Как взламывают криптокошельки (и как это распознать

Ключевые выводы

• Криптокошельки взламывают через людей и устройства вокруг них, а не через сам блокчейн. Цепочка остаётся нетронутой, а слабину дают ключи, устройство или внимание пользователя.

• Большинство компрометаций начинаются тихо. К моменту, когда жертва видит несанкционированную транзакцию, злоумышленника обычно уже получил доступ.

• Самые явные тревожные сигналы — исходящая транзакция, которую вы не совершали; разрешение, которого вы не помните; и небольшие неожиданные поступления с адресов, выглядящих почти знакомо.

• Распознать компрометацию рано — значит ограничиться потерей одного кошелька, а не всего, что с ним связано. Когда возникает подозрение, скорость важнее всего остального.

• Во многих случаях возврат возможен — особенно когда кражу замечают быстро, а средства удаётся отследить до того, как они будут конвертированы или попадут на не готовую к сотрудничеству биржу.

• Match Systems расследует инциденты с компрометацией кошельков по разным сетям, работает с биржами и правоохранительными органами и возвращает украденные активы — от отдельных кошельков частных лиц до восьмизначных краж.

В этой статье

• Цель атаки — кошелёк, а не блокчейн

• Как кошельки на самом деле компрометируются

• Как распознать скомпрометированный кошелёк

• Почему жертвы обычно замечают это слишком поздно

• Что делать, как только возникло подозрение

• FAQ

Цель атаки — кошелёк, а не блокчейн

Фраза «у меня взломали кошелёк» почти никогда не означает того, что люди под ней подразумевают. Речь крайне редко идёт о том, что кто-то взломал криптографию, защищающую блокчейн. Практически в каждом деле, которое мы расследуем, цепочка отработала ровно так, как и должна была. Подвело то, что было вокруг неё: устройство, на котором хранились ключи; программа, которой доверял владелец; или тот самый момент невнимательности, которого ждал злоумышленник.

Это различие принципиально, потому что подсказывает, где именно искать. Кошелёк — это менеджер ключей. Кто контролирует приватный ключ, тот контролирует и средства, а сам ключ хранится где-то уязвимо: в приложении, в браузерном расширении, в файле, на скриншоте, в памяти человека. Злоумышленники не атакуют математику. Они атакуют места, где ключ открыт, и они научились делать это очень хорошо.

Понимать, как происходит такая утечка, и уметь распознавать признаки того, что она уже случилась, — самый практичный навык безопасности, который может развить у себя владелец криптовалюты.

Как кошельки на самом деле компрометируются

Единого способа, которым «ломают» кошелёк, нет. Дела, которые мы видим в работе, складываются в несколько повторяющихся сценариев, и большинство из них вообще не касается защиты блокчейна.

Вредоносное ПО и инфостилеры на устройстве

Вредоносные инфостилеры — тихая рабочая лошадка кражи кошельков. Попав на устройство, такая программа сканирует всё ценное: пароли, сохранённые в браузере; cookies сессии; файлы кошельков; любые текстовые файлы и скриншоты, в которых может оказаться сид-фраза. Что чаще всего недооценивают, так это масштаб. По данным отчёта Kaspersky, число обнаружений инфостилеров на ПК выросло в мире на 59% между 2024 и 2025 годами, а только за один год через них было скомпрометировано более миллиона банковских аккаунтов. Данные криптокошельков — одна из главных целей таких инструментов, и жертва, как правило, даже не подозревает, что программа уже работает.

Способ доставки часто выглядит совершенно безобидно. В марте 2025 года денверское отделение ФБР предупредило, что бесплатные онлайн-конвертеры файлов используются для подгрузки вредоносного ПО, которое собирает чувствительные данные, включая сид-фразы и сведения о криптокошельках. Сервис делает то, что и обещал — файл конвертируется, — а вредонос тем временем тихо устанавливается в фоне, пока пользователь занят своими делами.

Поддельные приложения-кошельки и вредоносные расширения

Пользователь ищет популярный кошелёк, устанавливает то, что выглядит точно так же, а затем либо вводит существующую сид-фразу, чтобы «импортировать» свой кошелёк, либо доверяется свежей фразе, которой уже владеет злоумышленник. Интерфейс выглядит убедительно потому, что чаще всего это почти идеальный клон. Отличается лишь то, кому уходят ключи.

