Есть момент сразу после того, как человек осознаёт, что его криптовалюта пропала, когда возникает порыв сделать что-то немедленное и эмоциональное: обновить кошелёк, попробовать другой пароль, написать в Telegram-группу с просьбой о помощи. Почти ни один из этих порывов не ведёт в нужную сторону, а некоторые лишь усугубляют ситуацию.
Дальше изложена последовательность, которую мы хотели бы донести до каждой жертвы ещё до того, как она к нам обратится. Она построена на закономерности, которую мы наблюдаем раз за разом: те, кто возвращает средства, почти всегда действовали методично в первые часы, а те, кто не возвращает, как правило, медлили, паниковали или доверились не тому человеку.
Первый час определяет бо́льшую часть того, что окажется возможным позже. К моменту, когда жертва обращается к нам, средства нередко уже прошли через несколько кошельков. Чем раньше начинается реагирование, тем бо́льшая часть следа ещё пригодна для работы.
После того как первичные доказательства закреплены, следующий приоритет — перекрыть оставшийся доступ злоумышленника и сохранить любой шанс на заморозку.
Некоторые из самых вредоносных ошибок случаются после кражи, а не во время неё.
Период | Приоритетные действия |
Первый час | Прекратите пользоваться скомпрометированным кошельком; зафиксируйте хеш транзакции и адрес злоумышленника; определите метод атаки; заблокируйте аккаунт у мобильного оператора, если подозреваете подмену SIM-карты. |
Первые 24–48 часов | Отзовите разрешения на токены; защитите почту и биржевые аккаунты; замените SMS-2FA на приложение-аутентификатор; сообщите о краже на любую причастную биржу; действуйте быстро, если замешаны стейблкоины. |
Обращение | Подайте заявление в соответствующие органы и параллельно привлеките профильную компанию по расследованиям. |
Избегайте | Платы за «возврат» вперёд; отправки средств тем, кто обещает разблокировать вашу криптовалюту; затягивания с обращением ради сбора идеальной информации. |
После того как доказательства зафиксированы, самое полезное, что может сделать жертва, — передать дело тем, кто способен действовать быстро. Сообщить о краже криптовалюты редко так же просто, как зайти в отделение полиции, и куда именно подавать заявление, целиком зависит от обстоятельств: какие активы похищены, через какие сети и сервисы прошли средства, где находится жертва и куда ведёт след.
Это тот момент, когда стоит обратиться в профильную компанию по расследованиям. Чем раньше Match Systems увидит хеш транзакции, адрес злоумышленника и сопутствующие детали, тем раньше мы сможем проанализировать дело и определить наиболее эффективные действия: куда подавать заявление, какие органы и отделы комплаенса бирж задействовать и как рассчитать время запроса на заморозку, пока средства ещё досягаемы. Прямые связи между расследователями и отделами комплаенса бирж нередко работают быстрее, чем самостоятельное прохождение официальных каналов, и именно правильно выстроенная с самого начала последовательность сохраняет те возможности, которые действительно важны.
Задача жертвы — действовать быстро и сохранить доказательства. Выстроить стратегию подачи заявления и возврата под специфику конкретного дела — наша.
Как только расследование начато, работа переходит от жертвы к расследователям, но понимать, что происходит, всё же полезно.
След начинается с транзакции кражи. Расследователи выстраивают картину движения средств наружу через каждый промежуточный кошелёк, отслеживая обмены, дробления и переводы через мосты между сетями. Украденные активы обычно дробятся немедленно и могут быть обменены на другой токен в течение минут, но каждый шаг навсегда записан в блокчейне.
Цель — точка пересечения. Самый действенный момент наступает, когда украденные средства касаются централизованной биржи с требованиями KYC. Именно там юридическое уведомление в отдел комплаенса может пометить аккаунт и заблокировать вывод, и именно там псевдонимный след связывается с реальной личностью. Сильная база разметки адресов, накопленная за годы расследований, — это то, что позволяет расследователям быстро распознавать такие точки пересечения и предугадывать, куда средства направятся дальше.
Match Systems сочетает ончейн-отслеживание с налаженными отношениями с биржами и прямой координацией с правоохранительными органами. Мы вернули десятки миллионов в украденных активах по делам, среди которых Atomic Wallet, CoinsPaid и другие, и ведём собственную базу разметки, используемую как в активных расследованиях, так и в комплаенс-проверках в реальном времени.
Реалии таковы, что не каждое дело заканчивается возвратом, и ни одна добросовестная компания не станет обещать. Но переменная, которая значит больше всего, почти всегда одна и та же — насколько быстро началось реагирование. Средства, о которых сообщили в течение часов, пока они ещё в отслеживаемой или замораживаемой форме, дают расследователям многое, с чем можно работать. Средства, о которых сообщили спустя недели, после конвертации и отмывания через несколько сетей, дают куда меньше.
Самое полезное, что может сделать жертва, — отнестись к первым суткам с максимальным приоритетом, так как они действительно важны.
Зафиксируйте хеш транзакции кражи и принимающий адрес злоумышленника из блокчейн-обозревателя, а затем прекратите взаимодействовать со скомпрометированным кошельком. Именно с этих двух фрагментов информации начинается любое расследование, и быстрая их фиксация позволяет начать отслеживание до того, как средства разойдутся.
Только с чистого устройства и только на совершенно новый кошелёк, ключи которого никогда не раскрывались. Если ваша сид-фраза скомпрометирована, злоумышленники часто запускают автоматические скрипты, мгновенно сметающие любой поступающий газ, поэтому спасательная транзакция может провалиться и просто отдать им этот газ. Если сомневаетесь, сначала зафиксируйте доказательства и проконсультируйтесь со специалистом.
Почти наверняка нет. Мошенники с «возвратом» целенаправленно выходят на недавних жертв кражи, нередко используя списки, проданные изначальным злоумышленником, и просят предоплату или депозит на кошелёк. Ни одна добросовестная компания не гарантирует возврат и не просит отправить криптовалюту, чтобы разблокировать ваши украденные средства.
Имеет, и очень большое. Tether и Circle могут ограничить конкретные адреса с USDT и USDC по запросу правоохранительных органов, а значит, у кражи стейблкоинов есть реальный путь для вмешательства, которого нет у других активов. Загвоздка во времени: как только средства выводят из формы стейблкоина, эта возможность пропадает. Если замешаны стейблкоины, действовать в первые часы особенно важно.
Жёсткого срока нет, но шансы падают с каждым часом. Средства могут быть переведены через мост, обменяны или направлены на OTC-площадку в течение нескольких часов после кражи. Дела, о которых сообщают в тот же день, пока активы ещё отслеживаемы или замораживаемы, имеют наибольшие шансы. Чем дольше задержка, тем сильнее дробится след.
В расследованиях криптокраж время значит больше, чем осознаёт большинство жертв.
После того как средства переведены через мост, смешаны в миксере или выведены через OTC-каналы, возврат становится значительно сложнее. Match Systems работает с биржами, эмитентами стейблкоинов и правоохранительными органами, чтобы отслеживать украденные активы и поддерживать их юридический возврат, — опираясь на собственную базу разметки адресов и прямые комплаенс-отношения, выстроенные за годы активных расследований.
