В предыдущем уроке мы настраивали защиту биржевого аккаунта — 2FA, антифишинг-код, whitelist. Это профилактика. Но даже правильно настроенная защита не исключает инциденты: утечки данных на стороне биржи, скомпрометированные устройства, одна невнимательность в один момент — всё это случается.
Этот урок — не про то, как настроить защиту. Здесь — про то, что делать, когда защита уже не помогла.
В этом уроке вы узнаете:
- Что нажать в первые 30 секунд при взломе биржевого аккаунта — и как остановить вывод
- Как экстренно спасти остаток монет при скомпрометированной seed-фразе
- Как обнаружить вредоносное разрешение (approve) и отозвать его через Revoke.cash
- Как провести транзакцию, если злоумышленник следит за вашим кошельком в мемпуле
- Что делать при потере доступа к кошельку без взлома
- Когда есть реальный шанс вернуть деньги, а когда — уже нет
После этого урока у вас будет заготовленный алгоритм на каждый кризисный сценарий — а не паника в тот момент, когда каждая секунда на счету.
Сценарий 1 — Взломан биржевой аккаунт
Взлом биржевого аккаунта работает иначе, чем взлом почты или соцсетей. Там можно восстановить доступ через службу поддержки. Здесь — если вывод уже подтверждён блокчейном, деньги ушли безвозвратно. Задача — заблокировать аккаунт раньше, чем злоумышленник успеет нажать «подтвердить».
Признаки взлома
Не всегда взлом заметен сразу. Вот сигналы, при которых нужно действовать немедленно — не проверяя ещё раз, не думая «может, ошибка»:
- Пришёл email о входе с незнакомого устройства или IP-адреса
- В разделе активных сессий (Настройки → Устройства) — незнакомый браузер или город
- В истории транзакций появился вывод, которого вы не совершали
- Пришло уведомление о смене пароля или 2FA, которую вы не запрашивали
- При входе биржа говорит «неверный пароль» — хотя вы его не меняли
Если хотя бы один пункт совпадает — действуйте немедленно.
Протокол: четыре шага
Шаг 1 (первые 30 секунд): заблокировать аккаунт. На большинстве крупных бирж есть функция заморозки. На Bybit: Account (Аккаунт) → Security (Безопасность) → Freeze Account (Заморозить аккаунт). Если войти не можете — пропустите и сразу к шагу 2. Альтернатива: намеренно несколько раз ввести неверный код 2FA — аккаунт заблокируется автоматически.
Шаг 2: связаться с поддержкой биржи. Только через официальный сайт — из закладок или адресной строки, не через поиск Google (там могут быть фишинговые объявления). Сообщите: «Подозреваю взлом, прошу немедленно заблокировать вывод.» Подготовьте: email регистрации, данные KYC, хэши последних транзакций — биржа использует это для верификации владельца.
Шаг 3: сменить пароль email с другого устройства. Это важно: злоумышленник мог уже войти в вашу почту — именно через неё биржа отправляет подтверждения вывода. Сменить пароль нужно с чистого устройства, которого атакующий не касался. Нет такого устройства — одолжите телефон или отключите сеть на своём, прежде чем действовать.
Шаг 4: восстановить аккаунт. После блокировки — сменить пароль биржи, заново настроить 2FA, выйти со всех устройств (Settings / Настройки → Devices / Устройства → Revoke All Sessions / Завершить все сессии).
Поддержку биржи ищите только через официальный сайт. В Telegram, Discord и в результатах Google по запросу «поддержка [название биржи]» — почти гарантированно попадёте на мошенников. Схемы фейковой поддержки разобраны в уроке про мошенников.
