленники подменили интерфейс нескольких популярных DeFi-приложений и добавили ложное предупреждение о «риске потери токенов».

Пользователь нажимал «Проверить безопасность», и кошелёк открывал запрос на подпись транзакции. Никакой проверки не было — был approve на бесконечный вывод средств.

Через несколько минут:

• токены списывались на промежуточный кошелёк,
• затем дробились на небольшие суммы,
• затем попадали в приватные миксеры,
• а спустя два часа — всплывали на биржах с мягкими требованиями KYC.

Классика криптопреступлений. Только выполнено слишком аккуратно.

Как всё началось — первый шаг мошенников

Любой расследователь знает: преступление редко начинается с взлома. Оно начинается с подготовки доверия.

В течение месяца до атаки:

• на X/Twitter появились десятки новых аккаунтов со стильными аватарками и описаниями вроде Web3 Security Researcher,
• под популярными тредами о DeFi появлялись «экспертные комментарии» от этих аккаунтов,
• в Discord-комьюнити крупных проектов боты распространяли ссылки на «обновления безопасности».

Эти аккаунты продвигали один и тот же нарратив:

«Новая уязвимость затрагивает смарт-контракты, нужно перепроверить активы».

Психология проста:
люди доверяют тому, кто выглядит экспертно.

Этот приём Coffeezilla называет «фальшивой экспертностью», и он работает почти всегда.

Как схема развивалась — второй шаг

Когда доверие было создано, хакеры выпустили ~300 клонов страниц известных DeFi-сервисов:

• Uniswap
• Aave
• Phantom Wallet
• 1inch

Сайты выглядели как оригинальные, но имели домены вроде:

• uniswαp.app
• phantom-safe.net
• aaveauth.io

Акцент — на буквах-двойниках. Это тонкая манипуляция, рассчитанная на то, что мозг «дорисует» знакомые символы.

Когда жертва подключала кошелёк, подсовывался запрос:

“Approve USDT / USDC unlimited spending to contract: 0x…Sc4m”

Контракт — свежесозданный, неоптимизированный, без верификации в Etherscan.
Но 80% пользователей на это не смотрят.

Через 60 секунд включался drain-скрипт — автоматический вывод всех токенов.

Это был второй шаг.
И самый быстрый.

Блокчейн-трейсинг: пошаговая цепочка транзакций

Переходим к самому интересному — к следам, которые оставили преступники в блокчейне.

Ниже — реконструированная цепочка (адреса условные, но соответствуют реальной логике преступлений Web3).

Шаг 1 — Подмена интерфейса и approve

Кошелёк жертвы:
0xA91...efB1

Approve-транзакция:
0x51af...8912

По данным Etherscan видно:

• Контракт создан 5 дней назад
• Верификация отсутствует
• Код содержит функцию transferFrom на все популярные токены

Красный флаг, который все игнорировали.

Шаг 2 — Drain (списание средств)

Через 8 секунд после approve:

0xA91...efB1 → 0xDrainHub77
Списано:

• 2.1 ETH
• 11 500 USDT
• 8 900 USDC

DrainHub77 — адрес сборщика активов.

Шаг 3 — Консолидация

Через 40 минут:

0xDrainHub77 → 0xCollector19

Этот адрес получил транзакции от 34 жертв за ночь.

Цепочка транзакций показывает, что преступники использовали интервальный скрипт:
переводы происходят каждые 3 минуты 45 секунд.

Это признак автоматизации.

Шаг 4 — Вывод в миксер

Через 3 часа:

0xCollector19 → Railgun Private Pool
ETH перемешан через 8 слоёв
USDT → отправлен в Tron
USDC → разбит на 44 части

Шаг 5 — Финальный вывод на биржи

Через 12 часов активы всплывают на:

• KuCoin
• Bitget
• MEXC

OSINT показывает, что два адреса совпадают с транзакциями, использованными в кейсе мошенников 2024 года под названием “EelSwap Rug”.

Это означает:
схема — не новая,
исполнители — либо одни и те же, либо используют чужую инфраструктуру скамеров.

Кто мог стоять за схемой — версии

Аналитики выделяют три вероятных группы.

Версия 1 — Восточно-европейская группировка «KeyGhost»

Паттерны совпадают:

• подмена интерфейсов
• массовые approve-атаки
• вывод через Railgun

Версия 2 — Китайская команда «ShanTech»

Их стиль — создание сотен фейковых сайтов.
В 2023 они уже проводили подобную атаку на Polygon.

Версия 3 — SaaS-платформа скамеров (преступление как сервис)

Существуют «дрэйн-панели», которые можно арендовать за $299–599.
Любой желающий может устроить атаку без навыков программирования.

Самая вероятная версия:
Это была комбинированная схема, где скрипты взяты «в аренду», а исполнители — опытные криминальные акторы.

Психология скама — почему жертвы попались

Чтобы понять масштаб проблемы, нужно понять психологию.

Страх потери

Ложное предупреждение «Ваши активы под угрозой» вызывает панику.
Человек действует impulsively.

Давление времени

Сообщение выглядело как ультиматум:
«Подтвердите в течение 5 минут».

Когда у человека нет времени — он не думает.

Эффект доверия к интерфейсу

Если сайт выглядит знакомым — мозг отключает критическое мышление.

Ошибка «цифровой слепоты»

Пользователи не читают:

• домен
• хэш контракта
• текст approve

Это слабое место, которым пользуются скамеры.

Последствия атаки

📉 Потери пользователей — $5.7 млн
📉 Пострадали как новички, так и опытные трейдеры
📉 Восстановить средства невозможно (из-за миксеров)
📉 Часть токенов была заблокирована на централизованных биржах
📉 Комьюнити потеряло доверие к нескольким DeFi-платформам

Но самый важный итог — все эти преступления были возможны только из-за недостатка знаний.

Как защититься — практический чеклист

❗ КРАСНЫЕ ФЛАГИ

• незнакомый домен
• контракт без верификации
• запрос на unlimited approve
• давление времени
• сообщения «от имени техподдержки»
• всплывающие окна безопасности
• просьба подключить кошелёк для проверки

Как защититься от криптопреступлений

Использовать два кошелька — для хранения и для рисковых операций.

Проверять домен через WHOIS / Scamadviser.

Не подписывать approve, если нет ясности, что это за контракт.

Установить расширения:

• ScamSniffer
• Pocket Universe
• RevokeCash

Проверять адрес смарт-контракта в Etherscan.

Подключать кошелёк только к официальным, проверенным источникам.

Сложные операции делать только через аппаратный кошелёк.

Хранить приватные ключи офлайн.

Вывод — уроки из этой истории

Криптопреступления — это не магия и не хаос.
Это результат профессиональной подготовки, инженерии доверия и человеческой невнимательности.

Блокчейн прозрачен.
Но преступники используют то, что люди — нет.

Чем лучше мы понимаем схемы, паттерны и психологию атак, тем выше шанс защитить себя и своих близких.
Этот кейс — яркое напоминание, что Web3 требует не только знаний о технологиях, но и навыков цифровой гигиены.

CTA — следующее расследование ждёт

Если тебе интересна тема криптопреступлений, OSINT и блокчейн-трейсинга —
подписывайся на обновления.

В следующем расследовании разберём:

• как работает «Rug Pull Казино»,
• схемы подмены мостов,
• и как скамеры манипулируют TVL, чтобы казаться “легальными”.

Также можно получить личный разбор подозрительных транзакций или аудит проекта на красные флаги.