Утечка сид-фразы

Это заслуживает отдельного упоминания, потому что это самая частая первопричина и самое трудно обратимое последствие. Сид-фраза, сфотографированная для удобства, сохранённая в облачной копии, отправленная в чат поддержки или записанная в приложении заметок, — это сид-фраза, которую можно украсть, не прикасаясь к вашему устройству. Как только она «утелка», кошелёк перестаёт быть вашим, даже если оттуда пока ничего не было переведено.

Вредоносные разрешения (approval) и подписи

Они компрометируют кошелёк, так и не получив сам ключ. Подписав на вредоносном сайте то, что выглядит как обычная транзакция, пользователь выдаёт контракту постоянное право перемещать свои токены. Сам кошелёк в традиционном смысле не «взламывают». Он просто делает то, на что был уполномочен, иногда спустя несколько дней после подписи.

Отравление адреса

Это самая психологически выверенная схема: она использует против жертвы её же осторожность. Злоумышленник отправляет крошечную транзакцию с адреса, специально подобранного так, чтобы имитировать тот, которым жертва пользуется часто, — совпадают первые и последние символы. Отравленный адрес оседает в истории транзакций, и в следующий раз, когда жертва копирует адрес из этой истории, она копирует адрес злоумышленника. В мае 2024 года один из холдеров таким образом потерял около 68 миллионов долларов в Wrapped Bitcoin, отправив средства на похожий адрес, взятый из своей же истории. Match Systems вёл это расследование совместно с биржей Cryptex: по цифровым отпечаткам устройств и поведенческим уликам мы вышли на злоумышленника и начали переговоры. Примерно за неделю средства были возвращены. Технический приём оказался простым — рычаг, которым удалось вернуть деньги, простым не был.

Как распознать скомпрометированный кошелёк

Это та часть, которую большинство руководств по безопасности пропускает, и именно она в итоге решает исход. Знать, как может быть скомпрометирован кошелёк, полезно. А вот распознать, что ваш уже скомпрометирован, — это то, что даёт шанс действовать вовремя.

Обращайте внимание на следующие сигналы:

• Исходящая транзакция, которую вы не санкционировали. Это безоговорочный сигнал. Если средства ушли из кошелька, а вы их не отправляли, кошелёк скомпрометирован, точка. Проверяйте это в блокчейн-обозревателе, а не только в самом кошельке: его отображение опытный злоумышленник может подделать.

• Разрешение, которого вы не помните. Если в списке подключённых сайтов или активных разрешений на токены отображаются права для контрактов, которых вы не узнаёте, считайте это актуальной угрозой. Действующее разрешение — это открытая дверь, и ей могут воспользоваться спустя много времени после подписи.

• Небольшие неожиданные поступления с почти знакомых адресов. Крошечный входящий перевод с адреса, который выглядит почти как тот, которому вы доверяете, — характерный признак попытки отравить адрес. Это не безобидная «пыль». Это приманка, подброшенная в вашу историю.

• Устройство стало вести себя иначе. Срабатывания антивируса, незнакомые процессы, браузер, который перенаправляет вас не туда, или машина, которая замедлилась после установки чего-то нового, — всё это может указывать на работу инфостилера. Сами по себе эти признаки — ещё не доказательство, но в сочетании с криптоактивами это повод остановиться и проверить.

• Уведомления о входе или сброс пароля, которые вы не инициировали. Сообщения о доступе с незнакомых устройств или запросы на сброс, которые вы никогда не отправляли, нередко означают, что злоумышленник уже идёт по вашим связанным аккаунтам к вашим средствам.

• Телефон внезапно потерял сигнал. Если мобильная связь пропала без объяснений и не возвращается, рассматривайте это как возможную подмену SIM-карты — особенно если где-то в работе с криптой вы используете SMS-аутентификацию.

Тревожные сигналы: кратко

Почему жертвы обычно замечают это слишком поздно

Почти каждая жертва, с которой мы работаем, говорит ту или иную версию одного и того же: что-то казалось не так ещё до самой потери, но они уговорили себя на это не реагировать. Странное поступление, чуть необычное окно подтверждения, какая-то странность в работе устройства. Взлом нередко начинается задолго до того, как сдвинутся деньги, — и именно поэтому ранние сигналы так важны. Злоумышленник, у которого есть ваша сид-фраза, может подождать, пока баланс подрастёт. Тот, у кого на руках разрешение, может выждать, пока на счёт поступит ценный токен. Промежуток между компрометацией и кражей — это то самое окно, которым вы располагаете, и большинство людей тратит его на то, чтобы убедить себя, что всё в порядке.