Что реально можно спасти
Реалистичная картина зависит от того, на каком этапе вы действовали. Перед тем как паниковать — определите, в какой из этих ситуаций вы находитесь:
| Ситуация на момент обнаружения | Шанс сохранить средства | Ключевое действие |
|---|---|---|
| Вывод ещё не инициирован | Высокий — деньги в безопасности после блокировки | Заморозить аккаунт, затем сменить все данные |
| Вывод инициирован, ещё не подтверждён (задержка whitelist 24–48 ч) | Средний — поддержка может остановить транзакцию | Немедленно в live-чат поддержки с запросом блокировки вывода |
| Вывод подтверждён биржей, но транзакция ещё обрабатывается | Низкий — можно попробовать через биржу-получатель, редко успешно | Зафиксировать адрес получателя и хэш — для поддержки и полиции |
| Вывод подтверждён блокчейном | Нулевой — транзакции необратимы | Подать заявление в полицию для документов (разберём ниже) |
| Взломан email для крипты, не сама биржа | Высокий при быстрой реакции | Сначала сменить пароль email — потом идти на биржу |
Whitelist с задержкой 24–48 часов, настроенный в предыдущем уроке, — это буфер, который позволяет поддержке успеть. Без него времени будет значительно меньше.
Взлом биржи — это атака через аккаунт с контролируемой платформой. Но иногда удар наносится напрямую по кошельку — и там нет кнопки «заморозить».
Сценарий 2 — Скомпрометирована seed-фраза горячего кошелька
Если злоумышленник получил вашу seed-фразу — он получил полный контроль над кошельком. Не над одним токеном, не над одной сетью — над всеми адресами, которые из неё выводятся. Задача — перевести остатки на новый кошелёк быстрее, чем злоумышленник это сделает сам.
Признаки компрометации
Главный признак — исходящая транзакция, которую вы не совершали. Увидели её в MetaMask или в block-эксплорере по своему адресу — это не ошибка. Действуйте немедленно, без промедления.
Экстренный протокол
Шаг 1 (немедленно): создать новый кошелёк с новой seed-фразой. На чистом устройстве — том, которого злоумышленник точно не касался. Нет такого устройства — сначала полностью переустановите браузер или операционную систему, только потом устанавливайте MetaMask.
Шаг 2: перевести остатки на новый адрес. Начинайте с самого ценного. Для каждой транзакции нужен газ: ETH для сетей Ethereum, BNB для BSC, MATIC для Polygon. Если газ тоже украден — купите минимальную сумму на бирже и отправьте на старый адрес. Действуйте быстро: злоумышленник может видеть пополнение.
Шаг 3: навсегда забыть о скомпрометированном адресе. Даже если перевели все монеты — не используйте этот адрес снова. Никогда. Злоумышленник знает seed и может мониторить адрес годами.
Шаг 4: найти вектор взлома. Запустите Malwarebytes на компьютере. Удалите все незнакомые расширения браузера. Проверьте: не вводили ли seed-фразу на каком-то сайте? Не подключали ли кошелёк к незнакомому dApp? Без понимания причины вы рискуете повторить ситуацию на новом кошельке.
Seed-фраза — это мастер-ключ. Кто её знает — владеет кошельком полностью, без исключений и без возможности оспорить. О том, как правильно хранить seed-фразу до инцидента, — в уроке про seed-фразу.
Никакая «служба поддержки» никогда не попросит вашу seed-фразу. Если кто-то её запрашивает — это мошенник без исключений, независимо от платформы и убедительности легенды.
Три первых шага из протокола выше предполагают, что монеты ещё есть. Но бывает иначе: монеты формально у вас — однако уже в любой момент могут уйти к злоумышленнику.
Сценарий 3 — Вредоносный Approve смарт-контракту
Вы подключили кошелёк к какому-то DeFi-сайту и нажали «Claim Rewards». Монеты остались на месте. Кажется, ничего не произошло. Но фактически вы только что дали смарт-контракту безлимитное разрешение на вывод ваших токенов — в любой момент, без дополнительного подтверждения с вашей стороны.
Как работает approve
Approve (разрешение) — это стандартная функция токенов стандарта ERC-20, которая позволяет смарт-контракту управлять вашими средствами. Легитимные DEX-биржи используют её, чтобы совершать обмены от вашего имени. Мошеннические контракты используют её так же — чтобы списать токены в удобный им момент, пока вы ничего не подозреваете.
Как проверить: Revoke.cash
Перейдите на Revoke.cash и подключите MetaMask. Сервис покажет все активные разрешения по всем сетям: кому, на какой токен и в каком объёме вы давали approve. Большинство из них будут легитимными — Uniswap, Aave, другие известные протоколы. Подозрительное: контракт с нулевой или минимальной историей, незнакомое имя, безлимитная сумма.
