В минувший вторник 38-летний Денис из Новосибирска, трейдер с четырёхлетним опытом, готовился к крупной сделке. На его счету на бирже Bybit было 2,5 миллиона рублей в различных монетах — результат удачной торговли за последние полгода. Он планировал продать часть позиций и зафиксировать прибыль.
Открыв сайт биржи через браузер, он увидел уведомление:
«Ваш аккаунт требует дополнительной верификации. В соответствии с новыми правилами KYC, все пользователи с оборотом более 1 000 000 рублей должны подтвердить свои кошельки. Невыполнение до 23:59 приведёт к заморозке средств».
Денис напрягся. Новые правила KYC — это нормально, биржи ужесточают требования. Но заморозка средств? Это серьёзно.
Он нажал на уведомление. Открылась страница с инструкцией:
«Для верификации кошелька выполните следующие шаги:
1. Перейдите по ссылке ниже.
2. Подключите ваш кошелёк к системе проверки.
3. Подтвердите владение, отправив тестовую транзакцию 0,01 ETH на указанный адрес.
4. После проверки средства будут возвращены в течение 10 минут».
Денис знал, что такое тестовые транзакции — это обычная практика для подтверждения владения кошельком. Сумма небольшая — 0,01 ETH (примерно 1500 рублей). Он перешёл по ссылке.
Сайт выглядел как официальная страница Bybit: логотипы, шрифты, цвета — всё точно. Домен был bybit-verification.io — чуть длиннее обычного, но многие биржи используют поддомены для верификации.
Денис подключил свой MetaMask. Сайт запросил разрешение на «подписание сообщения» — стандартная процедура для подтверждения владения кошельком. Он нажал «Подписать».
Через минуту пришло уведомление: «Тестовая транзакция отправлена. Ожидайте подтверждения».
Денис вышел из системы и решил проверить статус через час. Когда он вернулся, баланс его кошелька был пуст. 2,5 миллиона рублей ушли на неизвестный адрес.
Он бросился звонить в официальную поддержку Bybit, но там развели руками:
«Вы подключили свой кошелёк к фишинговому сайту. Подписав сообщение, вы дали разрешение на вывод всех средств. Это не техническая ошибка, это мошенничество. Мы ничего не можем сделать — транзакция необратима».
Денис сидел и смотрел на пустой экран. Полгода торговли, ночей без сна, анализа графиков — всё исчезло за одну минуту из-за одной ссылки.
Как это произошло
Эта схема называется «Фишинг через подключение кошелька» или «Ice Phishing» . Это одна из самых опасных схем в криптовалюте, потому что жертва сама даёт разрешение на вывод средств.
Шаг 1. Создание фейкового уведомления
Мошенники создают точную копию интерфейса биржи. Уведомление о необходимости верификации появляется прямо на главной странице. Жертва думает, что это официальное требование биржи.
Шаг 2. Легенда о KYC
Тема верификации (KYC) знакома всем криптотрейдерам. Биржи действительно ужесточают требования. Легенда звучит правдоподобно, особенно если жертва недавно увеличила оборот.
Шаг 3. Поддельный сайт с подключением
Ссылка ведёт на сайт, который имитирует официальную страницу верификации. Домен похож на настоящий, но содержит лишние слова (verification, security, wallet). Жертва подключает свой кошелёк через MetaMask или другой Web3-кошелёк.
Шаг 4. Подписание вредоносного сообщения
Когда жертва нажимает «Подписать», она на самом деле подписывает разрешение на вывод средств (approve или permit). В интерфейсе MetaMask это выглядит как обычное сообщение, но на самом деле это смарт-контракт, который даёт мошенникам доступ к средствам.
Шаг 5. Вывод средств
После подписания мошенники могут вывести все средства с кошелька жертвы. Ограничения по сумме нет — разрешение дано на всё. Тестовая транзакция в 0,01 ETH — это отвлекающий манёвр, чтобы жертва не заподозрила подвоха.
Почему сработало
- Знакомая процедура. Верификация, KYC, тестовые транзакции — это реальные практики в криптомире. Денис не заподозрил подвоха, потому что сталкивался с похожими требованиями раньше.
- Давление срочностью. Угроза заморозки средств создала ощущение, что времени на раздумья нет.
- Привычное действие. Подписание сообщения в MetaMask — рутинная операция. Денис не вчитывался в детали, потому что делал это сотни раз.
- Качественная подделка. Сайт выглядел как официальный, домен был похож на настоящий.
Как не стать жертвой
1. Никогда не подключайте кошелёк к сайтам по ссылкам из уведомлений
Если вы получили уведомление о необходимости верификации, закройте его, откройте браузер и вбейте адрес биржи руками. Зайдите в свой аккаунт и проверьте, есть ли там реальное требование верификации. Не по ссылке, а через официальный интерфейс.
2. Внимательно читайте, что подписываете
MetaMask и другие Web3-кошельки показывают, что именно вы подписываете. Если в сообщении есть слова approve, permit, transfer, withdraw — это не просто «подтверждение владения», это разрешение на вывод средств. Если вы не уверены, что это — отмените операцию.
3. Проверяйте домен до последней буквы
Настоящие биржи используют короткие домены: bybit.com, binance.com, okx.com. Всё, что содержит дополнительные слова (bybit-verification.io, binance-wallet.com, okx-security.net) — это подделка.
4. Используйте несколько кошельков
Для торговли на биржах используйте один кошелёк с небольшим количеством средств. Для долгосрочного хранения — другой, который вы никогда не подключаете к сторонним сайтам. Холодный кошелёк (Ledger, Trezor) вообще не должен подключаться ни к чему, кроме официального приложения.
5. Не подписывайте "тестовые транзакции" на незнакомых сайтах
Настоящая верификация KYC не требует отправки тестовых транзакций. Биржа уже видит ваши транзакции через блокчейн. Если вам предлагают отправить средства для «подтверждения» — это всегда мошенники.
6. Включите белый список адресов
На многих биржах и в некоторых кошельках есть функция «белый список адресов» (whitelist). Вывод средств возможен только на заранее добавленные адреса, и новый адрес добавляется с задержкой (например, 24 часа). Это защитит вас, даже если мошенники получат доступ к аккаунту.
Что делать, если вы уже подписали разрешение
- Немедленно отзовите разрешение (revoke approval). Если вы подписали approve, мошенники всё ещё могут вывести средства, пока разрешение активно. Используйте сервисы вроде revoke.cash или etherscan.io для отзыва разрешений.
- Выведите оставшиеся средства на новый кошелёк. Если у вас есть время, переведите всё на новый адрес, который не был скомпрометирован.
- Создайте новый кошелёк. Старый кошелёк считается скомпрометированным. Даже если вы отозвали разрешение, мошенники могли скопировать приватные ключи.
- Обратитесь в официальную поддержку биржи. Если средства ещё не вывели, они могут заблокировать аккаунт.
- Напишите заявление в полицию. Шансов вернуть криптовалюту мало, но без заявления их нет вообще.
Друзья, в мире DeFi самое опасное — это не взлом биржи, а то, что вы сами подписываете. Мошенники создают идеальные копии сайтов и ждут, когда вы подключите кошелёк. Пожалуйста, перешлите этот пост всем, кто работает с криптовалютой.
А вы сталкивались с такими "требованиями верификации"? Может быть, тоже просили подключить кошелёк? Делитесь в комментариях — это предупредит других.
Подпишитесь на канал, чтобы не пропускать новые разоблачения.
#мошенники #криптовалюта #bybit #metamask #defi #фишинг #верификация #безопасность