Читал я сегодня новость и обалдел. Жаль паренька.
Какой-то крипто-трейдер решил перевести 50 миллионов долларов в USDT на другой кошелёк. Пятьдесят лимонов, Карл!
Человек не дурак - сначала сделал тестовый перевод на 50 баксов. Всё прошло норм.
И вот тут началась магия.
Что пошло не так
Пока он делал тестовый перевод, мошенники уже следили за его кошельком (блокчейн публичный, там всё видно).
Они моментально сгенерировали похожий адрес и отправили ему копейки (буквально центы).
Смотри как это работает:
Настоящий адрес:
`0xbaf4b1aF7E3B560d937DA0458514552B6495F8b5`
Фейковый адрес от скамеров:
`0xBaFF2F13638C04B10F8119760B2D2aE86b08f8b5`
Видишь? Первые 3 символа и последние 4 - одинаковые.
А человеческий глаз не может запомнить 40+ символов адреса. Мы смотрим на начало и конец - и думаем "ага, тот же адрес".
Как его поймали
Трейдер открыл историю транзакций. Видит там два адреса - оба вроде "правильные".
Скопировал из истории (а не с оригинального источника). И отправил все 50 миллионов.
На адрес мошенников.
Что было дальше
Через 30 минут (полчаса) скамеры:
1. Обменяли USDT на DAI
2. Конвертнули в 16,680 ETH
3. Прогнали через Tornado Cash (миксер который мешает транзакции)
4. Вывели и пропали
Деньги отмыты. След потерян. Game over.
Трейдер написал в блокчейне сообщение скамерам: "Верну $1 миллион если вернёте остальные 49"
Как думаете, они вернули? Нет, конечно.
Почему это треш
Я не крипто-трейдер (у меня бизнес на автоматизации). Но эта история меня реально напрягла.
Знаете почему?
Потому что это работает не только в крипте.
Та же схема может быть:
- С банковскими реквизитами (похожий номер счёта)
- С email-адресами (anna@company.com vs аnnа@company.com - видите разницу?)
- С доменами сайтов (googlе.com вместо google.com - одна буква кириллица)
Это называется "address poisoning" (отравление адреса).
Суть проста: подсунуть тебе похожий адрес и надеяться что ты не проверишь до конца.
И это работает. В 2025 году крипто-скамеры украли $3.4 миллиарда. Больше половины - это хакеры из КНДР (Северная Корея).
Что меня бесит больше всего
Блокчейн считается "безопасным" потому что там **криптография, смарт-контракты, децентрализация**.
Но технология безопасна. Проблема - человек.
Не взломали кошелёк. Не нашли уязвимость в коде. Просто обманули человека.
Социальная инженерия. Классика.
Как защититься (если работаете с криптой)
Я не эксперт по крипте (малость вкладываю), но очевидные вещи:
1. Никогда не копируй адрес из истории транзакций
Только с оригинального источника. Из письма, из чата, из личного кабинета.
2. Проверяй ВЕСЬ адрес
Не первые 3 и последние 4 символа. А все 40+.
Да, это долго. Да, это муторно. Но это твои деньги.
3. Веди адресную книгу
Если часто переводишь на один адрес - сохрани его в кошельке с меткой (например "Биржа Binance").
И всегда используй сохранённый адрес.
4. Используй 2FA и аппаратный кошелёк
Если сумма больше $10K - обязательно аппаратный кошелёк (Ledger, Trezor).
Если транзакция подтверждается только на физическом устройстве - скамерам сложнее.
5. Делай несколько тестовых переводов
Не один на $50. А три: $50, $100, $500.
Если все три прошли нормально - риск ниже.
Мой вывод
Я смотрю на эту историю и думаю: "50 миллионов за 30 минут".
Человек, скорее всего, зарабатывал эти деньги годами. Может быть десятилетиями.
И всё пропало из-за одной невнимательности.
Не потому что он тупой. А потому что устал, торопился, отвлёкся.
Это может случиться с каждым.