Блог им. MarketologMarketologov
Что делать, если взломали Trust Wallet, MetaMask или Phantom, можно ли отменить перевод и какие данные повышают шансы на официальное разбирательство

Телефон лежал рядом. Никаких переводов вы не подтверждали. Но в кошельке уже нет USDT, ETH или SOL, а в истории появилась незнакомая транзакция.
Первые минуты после такого списания особенно опасны. Человек открывает поиск, пишет в чаты и почти сразу получает десятки предложений: «вернем за два часа», «нужно оплатить комиссию сети», «пришлите фразу для проверки». Так первая кража превращается во вторую.
Сразу обозначим главное: подтвержденный перевод в публичном блокчейне обычно нельзя отменить как банковский платеж. Однако бездействовать тоже нельзя. Пока вы выясняете причину, злоумышленник может вывести остатки из других сетей или дождаться нового пополнения.
Сначала ответ: что делать прямо сейчас
Не переводить мошеннику новые деньги — ни комиссию, ни налог, ни «страховой депозит».
Не вводить seed-фразу на сайтах и не отправлять ее поддержке.
Проверить остатки активов во всех сетях.
Создать новый кошелек с новой seed-фразой на безопасном устройстве.
Перенести доверенные оставшиеся активы.
Сохранить хеши транзакций, адреса, скриншоты и переписку.
Проверить связанные аккаунты, устройство и расширения.

Порядок действий важнее обещаний быстрого возврата.
Этот порядок важнее поиска человека, который обещает возврат. Сначала прекращают ущерб, потом восстанавливают картину.
Почему смены пароля недостаточноПароль в приложении защищает доступ на конкретном устройстве. Seed-фраза или приватный ключ позволяют восстановить кошелек на другом устройстве. Поэтому злоумышленнику не нужен ваш новый пароль, если у него уже есть главный секрет.
Если seed-фразу вводили на неизвестном сайте, диктовали «сотруднику поддержки», хранили в открытом облаке или отправляли через мессенджер, кошелек считается скомпрометированным. Добавлять еще один аккаунт внутри той же seed-фразы бессмысленно: связанные с ней адреса остаются под риском.
Новый кошелек должен получить новую seed-фразу. Запишите ее офлайн и не фотографируйте. Если есть подозрение на вредоносную программу, создавайте кошелек и меняйте пароли с другого проверенного устройства.
Взломали Trust Wallet, MetaMask или Phantom — взломано ли приложениеНеизвестное списание не всегда означает, что злоумышленники взломали сам сервис. Чаще проблема возникает на одном из уровней доступа:
Фишинговая страница. Пользователь попадает на копию сайта биржи, airdrop, DeFi-проекта или поддержки и вводит seed-фразу.
Вредоносная подпись. Кошелек подключают к dApp и подтверждают транзакцию или разрешение, смысл которого не был понятен.
Компрометация устройства. Стилер или другое вредоносное ПО получает данные браузера, расширений, буфера обмена или сохраненных файлов.
Фейковая поддержка. Мошенник убеждает установить программу удаленного доступа, показать экран или перевести средства на «защищенный адрес».
Взлом аккаунта биржи или почты. В этом случае действия не ограничиваются кошельком: нужно блокировать вывод, менять доступы и писать в службу безопасности площадки.
Что делать с оставшимися активамиСначала проверьте не только видимый баланс, но и все используемые сети, NFT, стейкинг и позиции в DeFi. Не пытайтесь отправить неизвестный токен или обменять его: мошеннические активы иногда ведут на вредоносные сайты либо провоцируют опасную подпись.
Доверенные активы переводят на новый адрес, созданный с новой seed-фразой. Проверьте сеть и адрес, по возможности начните с тестовой суммы.
Если после каждого пополнения средства исчезают мгновенно, на адресе может работать sweeper-скрипт. Не пополняйте кошелек газом снова и снова. Автоматический скрипт обычно быстрее человека, поэтому самостоятельная гонка увеличивает потери.
Можно ли отменить транзакцию USDTЗдесь важно разделить три ситуации.
Транзакция еще не подтверждена. В отдельных сетях и кошельках возможны технические действия с ожидающей операцией. Они зависят от конкретной сети и не равны возврату уже подтвержденного перевода.
Перевод произошел внутри централизованной биржи. Площадка контролирует внутренний учет и может проверять операцию по своим процедурам. Нужно срочно обращаться в официальную поддержку.
Транзакция подтверждена в блокчейне. Обычной отмены нет. Кошелек или блокчейн-аналитик не может самостоятельно развернуть перевод.
При этом хеш позволяет видеть, куда пошли средства. Если маршрут приходит на сервис с идентификацией пользователей, появляется точка для официального обращения. Решение о блокировке или раскрытии данных принимает площадка в рамках своих правил и закона, а не частный «возвратчик».
Какие доказательства сохранитьНе ограничивайтесь одним скриншотом баланса. Для проверки нужна связка данных.