Что делать, как только возникло подозрение

Порыв продолжать пользоваться кошельком, войти снова или в панике куда-то перевести средства, как правило, только усугубляет ситуацию. Правильная последовательность узкая и конкретная.

• Немедленно прекратите пользоваться кошельком и считайте, что ключи раскрыты. Если доступ у вас ещё есть и кошелёк ещё не опустошён, переводите оставшиеся активы только с чистого устройства на новый кошелёк, ключи которого никогда не соприкасались со скомпрометированной средой. Имейте в виду: если сид-фраза скомпрометирована, злоумышленники часто запускают скрипты, мгновенно сметающие поступающие средства, и сделать это получается не всегда.

• Зафиксируйте доказательства. Сохраните хеш несанкционированной транзакции, принимающий адрес злоумышленника, суммы и временны́е метки из блокчейн-обозревателя. Это то, с чего начинается любое расследование.

• Как можно раньше обратитесь к профильной компании по расследованиям. Правильная стратегия обращения зависит от специфики: какие активы похищены, через какие сети и сервисы прошли средства и куда они направляются. Чем раньше Match Systems увидит детали, тем раньше мы сможем проанализировать дело и определить наиболее эффективные шаги — в том числе какие органы и отделы комплаенса бирж задействовать и как рассчитать время запроса на заморозку, пока средства ещё досягаемы. Если среди украденных активов есть стейблкоины вроде USDT или USDC, это особенно важно: эмитенты могут ограничить конкретные адреса по запросу правоохранительных органов, но это окно закрывается, как только средства конвертируются.

FAQ

Как понять, что мой криптокошелёк взломали?

Самый явный признак — исходящая транзакция, которую вы не совершали; подтвердить это можно в блокчейн-обозревателе. Другие сигналы: разрешения на токены, которые вы не узнаёте; небольшие поступления с адресов, выглядящих почти как те, которым вы доверяете; устройство, которое начало вести себя странно после загрузки чего-то нового; уведомления о входе или сбросе пароля, которые вы не инициировали. Любой из этих признаков — повод остановиться и провести проверку, прежде чем что-либо переводить.

Можно ли взломать кошелёк без моей сид-фразы?

Да. Захват сид-фразы — лишь один из путей, но не единственный. Вредоносное разрешение или подпись позволяют злоумышленнику переместить конкретные токены, так и не получив ваш ключ, а вредоносное ПО на устройстве может подменять транзакции или собирать учётные данные. Именно поэтому кошелёк может быть скомпрометирован даже тогда, когда вы уверены, что вашей фразы ни у кого нет.

Бывает ли так, что взламывают сам блокчейн?

Почти никогда — и точно не в тех случаях, с которыми обычно сталкиваются частные лица. Криптография, защищающая крупные блокчейны, держится. Компрометируется то, что вокруг неё: устройство, программа, ключи или сам пользователь. Воспринимать криптокражу как сбой блокчейна — значит направлять защиту не туда.

Что такое отравленный адрес и почему это опасно?

Отравленный адрес — это адрес, который злоумышленник специально подбирает так, чтобы он внешне напоминал тот, которым вы пользуетесь: совпадают первые и последние символы. Затем он отправляет вам крошечную транзакцию, чтобы этот адрес появился в вашей истории. Опасность в том, что позже вы копируете его из этой же истории, не сверив символы в середине, и отправляете средства прямо злоумышленнику. Всегда проверяйте адрес целиком, а не только начало и конец.

Мой кошелёк опустошили. Можно ли вернуть средства?

Иногда — да, и решающий фактор здесь скорость. Когда кражу замечают быстро, средства часто удаётся отследить и, в случае стейблкоинов, заморозить на уровне эмитента по запросу правоохранительных органов — до того, как их конвертируют или проведут через не готовую к сотрудничеству биржу. Match Systems отслеживает украденные средства по разным сетям и координируется с биржами и правоохранительными органами для поддержки возврата, но шансы падают с каждым потерянным часом.

Скомпрометированный кошелёк — это гонка, в которой у злоумышленника фора.

После того как украденные средства обменяны, переведены через мост или выведены через OTC-каналы, возврат становится значительно сложнее. Match Systems расследует инциденты с компрометацией кошельков и кражи криптовалюты, отслеживая украденные активы по разным сетям и работая с биржами и правоохранительными органами в поддержку юридического возврата, — опираясь на собственную базу маркировки адресов и прямые комплаенс-отношения, выстроенные за годы активных расследований.

Начните оценку вашего дела: https://matchsystems.com