Альтернатива — De.fi Shield (de.fi): поддерживает больше сетей, включая Avalanche, Fantom и другие нишевые EVM-цепочки.
Как отозвать разрешение
Процесс занимает меньше минуты при условии, что у вас есть небольшое количество газа:
- Перейдите на Revoke.cash → подключите кошелёк → выберите нужную сеть
- Найдите в списке подозрительный контракт
- Нажмите кнопку «Revoke» напротив него
- Подтвердите транзакцию в MetaMask (потребуется немного ETH, BNB или нативного токена сети)
- После того как транзакция подтверждена блокчейном — разрешение отозвано
Это гонка. Если злоумышленник уже начал выводить ваши токены — revoke нужно провести до подтверждения его транзакции блокчейном. После того как его транзакция подтвердилась — отзыв approve уже ничего не изменит: монеты ушли.
После инцидента — проверьте все approve, не только один: мошеннические сайты часто запрашивают разрешения на несколько токенов сразу. И добавьте ежемесячную проверку Revoke.cash в привычку — как профилактику, ещё до любого инцидента.
Но бывает ситуация ещё острее: seed уже у злоумышленника, он следит за кошельком в реальном времени — и готов перехватить любую вашу попытку спасти монеты.
Сценарий 4 — Спасение монет при активном злоумышленнике (MEV-защита)
Конкретная картина: вы узнали, что seed скомпрометирован, и пытаетесь срочно перевести монеты на новый кошелёк. Злоумышленник настроил бота, который следит за вашим адресом в мемпуле.
Мемпул (mempool, пул ожидающих транзакций) — это публичная очередь транзакций, ещё не включённых в блок. Все транзакции там видны любому. Бот злоумышленника замечает вашу транзакцию и тут же выставляет свою — с более высокой комиссией, чтобы майнер включил её раньше. Это называется frontrunning (опережение). В результате монеты уходят к злоумышленнику ещё до того, как ваша транзакция обрабатывается.
Как обойти мемпул: приватные RPC
Решение — отправить транзакцию напрямую майнеру или валидатору, минуя публичный мемпул. Для этого в MetaMask меняется RPC — точка подключения к сети.
Flashbots Protect — специальный RPC от команды Flashbots. Транзакции идут напрямую блок-билдеру, не появляясь в публичном мемпуле. MEV-боты их не видят. Настройка в MetaMask: Settings → Networks → Ethereum Mainnet → заменить RPC URL на https://rpc.flashbots.net.
MEV Blocker (mevblocker.io) — аналогичный принцип от коалиции DeFi-протоколов. Поддерживает Ethereum и ряд EVM-совместимых сетей.
После экстренного перевода верните стандартный RPC обратно. Приватные RPC иногда медленнее обрабатывают обычные транзакции. Используйте их именно для кризисных ситуаций, а не постоянно.
Чеклист для экстренного перевода при активном злоумышленнике: переключить RPC на Flashbots Protect или MEV Blocker; подготовить газ (отправить ETH на старый адрес с биржи, если нужно); перевести самые ценные токены первыми; не забыть про нативные монеты (ETH, BNB — они тоже в зоне риска); после завершения вернуть стандартный RPC.
Три первых сценария — про активного злоумышленника. Но доступ к кошельку теряется не только из-за взлома — иногда всё проще: устройство сломалось или кошелёк случайно удалили.
Сценарий 5 — Потерял доступ к кошельку (не взлом)
Сломался телефон с Trust Wallet. Случайно удалили MetaMask и не помните пароль. Сбросили компьютер на заводские настройки без резервной копии. Всё это — потеря доступа без чьего-либо злого умысла. Исход зависит от одного: есть ли у вас seed-фраза.
Вариант 1: seed-фраза есть
Восстановление занимает две минуты. Установите MetaMask (или Trust Wallet, или другой кошелёк, из которого вышла фраза) → выберите «Импортировать кошелёк» → введите 12 или 24 слова. Все адреса и балансы появятся автоматически. Монеты никуда не делись — они хранятся в блокчейне, а не в приложении.