Один скриншот баланса не заменяет связку доказательств.
адрес исходного кошелька;
адрес первого получателя;
хеш транзакции, или TXID;
название сети;
токен и сумма;
дата и точное время;
ссылка на операцию в обозревателе;
скриншоты списания;
адрес фишингового сайта;
переписка и данные профиля мошенника;
последовательность действий перед кражей.
Такой набор помогает отличить кражу seed-фразы от вредоносного разрешения, ошибочного перевода и компрометации аккаунта биржи. Он же понадобится при обращении в службу безопасности площадки, к юристу или в правоохранительные органы.
Можно ли вернуть криптовалюту после кражиЧестный ответ: иногда дальнейшие действия имеют смысл, но гарантии возврата нет.
Положительными признаками могут быть быстро зафиксированный маршрут, попадание средств на регулируемую площадку, сохраненные доказательства владения и оперативное официальное обращение. Сложнее работать, если активы многократно перемещены между сетями и сервисами, смешаны с другими средствами или прошло много времени.
Блокчейн-анализ отвечает на технические вопросы:
куда ушли активы;
какие адреса связаны с маршрутом;
использовались ли мосты, обменники или биржи;
где заканчивается подтвержденная цепочка;
какие материалы можно приложить к обращению.
Он не дает полномочий забрать активы с чужого адреса и не заменяет официальные процедуры.
Вторая ловушка: «вернем крипту за предоплату»После взлома мошенники часто находят пострадавшего по его сообщениям в чатах и комментариях. Они могут использовать настоящие термины, показывать поддельные документы и даже прислать «отчет» с адресами.
Немедленно прекращайте общение, если вам:
обещают 100-процентный возврат;
выставляют счет за налог или разблокировку;
предлагают купить специальный токен;
просят seed-фразу, приватный ключ или код 2FA;
требуют включить демонстрацию экрана;
представляются сотрудником биржи и пишут с личного аккаунта;
торопят перевести деньги до определенного часа

Проверка транзакции выполняется по публичному адресу, хешу и сети. Секреты кошелька для этого не нужны.
Частые вопросыЧто делать, если украли seed-фразуПрекратить использовать связанный с ней кошелек, создать новый с новой seed-фразой и перенести оставшиеся доверенные активы. Старую фразу нельзя заменить как пароль.
Можно ли восстановить MetaMask после взломаЕсли проблема только в забытом пароле, доступ восстанавливают предусмотренным кошельком способом. Если seed-фраза попала к постороннему, восстановление старого кошелька не возвращает безопасность.
Нужно ли писать в полициюПри существенном ущербе официальная фиксация может понадобиться для запросов к сервисам и дальнейшего разбирательства. Подготовьте адреса, TXID, сеть, суммы, скриншоты и хронологию.
Можно ли найти владельца адресаПубличный адрес сам по себе не содержит имени. Данные могут быть у централизованного сервиса, если адрес связан с его клиентом. Получение таких сведений происходит по официальной процедуре.
Что отправлять для первичной проверкиПубличный адрес, хеш транзакции, сеть и скриншот без секретных данных. Никогда не отправляйте seed-фразу или приватный ключ.
ИтогПосле неизвестного списания действуйте в двух направлениях: защищайте то, что осталось, и сохраняйте технические следы. Новый кошелек создают с новой seed-фразой. Подтвержденную транзакцию обычно нельзя отменить, но по ее хешу можно восстановить маршрут.
Если нужен экспресс-анализ, подготовьте хеш, адрес и сеть. По этим данным можно оценить, куда ушли активы и есть ли основания для дальнейшей работы. Формулировка «гарантированно вернем» до анализа — не преимущество, а красный флаг.
… про «сид фразу» тк она в *текстовом виде сделайте замены букв самые простые это латиницу на русский, можно с любого языка. ну и чем длиннее фраза тем дольше будет подбор у злоумышленника, если уже вас взломали
Не надо использовать для хранения крипты телефон или компьютер с виндой. Ну, для небольших сумм можно. Для основной суммы надо использовать специальные устройства, типа леджер или трезор, либо отдельный комп с усиленной версией линукса.
Не надо использовать приложения, где много всякого понапихано, вроде траст волет — их рано или поздно хакнут (уже хакали в прошлом).
Знакомого пенса пендоса кинули на 50к баксов, причем вели с самого начала, с покупки крипты и обещаний быстрого обогащения. Потом вдруг вся крипта пропала. Потом ему позвонили ыксперды, вроде автора топика, и обещали все вернуть. Кинули еще на 10к.