Вариант 2: seed-фразы нет, но устройство ещё работает
Немедленно откройте кошелёк и достаньте seed-фразу, пока есть доступ. В MetaMask: Settings → Security & Privacy → Reveal Secret Recovery Phrase → ввести пароль. Запишите все 12 или 24 слова в правильном порядке на бумагу. Это ваш единственный шанс, пока устройство функционирует.
Вариант 3: ни seed-фразы, ни работающего устройства
Монеты потеряны навсегда. Блокчейн не имеет службы поддержки и механизма восстановления без ключа. Никто — ни разработчики MetaMask, ни Ethereum Foundation — не может помочь без seed-фразы. Это фундаментальное свойство децентрализации: нет центра, который хранит ваш ключ.
«Сервисы восстановления кошелька», которые обещают вернуть деньги без seed-фразы — мошенники в подавляющем большинстве случаев. Они попросят seed-фразу или «небольшой аванс за работу» и исчезнут. Если seed-фразы нет и устройство не работает — принять потерю и двигаться дальше.
Инцидент произошёл, острая фаза позади. Многие на этом останавливаются — и упускают шаг, который повышает шансы на документирование убытка и, в редких случаях, частичное возмещение.
Мониторинг после взлома: следить за кошельком злоумышленника
После инцидента у вас есть адрес злоумышленника — он виден в истории транзакций. Это ценная информация. Украденные деньги обычно перемещаются через несколько промежуточных адресов, прежде чем попасть на биржу для вывода в фиат. Мониторинг позволяет отследить путь — и собрать доказательства для полиции или compliance-отдела биржи-получателя.
Etherscan Watchlist. Зарегистрируйтесь на Etherscan → добавьте адрес злоумышленника в Watch List → получайте уведомления на email при каждом движении средств. Работает для Ethereum и большинства EVM-совместимых сетей.
Arkham Intelligence (intel.arkm.com) — профессиональный трекер движения криптовалют. Показывает связанные адреса, возможную принадлежность кошельков биржам и организациям. Именно здесь начинают работу аналитики Chainalysis при крупных взломах.
Ни одна крупная биржа не заблокирует подозрительный адрес без официального заявления в полицию с номером дела. Сохраните все данные прямо сейчас: хэши транзакций (txid), адреса злоумышленника, скриншоты из block explorer с временными метками.
Если украденные средства дойдут до централизованной биржи — compliance-отдел может заблокировать вывод при наличии официального заявления и данных блок-эксплорера. Это происходит редко, но случается. Именно поэтому мониторинг и следующий шаг — не лишние.
Когда обращаться в полицию
Заявление в полицию редко приводит к возврату денег напрямую. Но оно нужно для другого: официальный документ для налоговой (зафиксировать убыток), основание для compliance-отдела биржи (запрос на блокировку адреса), запись в реестре преступлений (если тот же адрес всплывёт в других делах).
Когда это имеет смысл
Практический порог — сумма ущерба от 10 000 рублей (ниже — заявление примут, но расследование крайне маловероятно). При суммах свыше 250 000 рублей есть шанс на подключение специализированного подразделения — в России это Управление «К» МВД, которое занимается киберпреступлениями.
Что собрать перед подачей
Без доказательств заявление превращается в формальность. Подготовьте заранее:
- Хэши транзакций (txid) — идентификаторы всех операций, совершённых без вашего ведома
- Адреса злоумышленника — куда ушли средства
- Скриншоты из block explorer с временными метками и суммами
- Переписку с поддержкой биржи и их ответы (подтверждение, что вы сообщили о взломе)
- Данные о сумме ущерба в рублях на момент кражи — по курсу на дату инцидента
- Ваши адреса кошелька или данные аккаунта биржи — для подтверждения владения
Всё это собирайте параллельно с мониторингом — пока данные свежие и доступные.
Официальный протокол о взломе позволяет учесть убыток при расчёте налогов. Криптовалютные доходы в России облагаются НДФЛ, а убытки можно вычитать из налогооблагаемой базы. Без заявления — нет документального подтверждения убытка. Подробно о налогах на криптовалюту в России — в следующем уроке 2.10.